一、无线WiFi网络状态检测与感知分析
二、无线WiFi网络流量嗅探与分析
实验环境
KALI系统(自带aircrack-ng套件)
网卡型号(支持aircrack-ng套件的型号,否则无法使用工具)
1.1 实验原理
使用无线网卡在2.4GHz或5GHz某一固定频道可以对数据包进行嗅探,提取数据包中的数据得到wifi相关的信息.
1.2 实验流程
iwconfig命令
/1.jpg)
可以查看到当前网卡的状态,如图,当前网卡名为wlan0,工作在Managed模式.执行如下命令将网卡变成监听模式
1 | airmon-ng start wlan0 |
/2.png)
再次执行iwconfig查看网卡模式,可以看到网卡名称变为wlanmon,模式变为Monitor/3.png)
接下来执行命令
1 | airodump-ng wlan0mon |
对无线网络进行感知,效果如下:/4.png)
再次执行命令
1 | airmon-ng stop wlan0mon |
关闭监听模式,进入正常模式,然后执行如下命令对无线网络进行扫描感知
1 | iwlist wlan0 scanning |
/5.png)
如果想对输出结果进行一下简单的处理,进行静态展示,只输出关键信息如ESSID|Address|Channel|level|WPA等,可以作如下处理:
1 | #coding=utf-8 |
2 无线WiFi网络流量嗅探与分析
2.0 实验原理
使用无线网卡在2.4GHz或5GHz某一固定频道可以对数据包进行嗅探,当接入的WIFI热点处于Open模式时,通过嗅探可以得到接入此热点的设备流量,提取流量并对其进行分析。
2.1实验过程
首先把网卡变成Monitor模式
1 | sudo airmon-ng start wlan0 |
对周边的热点进行扫描,找到Open模式的热点,在airodump中ENC列的标记为OPN/6.png)
发现channel 11上有热点使用的时Open模式,且对于观测点信号强度最高的AP工作在11信道,使用
1 | sudo iwconfig wlan0mon channel 11 |
把网卡切换到11信道
使用wireshark嗅探数据包
打开wireshark
1 | sudo wireshark |
打开工具栏第四个齿轮图标,选中wlan0mon,在界面下方的Capture filter中可以使用Berkeley Packet Filter(BPF)规则进行有选择的抓包,点击Start开始嗅探.
使用另一台电脑连接Open模式的Wifi,并打开浏览器访问一个http站点,然后使用wireshark对嗅探到的数据包进行分析.
在未指定任何抓包过滤规则的前提下,wireshark获取到数据的界面应如下所示./7.png)
在上方的工具栏中的过滤器输入想要分析的协议名称(dns,arp,http等).
DNS
例如输入dns后,过滤器将筛选出抓到的dns协议的数据包.如下图./8.png)
进一步,可以输入过滤规则 dns.qry.name == “url”,可以看到dns流量,得到访问url时进行的DNS查询和响应,可以进一步查询请求的数据包
关注用户数据包协议和域名系统,如下图所示./9.png)
可以看到UDP中源端口为45936,目的端口为DNS的well-know端口53.在DNS中可以看到标记为0x0100表示标准查询,查询数1表示question’为查A记录,表示询问与域名相对应的IP地址.
打开与这一条DNS请求对应的响应数据包,可以看到DNS服务器返回的源端口为53,查询数为1,回答数为1,表示回答内容为查询的域名所对应的IP地址.
ARP
与dns类似,在过滤器中输入arp,显示嗅探道德ARP协议的数据包,随便打开一个,如下图所示./11.png)
可以看到该设备的MAC地址为”2c:d0:5a:da:b1:56”,IP地址为10.177.162.196.
这台设备向广播地址”00:00:00:00:00:00”发送ARP请求,询问拥有IP地址10.177.171.1的设备MAC地址.下图为10.177.171.1设备的应答包./12.png)
返回设备的MAC地址为”f0:d5:bf:1c:d0:31”
http
http分析与上述类似,可以通过如下过滤方式进行过滤:
1 | http |
/13.png)
http包里可以看到HTTP协议版本号,响应状态码,响应所使用编码,修改时间,http服务器类型等等,http协议内容均由纯文本表示