最简单的方法之一就是知道已知合法接入点的MAC地址,使用这个信息,你可以输入过滤器!wlan.bssid == 00:11:88:6b:68:30,将你实际的接入点MAC地址取代上述的样本地址。这样做将会向你展示所有发送到或者发送自所有接入点的无线流量,而不是指定接入点。如果你在这个区域有一个以上的接入点,你可以使用OR (||)运算符来结合这些过滤器。在这种情况下,你可以使用类似!wlan.bssid == 00:11:88:6b:68:30 || !wlan.bssid == 00:11:ff:a1:a4:22来过滤出两个已知合法接入点。
这种方法通常可以找出接入点,但如果你想更加深入地找到实际连接到恶意无线接入点的移动工作站呢?其中一个方法就是过滤重新关联请求。这样的话,你可以将前面的过滤器与wlac.fc.type_subtype eq 0和wlac.fc.type_subtype eq 2结合。第一个过滤器将会显示所有关联请求,第二个将会显示重新关联请求。必要情况下,你可以使用AND (&&)运算符将前面的过滤器与其中任一个过滤器结合。
最后,你可以再进一步确定在移动客户端和恶意无线接入点之间是否有任何实际数据传输。你可以通过过滤器 wlan.fc.type eq 2以及前面的排除已知合法接入点的过滤器对所有在非合法接入点通信的数据包进行过滤。
过滤未加密流量
当数据包通过空气传输时,保护数据包不被泄漏的唯一办法就是部署某种类型的加密技术。这通常是通过在现代系统中部署WPA或WPA2来实现的。当然,经常审查无线网络和确保没有无线客户端以未加密模式传递数据也是很好的安全做法。但是数据包泄漏还是可能发生,例如当WAP被错误配置,存在恶意WAP或者两个无线客户端可以直接以特殊模式通信时。
在无线网络中寻找未加密数据需要使用另一种过滤器。在这种情况下,我们可以使用wlan.fc.protected == 0过滤器来找到所有包含未加密数据的数据包。现在,如果你使用这个过滤器会发现它会返回一些意想不到的结果。802.11控制和管理框架没有加密,因为只为WAP和无线客户端执行管理功能。在这种情况下,我们必须增加wlan.fc.type eq 2来延展过滤器,这将能够确保过滤器只显示未加密数据数据包。最终的过滤器形式应该是wlan.fc.protected == 0 && wlan.fc.type eq 2。
分析WEP和WPA身份验证
最开始保护无线网络传输数据的首选方法是WEP(有效等效保密)。WEP曾经叱咤风云,直到在它的加密密钥管理中发现几个漏洞。正因为此,新标准才应运而生,包括WPA和WPA2标准,虽然WPA及其更安全版本WPA2也存在问题,但它们要比WEP安全得多。
能够区别WEP和WPA是非常实用的技能,如果你能够做到这一点,你将能够发现网络中应该是WPA的WEP身份验证。除此之外,你还将能够分析失败验证尝试。
WEP身份验证
WEP身份验证是通过使用挑战/响应机制来运作的。当客户端试图连接到WAP时,WAP就会出现挑战文本。该挑战被获知后,客户端就会获取该文本,使用客户端提供的WEP进行加密,然后将产生的字符串传回WAP。
一旦WAP验证了响应文本的正确性,它就会向客户端传回一个信息,告知它身份验证过程已经完成。过滤器找到成功认证答复是wlan_mgt.fixed.status_code == 0x0000。
如果身份验证没有成功的话,WAP将会发出一条信息表示“收到包含身份验证序列的身份验证框架,交易序列号错误”。
过滤器获取失败通知数据包:wlan_mgt.fixed.status_code == 0x000e.
