Ermitteln der nicht autorisierten 802.11 Karten und der Zugangspunkte

Share

|

Das erste Ziel ist Abfragung. Können wir erklären wenn jemand Energien auf einer Karte innerhalb des Bereiches des lokalen Netzes? Dieses kann mit ab Lagerbestandteilen und freier Software getan werden. Der Cisco Aironet Treiber, der mit den neueren Linux Kernen eingeschlossen ist, stützt "Rf Monitor" Modus, der die gemischte Überwachung von 802.11 Paketen ermöglicht - spezifisch rohe 802.11 Rahmen überwachend, um zu ermitteln, wenn es irgendwelche klatschsüchtigen Rahmen gibt, übertragen durch einen Gaunerzugangspunkt oder eine Karte.

Wie in der ursprünglichen Spezifikation 802.11 skizziert gibt es drei Kategorien von 802.11 Rahmen. Mit dem Ziel des Ermittelns der Gaunerzugangspunkte und der nicht autorisierten drahtlosen Ethernet-Karten, sind wir Kategorie 1 und 2 an den Rahmen hauptsächlich interessiert. Kategorie 1 Rahmen sind die einzigen Rahmen, die im Zustand 1 erlaubt werden, unauthenticated Zustand und ist groß die Managementrahmen, die für Authentisierung, Leuchtfeuer und Prüfspitze Anträge benutzt wurden. Kategorie 2 Rahmen werden in beiden Zuständen 1 und 2 erlaubt und werden für Verbindung und Wiedervereinigung benutzt. Von den Zugangspunkten würden wir erwarten, viele Leuchtfeuerrahmen zu sehen (Kategorie 1). Von unassociated die ad hoc Klienten, die im aktiven Modus ablichten, wir würde erwarten, viele Prüfspitze Anträge zu sehen (auch Kategorie 1). Um diese Hypothese zu prüfen, ist eine Methode der Überwachung aller 802.11 Managementrahmen erforderlich, die die Cisco Karte und der Linux Treiber sind fähig "in zum Rf Monitormodus."

Gründen Sie , um die Karte in den Rf Monitormodus zu setzen, irgendeinen BSS (Gebrauch "Modus: r "für normalen Rf Monitormodus): # Echo "Modus: y "> /proc/driver/aironet/eth0/Config #

Dann Anfangsloggenpakete mit dem tcpdump, sie zu einer Akte für neuere Analyse mit ätherischem speichernd: # tcpdump - i eth0 - s 0 - W capturefile #

Nicht autorisiertes ad hoc Netz der erste Test sollte die Fähigkeit bestätigen, eine WLAN Karte zu ermitteln, die an angetrieben wurde. Eine Lucent Orinoco Karte wurde im ad hoc Modus auf einem Win2k Laptop zusammengebaut, und an gewendet an finden Sie heraus, wenn es irgendwelche charakteristischen Rahmen gab, die durch die Orinoco Karte ausgesendet wurden, als er in ad hoc Modus gesetzt wurde.

Nach der initialisierten Karte, wurde tcpdump gestoppt, ätherisches geöffnet begonnen und die Sicherung Akte. Viele Prüfspitze Anträge von der Orinoco Karte wurden gefunden und bestätigten, daß es in der Tat möglich war, zu ermitteln, als jemand innerhalb des nahen Bereiches herauf eine drahtlose Ethernet-Karte im ad hoc Modus angetrieben hatte. Der zergliederte Rahmen war, wie folgt:

IEEE 802.11
Type/Subtype: Prüfspitze Antrag (4)
Rahmen-Steuerung: 0x0040
Version: 0
Art: Managementspant (0)
Formationsglied: 4
Markierungsfahnen: 0x0
Ds Status: Funktioniert das Lassen nicht von von DS oder von von Netz im AD-HOC Modus
(Zu Ds: 0 F.... 0.. = Fragmente: Keine Fragmente
.... 0 = Wiederholung: Feld wird nicht nochmal übertragen
...0.... = PWR MGT: STA bleibt oben
..0..... = Mehr Daten: Keine Daten dämpften ab
0...... = WEP Markierungsfahne: WEP ist untauglich
0.... = Auftrag Markierungsfahne: Nicht ausschließlich bestellt
Dauer: 0
Zieladresse: ff:ff:ff:ff:ff:ff (ff:ff:ff:ff:ff:ff)
Quelladresse: 00:02:2d:1b:51:ca (Agere_1b:51:ca)
BSS Kennzeichnung: ff:ff:ff:ff:ff:ff (ff:ff:ff:ff:ff:ff)
Fragmentzahl: 0
Folgenummer: 118
IEEE 802.11 Radioapparat LAN Managementrahmen
Etikettierte Parameter (19 Bytes)
Kennummer: 0 (SSID Parametergruppe)
Umbaulänge: 15
Umbaudeutung: roguepeertopeer
Kennummer: 1 (Gestützte Rate)
Umbaulänge: 4
Umbaudeutung: Gestützte Rate: 1.0 2.0 5.5 11.0 [ Mbit/sec ]
0000 40 00 00 00 FF FF FF FF FF FF 00 02 2d 1b 51 Ca @.......-.Q.
0010 FF FF FF FF FF FF 60 07 00 0f 72 6f 67 75 65 70..`... roguep
0020 65 65 72 74 6f 70 65 65 72 01 04 02 04 eertopeer 0b 16...

In der Tat zu erklären ist möglich, wenn jemand eine aktiv ablichtende Karte im ad hoc Modus beginnt, und viel nützliche Informationen können von einem einzelnen Rahmen aufgelesen werden. Sind die SSID und das MAC address am relevantesten, da sie verwendet werden können, um eine bestimmte Karte und/oder eine Person unten aufzuspüren.

Nicht autorisierter Zugangspunkt der folgende Test sollte die Möglichkeit des Ermittelns eines Gaunerzugangspunktes bestätigen. Ein tcpdump Lernabschnitt wurde begonnen, und dann wurde ein Cisco Aironet 340 Zugangspunkt eingeschaltet. Nachdem der Zugangspunkt den Boot beendet hatte, wurde das Dump mit ätherischem überprüft, und viele Leuchtfeuerrahmen, die durch den Zugangspunkt ausgesendet wurden, wurden gefunden. Das Folgen ist ein solcher Rahmen, wieder zergliedert durch ätherisches:

IEEE 802.11
Type/Subtype: Leuchtfeuerspant (8)
Rahmen-Steuerung: 0x0080
Version: 0
Art: Managementspant (0)
Formationsglied: 8
Markierungsfahnen: 0x0
Ds Status: Funktioniert das Lassen nicht von von DS oder von von Netz im AD-HOC Modus
(Zu Ds: 0 Von Ds: 0) (0x00)
.... 0.. = Fragmente: Keine Fragmente
.... 0 = Wiederholung: Feld wird nicht nochmal übertragen
...0.... = PWR MGT: STA bleibt oben
..0..... = Mehr Daten: Keine Daten dämpften ab
0...... = WEP Markierungsfahne: WEP ist untauglich
0.... = Auftrag Markierungsfahne: Nicht ausschließlich bestellt
Dauer: 0
Zieladresse: ff:ff:ff:ff:ff:ff (ff:ff:ff:ff:ff:ff)
Quelladresse: 00:40:96:36:88:23 (Telesyst_36:88:23)
BSS Kennzeichnung: 00:40:96:36:88:23 (Telesyst_36:88:23)
Fragmentzahl: 0
Folgenummer: 0
IEEE 802.11 Radioapparat LAN Managementrahmen
Örtlich festgelegte Parameter (12 Bytes)
Zeitstempel: 0x0000000000019274
Leuchtfeuer-Abstand: 0.102400 [ Sekunden ]
Fähigkeit Informationen: 0x0021
.......1 = ESS Fähigkeiten: Übermittler ist ein AP
......0. = IBSS Status: Übermittler gehört einem BSS
...0.... = Privatleben: AP/STA kann nicht WEP stützen
..1..... = Kurze Präambel: Kurze Präambel gewährte
0...... = PBCC: PBCC Modulation nicht erlaubt
0.... = Führung Beweglichkeit: Führung Beweglichkeit nicht im Gebrauch
Cfp Teilnahmefähigkeiten: Kein Punktkoordinator an AP (0x0000)
Etikettierte Parameter (31 Bytes)
Kennummer: 0 (SSID Parametergruppe)
Umbaulänge: 18
Umbaudeutung:
Kennummer: 1 (Gestützte Rate)
Umbaulänge: 4
Umbaudeutung: Gestützte Rate: 1.0(B) 2.0(B) 5.5 11.0 [ Mbit/sec ]
Kennummer: 3 (DS Parametergruppe)
Umbaulänge: 1
Umbaudeutung: Gegenwärtige Führung: 11
Kennummer: 5 (Verkehr (TIM) Anzeige-Diagramm)
Umbaulänge: 4
Umbaudeutung: DTIM Zählimpuls 1, DTIM Periode 2, Bit-Übersichtssteuerung 0x0,
(Bitübersicht unterdrückt)
0000 80 00 00 00 FF FF FF FF FF FF 00 40 96 6 88 23........@.6. #
@.6.#..t 0010 00 40 96 6 88 23 00 00 74 92 01 00 00 00 00 00....
0020 64 00 21 00 00 12 00 00 00 00 00 00 00 00 00 00 d.!..........
0030 00 00 00 00 00 00 00 00 01 04 82 84 0b 16 03 01.............
0040 0b 05 04 01 02 00 00.......

Nicht autorisierter Klient der abschließende geprüfte Zustand war nicht autorisierte Klienten. Das erste betrachtete Drehbuch (das wahrscheinlichere Drehbuch), ist, daß jemand eine fremde Karte und Energien es oben mit dem falschen SSID holt. Wenn die Karte aktiv ablichtete, würden Prüfspitze Anträge von dieser Karte gesehen, während sie versuchte, einen Zugangspunkt zu finden. Das zweite Drehbuch ist, daß jemand eine fremde Karte und Energien es oben mit dem korrekten SSID holt. Dieses zu ermitteln aus fällt, ein wenig problematischeres zu sein, in dem gibt es nur einige Rahmen mit 802.11 Managements, zum eines Alarms auszulösen und dann mehr "normalen" Verkehr. Dieses ist hauptsächlich wegen der Weise problematisch, RFMON_ANYBSS, das Modus auf der Cisco Karte bearbeitet - trotz seines Namens, kann die Karte nicht Pakete von allem BSSs in der Strecke gleichzeitig empfangen, besonders wenn jene unterschiedlichen Frequenzen des Gebrauches BSSs.

Die Konsequenz ist, daß sie etwas manuelle Intervention zum Atemzugverkehr von einem bestimmten BSS nimmt - sehen Sie den Abschnitt unten auf "Problemen und Komplikationen" für mehr Details über dieses Problem und wie man um es arbeitet. Dieses Problem wurde ignoriert und anstatt war der Fokus auf den wenigen Rahmen mit 802.11 Managements, die oben bereitwillig im Sauganleger zeigen - beide Drehbücher, die ausgefallen werden, um ähnliche Prüfspitze Anträge zu produzieren, also, beide Drehbücher werden behandelt, wie identisch. Der zergliederte Prüfspitze Antrag ausgesendet durch diese Karte:

IEEE 802.11
Type/Subtype: Prüfspitze Antrag (4)
Rahmen-Steuerung: 0x0040
Version: 0
Art: Managementspant (0)
Formationsglied: 4
Markierungsfahnen: 0x0
Ds Status: Funktioniert das Lassen nicht von von DS oder von von Netz im AD-HOC Modus
(Zu Ds: 0 Von Ds: 0) (0x00)
.... 0.. = Fragmente: Keine Fragmente
.... 0 = Wiederholung: Feld wird nicht nochmal übertragen
...0.... = PWR MGT: STA bleibt oben
..0..... = Mehr Daten: Keine Daten dämpften ab
0...... = WEP Markierungsfahne: WEP ist untauglich
0.... = Auftrag Markierungsfahne: Nicht ausschließlich bestellt
Dauer: 0
Zieladresse: ff:ff:ff:ff:ff:ff (ff:ff:ff:ff:ff:ff)
Quelladresse: 00:02:2d:1b:51:ca (Agere_1b:51:ca)
BSS Kennzeichnung: ff:ff:ff:ff:ff:ff (ff:ff:ff:ff:ff:ff)
Fragmentzahl: 0
Folgenummer: 1
IEEE 802.11 Radioapparat LAN Managementrahmen
Etikettierte Parameter (13 Bytes)
Kennummer: 0 (SSID Parametergruppe)
Umbaulänge: 9
Umbaudeutung: roguehost
Kennummer: 1 (Gestützte Rate)
Umbaulänge: 4
Umbaudeutung: Gestützte Rate: 1.0 2.0 5.5 11.0 [ Mbit/sec ]
0000 40 00 00 00 FF FF FF FF FF FF 00 02 2d 1b 51 Ca @.......-.Q.
0010 FF FF FF FF FF FF 10 00 00 09 72 6f 67...... rogueh 75 65 68
0020 6f 73 74 01 04 02 04 ost 0b 16......

Probleme und Komplikationen einige Probleme kamen, mit der Cisco Karte und Treiber zu beleuchten, die erwähnt werden müssen. Das erste Problem ist, daß die Cisco Karte, durch die Rückstellung, die RFMON und RFMON_ANYBSS in den Modi gleichmäßig ist, nicht aktiv auf Verkehr auf allen Führungen ständig ablichtet. Die folgenden ist die Bedingungen, unter denen es für BSSs wiederablichtet:

• Wenn die Karte zuerst eingesetzt wird.
• Wenn die Schnittstelle gemischten Modus kommt oder verläßt.
• Wenn Synchrounisierung mit dem gegenwärtigen BSS verloren ist (passend zur Störung, Bewegen aus Strecke heraus oder zu noch etwas, die den Verlust einiger Leuchtfeuerrahmen verursachen würden).
• Wenn die /proc Eintragung /proc/driver/aironet/eth0/BSSList für Schreiben geöffnet ist (", Note /proc/driver/aironet/eth0/BSSList" tut den Trick).

Alle diese Bedingungen willen "Stoß" die Karte in das Wiederablichten. Um eine praktische Abfragung Vorrichtung zu errichten, sollte die Karte in den regelmäßigen Abständen, möglicherweise in jeder Minute getreten werden. Ein einfacher Index, zum der BSSList Akte jede Minute zu berühren tut den Trick. Zweites Problem: Des nicht ganzes BSSs in der Strecke zeigte oben zuverlässig in der Akte /proc/driver/aironet/eth0/BSSList.

Wenn die Karte in RFMON Modus gesetzt wird, ist das Übertragen untauglich, also kann die Karte nicht auf BSSs aktiv ablichten, indem sie Prüfspitze Anträge aussendet. Folglich muß die Karte passive Abtastung verwenden. Anstatt, Prüfspitze Anträge auszusenden, hört die Karte auf Leuchtfeuern. Passive Scans benutzen einen Timer, den,—die Karte auf Leuchtfeuerrahmen hört, bis der Timer abläuft und dann auf eine andere Führung bewegt. Das Problem mit der Cisco Karte ist, daß dieser Timer zu niedrig eingestellt wird. Der Default-Wert ist 40ms, das unzulänglich in unserem Testnetz war, alles BSSs, unabhängig davon die Strecke oder relative die Signalstärke der Zugangspunkte zu beachten. Die Lösung sollte diese Linie der Karte Initialisierungsroutine, setup_card hinzufügen, in airo.c: cfg.beaconListenTimeout = 120;

Die Verdreifachung dieser Abschaltung bildete BSS Abfragung Arbeit zuverlässig. Infolgedessen zeigten alle unsere Zugangspunkte oben in BSSList, die ganze Zeit.

Drittes Problem: Trotz seines Namens die Karte in RFMON_ANYBSS Modus sogar veranließ einsetzen nicht die Karte, Verkehr von allen unsere Zugangspunkte zu empfangen, alle die waren, die unterschiedliche Frequenzen verwenden und vermutlich anders als synchronisiert wurden.

Die Karte selbst beschloß ein BSS, um zu synchronisieren, um auf seinem eigenen Algorithmus zu gründen (vermutlich auf seiner Einschätzung der relativen Signalstärke). Das Problem mit diesem ist, daß wir Verkehr von allem BSSs in der Strecke sehen möchten, nicht gerade die, die geschehen, die stärksten Signale zu haben. Eine Weise könnte nicht gefunden werden, um diese Eigenschaft auf der Cisco Karte zu sperren, aber es gibt einen Workaround - der Linux Treiber liefert eine /proc Schnittstelle, um ein bevorzugtes AP einzustellen. Einmal wird die Liste von BSSs in der Strecke des Scanners gefunden (/proc/driver/aironet/eth0/BSSList), das beschließt, um das MAC address in die Akte /proc/driver/aironet/eth0/APList zu überwachen und einzutragen. Dieses zwingt die Karte, um mit dem BSS zu synchronisieren und zu dieser Führung zu schalten, nachdem kann Verkehr von dem BSS für Signalstärke Einschätzungen oder das Überwachen mißtrauische Tätigkeit empfangen werden und verwendet werden.

Zusammenfassungen diese einfachen Tests bestätigen, daß es 802.11 Rahmen gibt, die von den typischen Gaunerzugangspunkten und von nicht autorisierten ad hoc Netzen charakteristisch sind, und daß diese Rahmen mit ab Lagerbestandteilen und freier Software ermittelt werden und analysiert werden können. Das Verwenden dieser Konzepte zusammen mit einer Datenbank der verläßlichen Zugangspunkte und der Karten und den Fingerabdrücken der mißtrauischen Rahmen, ätherisch konnte als grundlegender Baustein in einem vollerblühten System die Abfragung mit 802.11 Eindringen verwendet werden.