اكتشاف غير مأذون 802.11 بطاقات ونقاط الوصول

Share

|

الهدف الاول هو الكشف. يمكن ان نقول عندما شخص ما السلطات على بطاقه داخل النطاق للشبكة المحلية؟ ويمكن ان يتم ذلك مع الجاهزه للمكونات والبرمجيات الحرة. سيسكو aironet سائق شملت في الاونة الاخيرة مع لينكس الألباب تؤيد "رصد الترددات اللاسلكيه" الاسلوب الذي يسمح لمنحل رصد 802.11 عبوة - على وجه التحديد ، والرصد الخام 802.11 الاطارات لاكتشاف ما اذا كانت هناك اي الراوي الاطر التي تبثها أ روغ نقطة الوصول او بطاقه.

كما هو مبين في الاصل 802.11 المواصفات ، وهناك ثلاث فئات من 802.11 الاطر. مع هدف الكشف عن نقاط وصول روغ وغير مأذون بها بطاقات الايثرنت اللاسلكيه ، ونحن في المقام الاول المهتمه في الدرجة 1 و 2 الاطر. 1 اطر الطبقة هي الاطر الوحيدة المسموح بها في الدولة (1) ، فان الدولة غير موثق ، والى حد كبير الاطر المستخدمة لادارة التوثيق ، والمنارات ، وتطلب التحقيق. 2 الطبقة الاطر المسموح بها في كل من الدول (1) و (2) ، وتستخدم للرابطة وreassociation. من نقاط الوصول ، ونحن نتوقع ان نرى عدد كبير من الأطر منارة (الدرجة 1). من غير مرتبط المخصص للزبائن مسح النشطه في طريقه ، ونحن نتوقع ان نرى عددا كبيرا من طلبات التحقيق (ايضا الطبقة 1). لاختبار هذه الفرضيه ، وسيلة لرصد جميع الأطر 802.11 ادارة ثمة حاجة ، الذي سيسكو بطاقه لينكس وسائق قادرون في "رصد الترددات اللاسلكيه واسطة".

الاعداد لوضع البطاقه حيز الترددات اللاسلكيه رصد واسطة ، اي BSS (استخدام "واسطة : ص" سهل الترددات اللاسلكيه لرصد واسطة) : # الصدى "واسطة : y"> / proc/driver/aironet/eth0/config #

بعد ذلك ، تبدأ مع قطع الاشجار عبوة tcpdump ، انقاذهم الى ملف لتحليلها لاحقا مع اثيري : # tcpdump - انا eth0 - ق 0 - ث capturefile #

غير مأذون بها المخصص شبكة كان أول اختبار للتأكد من القدرة على كشف اي بطاقه ويجري التشديد على الطاقة. ا لوسينت اورينوكو تم تهيئتها في بطاقه مخصصة اسطة على win2k حجريه ، واتجهوا للوقوف على ما اذا كانت هناك اية خاصيه الاطر ارسل بها اورينوكو بطاقه عندما دخلت حيز التنفيذ المخصص اسطة.

بعد ان تتم تهيئة بطاقه ، tcpdump اوقف ، اثيري بدأت ، والقاء القبض على فتح الملف. عدد كبير من الطلبات المقدمة من بحث اورينوكو تم العثور على بطاقه ، مؤكدة انها كان من الممكن بالفعل عندما كشف احدهم داخل قريبة قد تصل ا لاسلكيه تعمل بالطاقه الايثرنت بطاقه مخصصة في طريقه. تشريح الاطار فإن كان على النحو التالي :

معهد مهندسي الكهرباء والالكترونيات 802.11
النوع / النوع الفرعي : طلب بحث (4)
الاطار مراقبة : 0x0040
النسخه : 0
النوع : ادارة الاطار (0)
النوع الفرعي : 4
الاعلام : 0x0
د. س الحاله : لم يترك د. س او شبكة تعمل فى المخصص واسطة
(الى د. س : 0 و...... = 0 شظايا : لا شظايا
... 0... = اعادة المحاوله : الاطار لا يجري اعاد
... 0... = Pwr مورغان : sta سيبقون حتى
.. 0. ... = مزيد من البيانات : لا توجد بيانات عزلت
.0.. ... = العلم الارشاد : الارشاد هو المعوقين
0... ... = من اجل العلم : لا بدقة امرت
المده : 0
المقصد العنوان : وو : وو : وو : وو : وو : وو (وو : وو : وو : وو : وو : وو)
عنوان المصدر : 00:02:2 د : 1b : 51 : كاليفورنيا (agere_1b : 51 : كاليفورنيا)
BSS المعرف : وو : وو : وو : وو : وو : وو (وو : وو : وو : وو : وو : وو)
عدد الشظايا : 0
الرقم المسلسل : 118
معهد مهندسي الكهرباء والالكترونيات 802.11 ادارة شبكة لاسلكيه الاطار
المعالم الموسومه (19 بايت)
علامة عدد : 0 (ssid بارامتر مجموعة)
علامة الطول : 15
علامة التفسير : roguepeertopeer
العلامه رقم : 1 (معدلات ايد)
علامة الطول : 4
علامة التفسير : دعمت معدلات : 1.0 2.0 5.5 11.0 [ميغابايت / ثانية]
0000 40 00 00 00 و و و و و و و و و و و و 2D 00 02 51 1b كاليفورنيا.......-. فاء
0010 و و و و و و و و و و و و مرسوم 60 07 00 72 67 75 65 6f 70..`... roguep
0020 65 65 72 74 6f 70 65 65 72 01 04 02 04 16 0b eertopeer...

وبالفعل ، فمن الممكن ان تقول اذا كان يعمد اجراء مسح بنشاط بطاقه مخصصة في طريقه ، ولا بأس به من المعلومات المفيدة يمكن المستقاه من نفس واحدة الاطار. الاكثر اهمية هي ssid ومعالجة ماك ، لانها يمكن ان تستخدم لتعقب معين بطاقه و / أو الشخص.

الوصول دون اذن النقطه القادمة هي اختبار للتأكد من امكانيه الكشف عن روغ نقطة الوصول. أ tcpdump الدورة قد بدأت بالفعل ، وثم سيسكو aironet 340 نقطة الوصول على سلم. وبعد الوصول الى نقطة قد انتهى من الركل ، الطمر تم بحث مع اثيري ، وعدد كبير من الأطر منارة ارسل بها تم العثور على نقطة الوصول. التالية هي احدى هذه الاطار ، ومرة أخرى عن طريق تشريح اثيري :

معهد مهندسي الكهرباء والالكترونيات 802.11
النوع / النوع الفرعي : منارة الاطار (8)
الاطار مراقبة : 0x0080
النسخه : 0
النوع : ادارة الاطار (0)
النوع الفرعي : 8
الاعلام : 0x0
د. س الحاله : لم يترك د. س او شبكة تعمل فى المخصص واسطة
(الى د. س : 0 من د. س : 0) (0x00)
... .0.. = شظايا : لا شظايا
... 0... = اعادة المحاوله : الاطار لا يجري اعاد
... 0... = Pwr مورغان : sta سيبقون حتى
.. 0. ... = مزيد من البيانات : لا توجد بيانات عزلت
.0.. ... = العلم الارشاد : الارشاد هو المعوقين
0... ... = من اجل العلم : لا بدقة امرت
المده : 0
المقصد العنوان : وو : وو : وو : وو : وو : وو (وو : وو : وو : وو : وو : وو)
عنوان المصدر : 00:40:96:36:88:23 (telesyst_36 : 88:23)
BSS المعرف : 00:40:96:36:88:23 (telesyst_36 : 88:23)
عدد الشظايا : 0
الرقم المسلسل : 0
معهد مهندسي الكهرباء والالكترونيات 802.11 ادارة شبكة لاسلكيه الاطار
معالم ثابتة (12 بايت)
ختم الوقت : 0x0000000000019274
منارة الفترة : 0.102400 [ثانية]
القدرة على المعلومات : 0x0021
... ... 1 = قدرات النظام الاحصائي الاوروبي : المرسل هو ا ب
... .. 0. = Ibss المركز : جهاز الارسال وينتمي الى BSS
... 0... = الخصوصيه : أ ب / sta لا نستطيع ان نؤيد الارشاد
.. (1). ... = القصيره الديباجه : ديباجه قصيرة سمحت
.0.. ... = Pbcc : pbcc التحوير غير مسموح
0... ... = قناة الرشاقه : قناة الرشاقه ليست في استخدام
محيط قدرات المشاركة : لا جدوى من المنسق في آب (0x0000)
المعالم الموسومه (31 بايت)
علامة عدد : 0 (ssid بارامتر مجموعة)
علامة الطول : 18
علامة التفسير :
العلامه رقم : 1 (معدلات ايد)
علامة الطول : 4
علامة التفسير : دعمت معدلات : 1.0 (ب) 2.0 (ب) 5.5 11.0 [ميغابايت / ثانية]
العلامه رقم : 3 (بارامتر مجموعة د. س.)
علامة الطول : 1
علامة التفسير : القناة الحالية : 11
العلامه العدد : 5) (تيم) اشارة المرور خريطه)
علامة الطول : 4
علامة التفسير : dtim العد 1 ، 2 dtim الفترة ، والصورة مراقبة 0x0 ،
(الصورة قمعت)
0000 80 00 00 00 و و و و و و و و و و و و 00 40 96 36 88 23 6........@.. #
0010 00 40 96 36 88 23 00 00 74 92 01 00 00 00 00 00. @.6. #.. ت...
0020 64 00 21 00 00 12 00 00 00 00 00 00 00 00 00 00 دال -!..........
0030 00 00 00 00 00 00 00 00 01 04 82 84 16 03 01 0b ن...
0040 0b 05 04 01 02 00 00....

غير مأذون بها الزبون النهائي أختبار الشرط غير مأذون به العملاء. السيناريو الأول يعتبر (السيناريو الأكثر احتمالا) ، هو ان احدهم قد يجلب اجنبية بطاقه والصلاحيات فإنه حتى مع الخطأ ssid. اذا كانت بطاقه بنشاط المسح ، وبحث في طلبات سينظر اليها من هذه البطاقه وهي تحاول ايجاد نقطة الوصول. السيناريو الثاني هو أن أحدهم قد يجلب اجنبية بطاقه والصلاحيات فإنه حتى مع تصحيح ssid. هذه واحدة تبين ان قليلا اكثر اشكالية لكشف ، في انه لن يكون هناك سوى عدد قليل من 802.11 ادارة الاطارات لتحريك إنذار ، وبعد ذلك اكثر "عادية" حركة المرور. هذا مثير للجدل في المقام الاول بسبب الطريقة rfmon_anybss طريقه على بطاقه تعمل سيسكو - على الرغم من اسمها ، لا يمكن الحصول على بطاقه عبوة في وقت واحد من جميع BSS للفي طائفة ، وخصوصا اذا كانت تلك BSS استخدام ترددات مختلفة.

والنتيجة هي انه يأخذ بعض التدخل اليدوي لالشمه المرور من معين BSS - انظر القسم ادناه عن "مشاكل وتعقيدات" لمعرفة المزيد من التفاصيل عن هذه المشكلة وكيفية العمل من حولها. تم تجاهل هذه المشكلة وبدلا من التركيز يجب ان يكون على القليلة 802.11 ادارة الاطر التي تبين بالفعل ان يصل بسهولة في الشم - كلا السيناريوهين تحولت الى انتاج مماثلة للبحث في الطلبات ، حتى هذان المثالان هما تعامل على انها متطابقه. فان تشريح للبحث في طلب ارسل بها هذه البطاقه :

معهد مهندسي الكهرباء والالكترونيات 802.11
النوع / النوع الفرعي : طلب بحث (4)
الاطار مراقبة : 0x0040
النسخه : 0
النوع : ادارة الاطار (0)
النوع الفرعي : 4
الاعلام : 0x0
د. س الحاله : لم يترك د. س او شبكة تعمل فى المخصص واسطة
(الى د. س : 0 من د. س : 0) (0x00)
... .0.. = شظايا : لا شظايا
... 0... = اعادة المحاوله : الاطار لا يجري اعاد
... 0... = Pwr مورغان : sta سيبقون حتى
.. 0. ... = مزيد من البيانات : لا توجد بيانات عزلت
.0.. ... = العلم الارشاد : الارشاد هو المعوقين
0... ... = من اجل العلم : لا بدقة امرت
المده : 0
المقصد العنوان : وو : وو : وو : وو : وو : وو (وو : وو : وو : وو : وو : وو)
عنوان المصدر : 00:02:2 د : 1b : 51 : كاليفورنيا (agere_1b : 51 : كاليفورنيا)
BSS المعرف : وو : وو : وو : وو : وو : وو (وو : وو : وو : وو : وو : وو)
عدد الشظايا : 0
الرقم المسلسل : 1
معهد مهندسي الكهرباء والالكترونيات 802.11 ادارة شبكة لاسلكيه الاطار
المعالم الموسومه (13 بايت)
علامة عدد : 0 (ssid بارامتر مجموعة)
علامة الطول : 9
علامة التفسير : roguehost
العلامه رقم : 1 (معدلات ايد)
علامة الطول : 4
علامة التفسير : دعمت معدلات : 1.0 2.0 5.5 11.0 [ميغابايت / ثانية]
0000 40 00 00 00 و و و و و و و و و و و و 2D 00 02 51 1b كاليفورنيا.......-. فاء
0010 و و و و و و و و و و و و 10 00 00 09 72 67 75 65 6f 68...... rogueh
0020 6f 73 74 01 04 02 04 16 0b معاهدة الفضاء الخارجي......

مشاكل ومضاعفات قليلة ظهرت مشاكل مع سيسكو وبطاقه السائق التي تحتاج الى ذكرها. المشكلة الاولى هي ان سيسكو البطاقه ، بشكل افتراضي ، حتى في rfmon rfmon_anybss وسائط ، لا بنشاط مسح لحركة المرور على جميع القنوات فى جميع الاوقات. فيما يلى الشروط التي بموجبها سوف اعادة مسح لBSS 's:

• عندما البطاقه الاولى تدرج.
• عندما تدخل الوصله او رحل منحل واسطة.
• عندما تزامن مع الراهنة BSS ضائعة (بسبب التدخل ، والانتقال بها من طائفة ، او اي شيء آخر من شأنه ان يسبب خسائر قليلة منارة الاطر).
• عندما / proc دخول / proc/driver/aironet/eth0/bsslist تفتح للكتابة ( "اتصال / proc/driver/aironet/eth0/bsslist" سنفعل الخديعه).

كل هذه الظروف سوف "ركلة" البطاقه إلى إعادة مسح. من اجل بناء جهاز الكشف عن العملية ، ينبغي ان تكون بطاقه الركل على فترات منتظمة ، وربما كل دقيقة. بسيطة النصي لمس bsslist ملف كل دقيقة سنفعل الخديعه. المشكلة الثانية : ليس كل BSS للفي طائفة اظهرت يصل موثوق في ملف / proc/driver/aironet/eth0/bsslist.

عندما البطاقه هو موضع rfmon واسطة ، يحيل معطل ، وحتى البطاقه لا يمكن ان تجرى مسحا لBSS بنشاط للبحث عن طريق ارسال الطلبات. لذا ، يجب استخدام بطاقه السلبي المسح. وبدلا من ارسال طلبات التحقيق ، وبطاقه يستمع لمنارات. سلبيين مسحا لاستخدام جهاز توقيت - البطاقه سيصغي منارة للاطارات حتى الموقت ينتهي وبعد ذلك الانتقال الى قناة اخرى. المشكلة مع سيسكو البطاقه هو ان هذا الموقت هو مجموعة منخفضه للغاية. القيمه الافتراضيه هي 40ms ، التي لم تكن كافية على الشبكه لاختبار لنا جميعا BSS للاشعار ، بصرف النظر عن طائفة او قوة الإشارات النسبيه للنقاط الوصول. وكان الحل لهذا الخط اضافة الى بطاقه التهيءه الروتينيه ، setup_card ، في airo.c : cfg.beaconlistentimeout = 120 ؛

ثلاثة اضعاف هذا الخروج الذي ادلى BSS الكشف عن العمل بشكل موثوق. وبالتالي فان جميع جهودنا من نقاط الوصول اظهر حتى في bsslist ، كل الوقت.

المشكلة الثالثة : على الرغم من اسمها ، حتى وضع البطاقه في rfmon_anybss واسطة لم تتسبب في الحصول على بطاقه المرور من جميع شركائنا في نقاط الوصول ، والتي كانت كلها باستخدام ترددات مختلفة ، وربما كانت وتزامن بشكل مختلف.

البطاقه نفسها فاختارت BSS لمزامنه لقاعدة على ارضه خوارزميه (على الارجح على نصيبها النسبي للقوة الإشارات). المشكلة مع ذلك هو اننا نريد ان نرى المرور من جميع bsss في طائفة ، وليس فقط تلك التي تحدث لديها أقوى الاشارات. بطريقة لا يمكن العثور على تعطيل هذه الميزه على بطاقه سيسكو ، ولكن ثمة العمل - لينكس يوفر سائق / proc بينية الى مجموعة مفضله آب. مرة واحدة قائمة bsss في مجموعة من أجهزة المسح هو موجود (/ proc/driver/aironet/eth0/bsslist) ، واختيار واحدة لرصد ودخول لجنة الهدنه العسكرية في معالجة ملف / proc/driver/aironet/eth0/aplist. وهذا سيجبر بطاقه ليتزامن مع ان BSS والتبديل إلى أن القناة ، وبعد المرور من ان BSS يمكن استقباله وقوة الاشارات المستخدمة لتقييم او لرصد اى نشاط مشبوه.

هذه الاستنتاجات البسيطة التجارب تؤكد أن هناك 802.11 الاطر التي هي سمة نمطيه مارقه نقاط الوصول وغير المأذون به المخصص الشبكات ، وهذه الاطر التي يمكن اكتشافها وتحليلها باستخدام الجاهزه للمكونات والبرمجيات الحرة. باستخدام هذه المفاهيم جنبا الى جنب مع قاعدة بيانات عن ثقته فى الوصول الى نقاط وبطاقات وبصمات الاطر المشبوهة ، اثيري يمكن استخدامها كعامل اساسي في بناء كتلة كاملة 802.11 نظام اكتشاف التسلل.