Fundamentos do sniffing wireless do 802.11 Índice

Lista de verificação para uma captação bem sucedidaFerramentas wireless do sniffing de Mac OS Xairportdutilidade do aeroportotcpdumpDiagnóstico do Wi-fiAirtoolSniffing wireless usando Windows 7 com Netmon 3.4 (método suplicado)IntroduçãoSniffing wireless usando o Access point da leve Cisco (REGAÇO) no modo do snifferIntroduçãoEtapas de configuração1) Lado WLC/AP2) Lado do sniffer: Wireshark3) Lado do sniffer: OmniPeekSniffing wireless usando o assistente remoto do OmniPeek (ORA)IntroduçãoAdaptadores Wireless e direcionadores apoiadosInstalação de driver para Linksys USB600N com Windows XPAssistente sendo executado do telecontrole de OmnipeekAjustes da captaçãoPropriedades de arquivoControle da captaçãoSniffing wireless usando Cisco (IO) AP autônomoAnálise da captação do sniffer do 802.11 - Camada físicaIntrodução: informação de camada física em capturas de pacote de informação wirelessCabeçalhos de pacote de informação wireless – exemplosDiagnósticos wireless de Mac OS X 10.7 (adaptador de Broadcom?)OmniPeek 6.8 (adaptador de Ralink USB)Netmon 3.4Aplicando arquivos wireless como colunas de WiresharkAnálise da captação do sniffer do 802.11 - Filtração de WiresharkIntroduçãoWireshark Filtrar-WLANObjetivoPré-requisitosPor que nós precisamos de capturar o farejador de rastreamento wireless?Por que nós precisamos de usar o filtro wireless da captação do sniffer?Quando usar FILTROS do INDICADOR e CAPTURAR FILTROS?Como filtrar?

BARRA DE MENUSA BARRA DE FERRAMENTAS principalA barra de ferramentas do “filtro”Do “a placa da lista pacote”A placa dos “detalhes de pacote”A placa dos “bytes de pacote”O StatusbarO Statusbar inicialUsando filtros da captaçãoFiltro do indicadorUsando a regra de filtro da coloraçãoAnálise da captação do sniffer do 802.11 - Quadros do Gerenciamento e AUTH abertoIntrodução802.11 – Quadros e autenticação abertaProcesso de authenticação do cliente do 802.11Quadros do GerenciamentoFrames de controleFrames de dadosReferênciasAnálise da captação do sniffer do 802.11 - WPA/WPA2 com PSK ou EAPWPA-PSK(TKIP)WPA2-PSK(AES/TKIP)Como decifrar dados WPA2 AES sobre sobre as capturas de pacote de informação do ar comWiresharkRequisitos:ProcessoEmpresa WPA/WPA2WPA(TKIP)/WPA2(AES) com dot1x (EAP-TLS)Análise da captação do sniffer do 802.11 – MulticastIntroduçãoSoluçãoIGMP Snooping no WLCDiretrizes para usar o Modo multicastConfigurando o Multicast (que usa o modo do Multicast-Multicast)No controlador do Wireless LANConfiguração do Multicast na rede ligada com fioCapturas de pacote de informaçãoTopologiaFerramenta do gerador de tráfego do MCASTCaptura de pacote de informação prendida de Wireshark no gerador do MCASTCaptação de Windows Netmon no gerador de pacote do mcastCaptações de Wireshark na relação wireless do cliente WirelessCaptação de Netmon na relação wireless do cliente WirelessAnálise da captação do sniffer do 802.11 – Autenticação da WebIntrodução

Configuração WebauthConfiguração no WLCEstá aqui o cliente debuga quando o o cliente tentou conectar

IntroduçãoO processo de recolher um bom farejador de rastreamento wireless, a fim analisar e pesquisardefeitos o comportamento do 802.11, pode ser uma operação difícil e demorada. Mas há algumascoisas a ter que ajudarão a simplificar e acelerar este processo. Com sniffing wireless ajuda a teruma ideia do que você está tentando realmente fazer - você está tentando capturar os wirelessframe crus sobre do ar, como visto pelo dispositivo de farejamento wireless próprio.  

Lista de verificação para uma captação bem sucedida

Passo 1:    Desde o dispositivo de farejamento, o dispositivo do cliente e o AP são todos queusam o RF que gerencie rádios para a transmissão ou recepção, ajuda a ter seu sniffer wirelessperto de seu dispositivo de destino (máquina cliente). Isto permitirá que seu dispositivo defarejamento capture uma boa aproximação do que seu dispositivo do cliente se está ouvindosobre o ar.

Passo 2:    Use um dispositivo separado para atuar como seu sniffer wireless - você não podetomar um bom farejador de rastreamento wireless se está sendo executado no dispositivo sob oteste (máquina cliente que você está tentando obter um traço wireless de).

Passo 3:    Compreenda que exatamente que canal do 802.11 e une seu dispositivo do cliente seestá usando antes de estabelecer sua captação. Trave seu sniffer ao canal de interesse - não usevarredura do tubo aspirador a “canaliza” o modo!  (Com “varredura canaliza”, o sniffer dará umciclo do canal para canalizar cada segundo ou assim - útil para uma análise de site ou paraencontrar “rogues”, mas não quando tentando capturar um problema do 802.11.)

Igualmente tenha que seu dispositivo do cliente pode vaguear a um outro AP que esteja em umcanal diferente ou na faixa RF, assim que você precisa de planejar em conformidade. Tipicamente(2.4GHz) no ambiente 802.11b/g, usar uns três sniffer do canal pode ser exigida. Isto envolveusar 3 adaptadores Wireless em seu dispositivo de farejamento, com o cada um ajustou-se paracanalizar 1, 6 e 11.   Usar adaptadores Wireless USB trabalha melhor para este tipo deinstalação.

Passo 4:    Se você está pesquisando defeitos 5GHz, a seguir o número de canais aumentarádramaticamente. Desde que você não pôde ter bastante cartões para capturar todos os canais, éuma boa prática para o teste, operar sobre não mais de 4 canais em seus Access pointcircunvizinhos.

  

Passo 5:    Se você pode reproduzir o problema quando um cliente vagueia de um canal a outro,a seguir um sniff 2-channel deve bastar.  Se você tem somente um sniffer do canal únicodisponível, a seguir mande-o aspirar vaguear-ao canal.

Passo 6:    Sempre sincronização de NTP seus tubos aspiradores.  A captura de pacote deinformação deverá ser ordenada com debuga captações, e com outro prendida e/ou captações doSem fio.  Ter seu segundo dos timestamps mesmo fora fará o cotejo muito mais difícil.

Passo 7:    Se você está capturando durante um longo período do tempo (horas), a seguirconfigurar seu sniffer para cortar um arquivo de captura novo cada 30MB ou assim.  A fim evitarencher-se acima de seu disco rígido, você quererá pôr um limite superior sobre o número dearquivos redigidos.

Note: O Linksys USB600N não recolhe confiantemente os pacotes 11n com intervalo do protetorcurto. Faltando 20% a 30% de pacotes do intervalo do protetor curto. Caso necessário aconfiguração WLC pode ser mudada para usar somente o intervalo longo mais lento do protetor.Esta deve ser somente uma mudança de configuração temporária. O comando é: 802.11 daconfiguração {a | protetor-intervalo 11nsupport b} {algum | por muito tempo}

Ferramentas do snifferSniffing wireless usando um Mac com OS X 10.6 e acima

Sniffing wireless nos trabalhos do Mac bem, como Mac OS X construiu nas ferramentas paracapturar um traço wireless.  Contudo, segundo que versões do OS X você está executando, oscomandos podem variar.  Este OS X 10.6 das capas de documento com a versão a maisatrasada. Os diagnósticos do Wi-fi são o método preferido nos macbooks os mais atrasados. Ésempre bom recordar que seu sniffer do macbook precisa de ser pelo menos tão capaz como ocliente que você está aspirando (aspirar um smartphone 802.11ac com um macbook 802.11n nãoé ótimo)

Ferramentas wireless do sniffing de Mac OS X

airportd (10.6-10.8)●

utilidade do aeroporto (10.6 - 10.8)●

tcpdump (10.8)●

Diagnósticos do Wi-fi (10.7->10.12)●

Wireshark (10.6 - 10.8)●

Ferramenta da 3ª parte: Airtool●

airportd

Se você está executando o OS X 10.6 (Snow Leopard) ou acima, a seguir você pode facilmenteusar o “airportd de serviço público” da linha de comando.  Use as seguintes etapas:

Use do “o combinado chave da barra de espaço comando " + "” para trazer acima a caixa dodiaglog da busca na parte superior direita superior da tela e para datilografar dentro a palavra“terminal”, isto procurará pelo aplicativo de terminal, seleciona este aplicativo executá-lo. Umajanela terminal aparecerá.

●

Uma vez que você tem uma janela terminal aberta, você pode executar o comando doseguimento capturar um farejador de rastreamento wireless no canal 11 RF (802.11b/g):

●

do “sniff 11" de /usr/libexec/airportd en1 sudo

Algumas coisas a notar:

Você será alertado entrar em sua senha de conta para a verificação.●

Você não pode especificar o nome do arquivo de captura ou onde você colocará a saída.●

Você perderá toda a conectividade Wireless a sua rede quando a captação ocorrer.●

Se você está usando um ar, o adaptador Wireless é en0 um pouco do que en1●

Uma vez que você é terminado com o traço, a batida “CNTL-C” para parar o traço e autilidade indicará o nome e o lugar do arquivo de captura. O formato do arquivo é seu arquivopadrão do wireshark PCAP que pode ser lido no MAC ou no Windows através de Wireshark.

●

  

utilidade do aeroporto

O IS-IS da utilidade do aeroporto não um programa do sniffer; contudo, pode fornecer ainformação interessante sobre o Wireless LAN.  Também, tem a capacidade para ajustar o canalwireless do padrão - que é crucial para os programas do sniffer (tcpdump, Wireshark) que são elemesmo incapazes de ajustar o canal

Nota: porque o trajeto à utilidade do aeroporto é tão feio, pode ser uma boa ideia ajustar-lhe umlink simbólico de um diretório no trajeto, por exemplo.

# ln do sudo - s/System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport/usr/sbin/airport

ajuste o canal wireless

# sudo/System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport --channel=48

despeje para fora a informação nos SSID/BSSIDs visto:

# sudo/System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport -s

             SEGURANÇA do CANAL HT CC SSID BSSID RSSI (AUTH/unicast/grupo)

              Teste 00:24:97:89:cb:41 -53 11 Y   --    WPA (PSK/TKIP/TKIP) WPA2(PSK/AES/TKIP)

              Test2 00:24:97:89:cb:40 -53 11 N   --    WPA (PSK/TKIP/TKIP)

              Convidado 00:22:75:e6:73:df -64 6,-1 Y   --    WPA (PSK/AES, TKIP/TKIP)WPA2(PSK/AES,TKIP/TKIP)

informação detalhada na associação atual:

# sudo/System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport –Mim

agrCtlRSSI:             -54

agrExtRSSI:            0

agrCtlNoise:            -89

agrExtNoise:           0

estado:                     ser executado

modo op:                estação

lastTxRate:             300

maxRate:                300

lastAssocStatus:     0

AUTH do 802.11:            abra

AUTH do link:                wpa2-psk

BSSID:                   0:24:97:95:47:60

SSID:                     GuestNet

MCS:                     15

canal:                 36,1

tcpdump

O tcpdump é uma utilidade da linha de comando enviada com OS X que pode executar a capturade pacote de informação.  (A utilidade do tshark empacotada com Wireshark é muito similar.) Para executar uma captura de pacote de informação wireless que usa o tcpdump:

primeiro grupo o canal usando a utilidade do aeroporto como mostrado acima●

execute então uma captura de pacote de informação wireless, salvar a um arquivo.  Quandofeito, datilografe Control/C para retirar.

●

Exemplo:

tcpdump bash-3.2# - Mim - P - i en1 - w /tmp/channel-11.pcap

tcpdump: AVISO: en1: nenhum endereço do IPv4 atribuído

tcpdump: escutando em en1, tipo de link IEEE802_11_RADIO (802.11 mais o encabeçamento doradiotap), tamanho da captação 65535 bytes

^C897 pacotes capturados

968 pacotes recebidos pelo filtro

pacotes 0 deixados cair pelo núcleo

bash-3.2#

Diagnóstico do Wi-fi

O método o mais fácil da captação é usar o programa gráfico chamado Wi-fi Diagnóstico. 

Pode ser alcançado guardando a chave ALT e clicando à direita o ícone do wifi (esse onde vocêseleciona tipicamente o SSID você quer conectar a)

Clique sobre “a opção dos diagnósticos wireless abertos” na lista.

Trará um indicador que execute um relatório do padrão no Troubleshooting. Este não étipicamente o que você está interessado.

Mantenha-se que o indicador abriu e vá-se na barra de menus sobre a tela. clique o “indicador”.Você verá uma lista de outras ferramentas interessantes (úteis para a análise da análise de siteou do sinal). No âmbito da captação wireless do sniffer, nós estamos interessados na opção do“sniffer”, clicamo-la sobre.

Você então tem que simplesmente escolheu o canal principal assim como a largura do canal.

A captação do sniffer salvar no Desktop ou em /var/tmp/ até à data da serra do Mac OS.

Airtool

Algumas ferramentas da 3ª parte igualmente existem a que apoiará muitas versões de Mac OS Xe aumentará as características encaixadas aspirar com opções mais fáceis escolheu os canais.Um exemplo é Airtool: https://www.adriangranados.com/apps/airtool

Sniffing wireless usando Windows 7 com Netmon 3.4 (métodosuplicado)

Introdução

Com monitor da rede Microsoft (Netmon) 3.4, você pode agora executar algum sniffing802.11a/b/g (e talvez 11n) wireless aceitável em Windows 7, usando seu adaptador Wirelesspadrão.  O arquivo salvar de Netmon pode ser lido (1.5 e acima) pelo Wireshark o mais atrasado,

embora não no OmniPeek. É importante para a nota que Netmon não está apoiado por Microsoftanymore e o mais frequentemente não trabalhará corretamente nos adaptadores 11n e 11ac (amaioria molda desaparecidos).

Netmon 3.4 é apoiado com XP SP3; contudo, não apoia o sniffing wireless ao executar o XP.  Arespeito da vista, a experiência é misturada; um origem confiável relata que o sniffing wirelesstrabalha na vista 64-bit em um Macbook com o adaptador BCM43xx 1.0.

Nós removemos a seção detalhada Netmon deste documento desde que é suplicada e nãocapturará confiantemente os quadros 802.11ac.

Você pode ainda ver detalhes em: https://supportforums.cisco.com/t5/wireless-mobility-documents/wireless-sniffing-in-windows-7-with-netmon-3-4/ta-p/3115844

Sniffing wireless usando o Access point da leve Cisco(REGAÇO) no modo do sniffer

Introdução

Você pode usar Cisco WLC e regaços no modo do sniffer, conjuntamente com um snifferprendido (os melhores resultados com Wireshark. Omnipeek decifra o protocolo diferentementeaté à data da versão 10).

Um único sniffer prendido pode recolher pacotes dos AP múltiplos, assim que este método émuito útil executar traços do multi-canal. Para encenações estáticas, se é possível mover o snifferAP, isto pode ser usado como uma alternativa eficaz a outras opções do sniffing.

Para encenações vagueando, o sniffer AP é instalado geralmente nas proximidades dos AP que ocliente vagueia completamente, e este relatará o “ponto de vista” dos AP estáticos um pouco doque o cliente.

A fim considerar o RF do ponto de vista do cliente ao vaguear, um traço wireless do multi-canaldeve ser capturado usando um portátil com NIC Wireless múltiplos que seguirão o cliente deteste.

Etapas de configuração

1) Lado WLC/AP

Estão aqui as etapas a fim recolher um traço usando um REGAÇO do modo do sniffer

Configurar o AP no modo do sniffer:●

O AP recarregará e não poderá servir clientes.

Uma vez que o AP tornou a reunir o WLC, configurar o rádio do AP (802.11b/g/n ou802.11a/n):            especifique o endereço IP de Um ou Mais Servidores Cisco ICM NT dosnifferselecione o canalpermita o sniffing

●

O sniffer receberá o tráfego do 802.11 encapsulado usando o protocolo do airopeek, doendereço IP de gerenciamento WLC com porta de origem UDP/5555 e destino UDP/5000

●

2) Lado do sniffer: Wireshark

Se usando Wireskark para receber o tráfego, (nota: você deve usar o wireshark 1.6.8 ou maisadiantado, umas versões mais novas têm este apoio quebrado e os pacotes não serãodescodificados corretamente, porque o sniffing que 802.11ac nós recomendamos mesmoexecutar o wireshark o mais atrasado enquanto os realces são feitos constantemente àdescodificação) seguem as etapas abaixo:

Ajuste as opções da captação para receber - trafique somente em UDP/5555:●

Este filtro é opcional mas recomendado fortemente porque exclui todo o tráfego relativo NON-Sem fio da captação. Considere que o WLC não envia o tráfego a uma porta UDP lá é nenhumaplicativo que escuta no lado do sniffer; isto conduz a ter uma resposta porta-inacessível ICMPpara cada pacote recebido do WLC.

Embora isto seja esperado, o filtro acima ajuda a excluir igualmente este tráfego que é inútil eassim que pode somente fazer com que o traço seja mais grande e mais difícil ler.

Então, comece a captação:●

O tráfego capturado tem que “ser descodificado como.” PEEKREMOTE a fim poder ver otráfego do 802.11:

●

O tráfego do 802.11 será agora visível:●

A informação RF mostrada acima (por exemplo o canal, a intensidade de sinal, o ruído.) éadicionada pelo AP.

3) Lado do sniffer: OmniPeek

Ao usar o OmniPeek como o receptor do fluxo de tráfego do WLC/AP no modo do sniffer, é antesde mais nada necessário criar de “adaptador remoto Cisco” sob o menu do “adaptador” da “doindicador das opções captação”:

Pelo menos um adaptador é exigido; o nome é um campo imperativo, visto que o campo do“endereço IP de Um ou Mais Servidores Cisco ICM NT” pode ser saido vazio se você não quer oOmniPeek filtrar o tráfego de entrada de um WLC específico.

Neste caso não é necessário filtrar para fora nenhum tráfego (tal como o ICMP porta-inacessível)porque o OmniPeek escutará na porta UDP para capturar especificamente o fluxo de dados docontrolador do Wireless LAN.

Antes de começar a captação, confirme os ajustes no indicador principal do OmniPeek:

Neste momento a captação pode ser começada e o resultado será um traço que inclui ainformação RF relatada pelo AP:

NOTE: À revelia o adaptador remoto do OmniPeek pegara o timestamp enviado pelo AP próprio;esta informação não não tem nada fazer com o pulso de disparo AP, assim que o timestampresultante estará incorreto. Se você usa um único sniffer AP os timestamps serão errados maspelo menos consistentes; isto é já não verdadeiro se você usa AP múltiplos como os tubosaspiradores (como cada AP enviará sua própria informação do timestamp, causando saltos funkydo tempo na captação fundida).

Solução●

Você pode explicitamente dizer o OmniPeek para usar o pulso de disparo local do sniffer PC paraajustar o timestamp do pacote.

Isto resolve a única e multi encenação AP, tendo timestamps corretos e consistentes enquanto oOmniPeek running PC tem um pulso de disparo NTP-sync'd.

Como etapas:●

No OmniPeek, faça o seguinte:

1. Vá aos módulos de Tools>Option>Analysis

2. A busca para o adaptador remoto de Cisco faz duplo clique então para trazer para fora asopções.

3. O tiquetaque na opção do Timestamp então clica a APROVAÇÃO e testa outra vez a captação.

Sniffing wireless usando o assistente remoto do OmniPeek(ORA)

Introdução

Assistente remoto de Omnipeek (ORA) - O tac Cisco pode fornecer o aplicativo assistente remotode Omnipeek ajudar em executar capturas de pacote de informação wireless. A ferramentacapturará pacotes wireless e cifrá-los-á processando pelo TAC. Uma versão completa daempresa de Omnipeek é exigida decifrar e analisar os arquivos de captura.

Você deve receber um arquivo zip do TAC – tal como “ORADist_Default_7.0.zip” (o nome dearquivo pode mudar com versões de liberação diferentes).  Abrir o zíper este arquivo a algumdobrador - para executar ORA, simplesmente o lançamento OmniPeekRemoteAssistant.exedesse dobrador.

Adaptadores Wireless e direcionadores apoiados

Capturar pacotes wireless com ORA exige o uso de adaptadores de rede Wireless apoiados juntocom a versão do driver apropriada. Para ver uma lista completa de adaptadores e dedirecionadores apoiados, veja por favor: -

http://www.wildpackets.com/support/downloads/drivers

Na maioria dos casos, os adaptadores de Ralink USB serão os mais fáceis instalá-los - e, porquevocê pode instalar adaptadores múltiplos USB em um único portátil - são a melhor maneira deobter uma captação multichannel.  Os seguintes adaptadores de Ralink foram testados pelo tacCisco:

Linksys WUSB600N (V1 e V2), Linksys AE1000, ALFA AWUS051NH

Instalação de driver para Linksys USB600N com Windows XP

Etapa 1. O TAC pode fornecer o direcionador do OmniPeek para os adaptadores de Ralink USB. Você deve receber um arquivo zip “RALINKUSB-1_4_0_18.ZIP”. Haverá 2 dobradores no arquivo-- “Win2kXP” para Windows de 32 bits e “WinXPx64” para Windows 64-bit. Extraia os índices dodobrador apropriado para seu sistema operacional a um lugar especificado.

Etapa 2. Introduza o adaptador de Linksys USB600N.a. Se isto está usando a primeira vez o adaptador na estação de trabalho, Windows começará owizard de hardware novo. Não procure por um direcionador automaticamente e clique emseguida. Salte a etapa 3.

b. Se você tem instalado previamente o Linksys USB600N em sua estação de trabalho, vocêprecisará de mudar o direcionador à versão de Omnipeek.  Vá ao Iniciar > Painel de Controle >Conexões de Rede e clicar com o botão direito no adaptador de Linksys e clique propriedades.Neste exemplo, a relação é a “conexão de rede Wireless 3".

Sob o tab geral, clique “configuram…” abotoe, e clique então sobre a aba do direcionador > odirecionador da atualização. Isto alertará o assistente da atualização do hardware.

Etapa 3. Seleto “instale de uma lista ou de um lugar específico (avançada)” e clique em seguida.Selecione a “busca para o melhor direcionador nestes lugar. ”, inclua o lugar de seus arquivos de

driver extraídos e clique-o em seguida: -

Etapa 4. Windows agora procurará e instalará o direcionador de Omnipeek. Se você recebe oseguinte mensagem de advertência, o clique “continua de qualquer maneira”.

Etapa 5.  A instalação de driver deve terminar e o adaptador está agora pronto para capturarpacotes com ORA.

Assistente sendo executado do telecontrole de Omnipeek

Se o direcionador correto não é carregado, ORA pode parecer trabalhar, mas não fornecer aopção para selecionar o canal desejado para monitorar. A pilha do canal lerá “Ethernet” ou “Semfio” e não oferecerá a opção selecionar um canal: -

Ajustes da captação

Selecione os adaptadores desejados para executar a captação e para indicar o canal desejado.Se você tem múltiplo os adaptadores apoiados instalaram-no podem capturar nos canaismúltiplos simultaneamente (mas em você não pode misturar relações ao mesmo tempo prendidase wireless). Você pode selecionar um canal canal 802.11b/g ou 802.11a no dropdown. Você podeselecionar 40 802.11n megahertz de utilização dos canais (n40l) ou opções (n40h). O n40l será ocanal selecionado e mais baixo canal adjacente, quando n40h será o canal selecionado e canalmais alto adjacente.

Propriedades de arquivo

Selecione o dobrador que você gostaria de armazenar dentro os arquivos de captura. Você podeentão igualmente especificar o tamanho do derrubamento do arquivo. Cada nome de arquivonovo incluirá um timestamp assim que os dados não overwritten.

Controle da captação

Se você selecionou ajustes corretos do adaptador/canal, você poderá agora clicar ocomeço/botões Stop Button na parte inferior. Você não poderá ver os pacotes, mas você verá oincremento dos contadores. Parada do clique quando terminado.

Sniffing wireless usando Cisco (IO) AP autônomo

Um AP autônomo pode ser usado para recolher capturas de pacote de informação do ar. Sigaestas instruções ao peform a captação do ar.

1. Incorpore a relação dot11radio em que você deseja executar a captação. Ajuste o estação-papel ao sniffer, adicionar o IP server/PC que executará Wireshark e recolhe as captações, eselecione o canal. A porta que você especifica com os quadros do monitor o comando será aporta do destino UDP a que o AP envia as captações.

Passo 1 int {d0 | d1} Entrando no modo de comando interface configuration para configurar as interfaces de rádio.Passo 2 sniffer do estação-papel Mudando o papel da estação ao sniffer.Etapa 3 número de canal Selecionando o canal em que para operar-se no modo do sniffer.Passo 4 nenhum fechado Inverte a parada programada da relação.Etapa 5 saída Retira o modo de comando interface configuration.Etapa 6 número de porta da porta do IP de destino do IP address do sniffer Ajusta o endereço IP de Um ou Mais Servidores Cisco ICM NT e o número de porta, a que o AP reorientará todos os pacotes. Você pode especificar um endereço IP de Um ou Mais Servidores Cisco ICM NT em qualquer número de porta entre 1024 a 65535.Etapa 7 o wireshark permite Se você está usando Wireshark no ponto final, este adiciona um encabeçamento de Wireshark aos pacotes.Configuração de exemplo:

ap(config)# int d0ap(config-if)# station-role snifferap(config-if)# channel 11ap(config-if)# noshutap(config-if) # exitap(config)# sniffer ip-address 10.126.251.30 port 5555ap(config)# wiresharkenable2. Comece Wireshark no server/PC. Navegue para capturar > opções. Selecione o Ethernet NIC(LAN) e adicionar um filtro para capturar somente o tráfego com a porta que UDP vocêespecificou em etapa 1.

3. Comece a captação de Wireshark.

Arquivos de captura transferindo arquivos pela

rede ao pedido do serviço TACSe o arquivo de captura é demasiado grande para o email, você pode transferi-los arquivos pelarede a seu pedido do serviço TAC:

https://tools.cisco.com/ServiceRequestTool/query/

Incorpore seu número do SÊNIOR, e clique então sobre o upload de arquivo.

Análise do snifferPara analisar captações do Sem fio, refira os links abaixo. São projetados ser ordem em lidadesde que cada documento construirá em cima do documento precedente.  Tenha isso aoler todo o traço wireless, seu uma boa ideia compreender as especificações do Sem fio do802.11.  Quando estes documentos farão um grande trabalho na ajuda você compreende o fluxode pacote de informação e o que a procurar em um traço wireless, não são significados ensinaras especificações do Sem fio do 802.11.

Análise da captação do sniffer do 802.11 - Camada física

Introdução: informação de camada física em capturas de pacote de informaçãowireless

Um pacote capturado contém uma cópia dos dados de frame – mas prepended a cada quadro éum encabeçamento dos metadata, dando lhe a informação sobre como o quadro foi capturado. Com pacotes prendidos, os metadata não são muito – o número de frame, data quando o pacotefoi capturado, o comprimento do pacote.  Ao fazer a análise prendida do pacote, você importa-seraramente demasiado com a camada física – com uma taxa de erros de bits de 1010, você supõegeralmente que os bit capturados são o que dizem que são.

O Sem fio é uma outra história inteiramente – a camada física é vastamente mais complexa – etraiçoeiro – do que prendido.  Antes que mergulhando em uma tentativa de analisar uma captaçãobaseada nas camadas superior, está geralmente uma boa ideia obter uma compreensão dacamada física em que a captação foi tomada.  Se a camada física não está funcionando certo –então as camadas superior nunca terão uma possibilidade.

As seguintes qualidades da camada física são particularmente importantes estar cientes de:

·        Intensidade de sinal (RSSI, “intensidade de sinal”, sinal/relação de ruído.)  É geralmente omelhor focalizar no RSSI, se disponível – isto é o nível da potência no dBm em que o adaptadordo sniffing recebeu o pacote.

o RSSI < dBm -90: este sinal é extremamente fraco, na borda de que receptor pode receber

o RSSI -67dBm: este é um sinal razoavelmente forte – a borda do que Cisco considera seradequado apoiar a Voz sobre o WLAN.

o RSSI > -55dBm: este é um sinal muito forte

o RSSI > -30dBm: seu sniffer está sentando-se certo ao lado do transmissor

·        Canal (frequência.)  Porque um Wireless LAN pode apoiar em qualquer lugar 3 a 25 ou oscanais tão diferentes, é crucial saber exatamente de que o canal sua captação foi tomado.  Sesua intenção é obter um sniff de um AP específico, a seguir trave seu sniff ao canal desse AP, evalide-o que a captação estava nesse canal – se não, a captação será sem valor.

·        Taxa de dados – isto pode ser em qualquer lugar de 1Mbps até 300Mbps ou mais.  Paracompreender porque as transmissões de dados não o fazem sempre do transmissor ao receptor,você deve saber que taxas de dados estão sendo usadas.  Um RSSI “marginal” de -80dBm podetrabalhar horrìvea para um pacote modulado em 54Mbps, mas pode ser bastante satisfatório em6Mbps.

Cabeçalhos de pacote de informação wireless – exemplos

Os tubos aspiradores wireless diferentes podem usar formatos de cabeçalho diferentes dosmetadata para codificar a camada física wireless.  Esteja ciente que a precisão da informação édependente do hardware do adaptador e do direcionador específicos no uso.  Alguns valores, taiscomo o ruído, devem geralmente ser tomados com um grão de sal.

Estão abaixo algumas amostras, com a taxa de dados, a frequência e os campos RSSIdestacados.

Diagnósticos wireless de Mac OS X 10.7 (adaptador de Broadcom?)

O OS X 10.7 usa um encabeçamento de Radiotap v0, que olhe como este em Wireshark:

OmniPeek 6.8 (adaptador de Ralink USB)

Em Wireshark, uma captação do OmniPeek usa um encabeçamento de Airopeek, que olhe comoeste:

Note que Wireshark (até à data de 1.6.x) não sabe descodificar todos os metadata wireless emuma captação do OmniPeek – o mesmo quadro visto no OmniPeek próprio mostra o dBm dosinal, o dBm do nível de ruído e do ruído:

Netmon 3.4

Aplicando arquivos wireless como colunas de Wireshark

Émuito frequentemente muito mais fácil compreender o que está acontecendo com um sniffwireless, se você aplicou os campos wireless como colunas.  É aqui como fazer isto:

1. Encontre o campo de interesse na seção dos detalhes de pacote (que expande primeiramentea seção aplicável do encabeçamento caso necessário) e clicar-lo com o botão direito.  Seletoaplique como a coluna:

2.   A coluna nova aparece.  Agora você pode resize, rebatizar (pelo direito que clica o cabeçalhoda coluna e que seleciona “edite detalhes da coluna "), e mover a coluna como desejada.

3. Repita para outras colunas do interesse.  Agora você tem um punho melhor nos aspectos dacamada física de sua captação:

4.   Uma vez que você aplicou a coluna nova, a próxima vez que você executa Wireshark, acoluna estará disponível (se você não a vê, o clica com o botão direito os cabeçalhos da coluna eo seleciona colunas indicadas.)

Análise da captação do sniffer do 802.11 - Filtração de Wireshark

Introdução

Análise da captação do sniffer '802.11 - Filtração de Wireshark

Wireshark Filtrar-WLAN

Objetivo

Este documento ajudá-lo-á em guiar como estabelecer o wireshark e analisar os pacotesinteressantes usando uma ferramenta versátil dentro do wireshark para programar chamado osfiltros do wireshark.

Pré-requisitos

A ferramenta do wireshark em si mesmo não nos ajudará na obtenção com o Troubleshooting amenos que nós tivermos um bom conhecimento e da compreensão do protocolo, a topologia darede e que os pontos de dados para considerar tomar farejadores de rastreamento. Isto éverdadeiro para se seu para prendido ou para a rede Wireless onde nós capturamos os pacotessobre o ar antes que estejam postos sobre a rede. O descascamento do MAC address wireless éfeito pelo pelo AP.

Por que nós precisamos de capturar o farejador de rastreamento wireless?

Quando nós inspecionamos um tráfego ou uns dados em uma rede ligada com fio usando ofarejador de rastreamento e o cant prendidos encontram nossos pacotes interessantes que nósprecisamos de saber onde está que falta. Nossa suspeita pode conseguir-nos verificar se a fezmesmo através do primeiro ponto da fonte de origens que ser wireless está funcionando muitobem ou não ou ele que está sendo faltado sobre o ar. Se não fez corretamente sobre o ar entãoobviamente faltará ou não obterá traduzida ou enviada sobre sobre à face da tela pelo AP ao DSou ao sistema de distribuição. Torna-se então crítico para nós identifica e localiza a edição derede Wireless usando o farejador de rastreamento wireless.

Por que nós precisamos de usar o filtro wireless da captação do sniffer?

Quando se trata de pesquisar defeitos edições ligadas à rede há muitas dependências e todo otrabalho no modelo mergulhado e nos cada dados da camada depende de sua camada maisbaixa abaixo dele. Há muitos componentes ou os elementos de rede e a configuração e aoperação apropriada dos dispositivos ajudam-nos a conseguir uma rede do corredor liso. Quandouma rede de trabalho para de funcionar uma aproximação lógica está exigida para localizar aedição. Uma vez que identificado ainda o ponto exato da falha é difícil de encontrar. Aquele snifferdas situações vem a nosso auxílio. Desde que este processo de Troubleshooting pode se tornartão complicado apesar de usar o melhor aproxime e tendo uma boa compreensão e pesquisandodefeitos habilidades. O problema é que se você captura os pacotes que viajam através de umdispositivo de rede nós podemos terminar ter o arquivo enorme e podemos mesmo terminar até1G se você captura o suficiente com detalhes dos pacotes do lote nele. Com tal grandequantidade de dados opressivamente pode ser muito demorado fixar o ponto o problema e obtémpraticamente muito umas tarefas difíciis que tendem quase a impossível.

Filtrar vem a nosso salvamento ajudar bom pesquisar defeitos um coordenador a mancharrapidamente os problemas eliminando o tráfego não desejado que corta as variáveis aos algunsou variáveis mínimas para focalizar sobre ao mesmo tempo. Isto ajudará rapidamente emencontrar se o tráfego interessante esta presente ou ausente do tráfego recolhido. O uso dosfiltros então transforma-se uma arte e complementa-se a habilidade dos troubleshootersextremamente

Aumenta o tempo à definição rapidamente daqui a necessidade de compreender como usar afiltração do wireshark.

- o INDICADOR FILTRA – depois que você captura muita informação, ajudam-no a visualizarsomente os pacotes que você está interessado dentro

- a CAPTAÇÃO FILTRA – desde o início você conhece o que o pacote de interesse para você ecaptura somente aqueles pacotes

Os filtros para colorir os pacotes isto são usados como um auxílio visual para aumentar o filtro doindicador ou para capturar o filtro ou podem ser usados apenas sem nenhum filtro para classificarapenas muitos pacotes interessantes como cores diferentes para a aproximação de nível elevado.

Quando usar FILTROS do INDICADOR e CAPTURAR FILTROS?

Recomenda-se usar os filtros da captação, quando você conhece que o que são você queprocura e que tenta verificar aquele em um tráfego running a esse evento é capturado quando acorrida que para mais do que pares de horas em um ambiente do tráfego pesado. Isto ajudará emmanter os dados recolhidos para ficar em uma quantidade razoável em termos do tamanho doarquivo.

Se nós estamos em um ponto nós não somos certos o que puderam causar a edição e somosmais de uma natureza aleatória comportável do problema a seguir executamos a captura depacote de informação por menos tempo dentro do indicador provável do teste padrão daocorrência do problema, como uma ou dois horas, captação todo o tráfego e usamos então filtrosdo indicador para visualizar somente a informação por que você está procurando.

Além do uso acima de um pode ver que toda a captação e usar regras da coloração para travar aatenção do determinado tipo de pacotes atribuiu a cores diferentes para o fluxo de pacote deinformação de classificação ou de distinção fácil.

Como filtrar?

Lets obtém uma boa compreensão dos vários campos dentro de um farejador de rastreamentotípico do wireshark. Quebrando o para baixo e definindo cada campo.

Nós estaremos focalizando os artigos do on3 que nós precisamos de compreender para começarusar a filtração.

Filtro da captação●

Filtro do indicador●

Filtro colorindo das regras●

Antes que nós investiguemos dentro aos detalhes, está aqui o exemplo do indicador da captaçãodo sniffer para o wireshark, deixou para dissecar.

BARRA DE MENUS

Este é chamado a barra de menus do indicador do tubarão do fio

Contém os itens seguintes:

Arquivo: Este menu contém artigos para abrir e fundir arquivos de captura,salvaguarda/cópia/captação da exportação

●

arquivos inteira ou parcialmente, e para parar de Wireshark.

Edite este menu contém artigos para encontrar um pacote, referência de tempo ou para●

marcar uns ou váriosos pacotes, perfis da configuração do punho, e ajustaram suas preferências; (corte, cópia, e pasta

não são executados presentemente).

Veja controles deste menu o indicador dos dados capturados, incluindo a colorização de●

pacotes, zumbindo a fonte, mostrando um pacote em uma janela separada, expandindo e

árvores de desmoronamento nos detalhes de pacote

Vai este menu contém artigos para ir a um pacote específico.●

Capture este menu permite que você comece e pare captações e edite filtros da captação●

Analise este menu contém artigos para manipular filtros do indicador, para permitir oudesabilitar

●

a disseção dos protocolos, configura o usuário especificados descodifica e segue um córregoTCP.

As estatísticas este menu contêm artigos para indicar os vários indicadores da estatística,incluindo um sumário

●

dos pacotes que foram capturados, estatísticas da hierarquia do protocolo do indicador e muito

mais.

A telefonia este menu contém artigos para indicar indicadores relativos vária telefonia daestatística,

●

incluindo uma análise dos media, diagramas de fluxo, estatísticas da hierarquia do protocolo doindicador e

muito mais.

Utiliza ferramentas este menu contém as várias ferramentas disponíveis em Wireshark, talcomo a criação do Firewall

●

Regras ACL.

Internals este menu contém os artigos que mostram a informação sobre os internals deWireshark.

●

Ajude este menu contém artigos para ajudar o usuário, por exemplo acesso a alguma ajudabásica, manual

●

páginas das várias ferramentas da linha de comando, acesso online a alguns dos Web pages,

e o usual sobre o diálogo.

A BARRA DE FERRAMENTAS principal

A barra de ferramentas principal fornece o acesso rápido aos artigos frequentemente usados domenu. Esta barra de ferramentas não pode ser personalizada pelo usuário, mas pode hidden usar

o menu da vista, se o espaço na tela é precisado de mostrar ainda mais dados do pacote. Comono menu, somente os artigos úteis no estado de programa atual estarão disponíveis. O outro serádesabilitada para fora (por exemplo você não pode salvar um arquivo de captura se você nãocarregou um).

A barra de ferramentas do “filtro”

A barra de ferramentas do filtro deixa-o rapidamente editar e aplicar filtros do indicador

Filtro: Traz acima o diálogo da construção do filtro, “●

A “captação filtra” e o “indicador filtra” caixas de diálogo”.

Filtre entram a área para incorporar ou editar expressões de corda do filtro do indicador. Umaverificação da sintaxe do seu filterstring é feita quando você datilografar. O fundo girará overmelho se você incorpora um incompleto ou um string inválida, e tornar-se-á verde quando vocêincorpora uma série válida. Você pode clicar sobre a seta para baixo da tração para selecionaruma corda precedente-entrada do filtro de uma lista. As entradas na tração alistam para baixopermanecerão disponíveis mesmo depois que um reinício do programa.

Note: Depois que você mudou algo neste campo, não esqueça pressionar o botão ApplyButton (ou chave do entrada/a do retorno), para aplicar esta corda do filtro ao indicador. Estecampo é igualmente o lugar onde o filtro atual é indicado de fato.

●

Expressão: O botão médio etiquetado “adiciona a expressão…” abre uma caixa de diálogoque o deixe editar um filtro do indicador de uma lista de campos do protocolo, descrita dentro,““a expressão” caixa de diálogo” do filtro

●

Cancele restauram o filtro atual do indicador e cancela a área da edição.●

Aplique aplicam o valor atual na área da edição como o filtro novo do indicador.●

Do “a placa da lista pacote”

A placa da lista do pacote indica todos os pacotes no arquivo de captura atual.

Cada linha na lista do pacote corresponde a um pacote no arquivo de captura. Se você selecionauma linha nesta placa, mais detalhes estarão indicados nas placas dos “detalhes de pacote” edos “bytes de pacote”.

A placa dos “detalhes de pacote”

A placa dos detalhes de pacote mostra o pacote atual (selecionado do “na placa da lista pacote”)em um formulário mais detalhado.

A placa dos “bytes de pacote”

A placa dos bytes de pacote mostra os dados do pacote atual (selecionado do “na placa da listapacote”) na

estilo do hexdump.

O Statusbar

O statusbar indica mensagens informativa. Geralmente, o lado esquerdo mostrará a informaçãorelacionada do contexto, a parte média mostrará o número atual de pacotes, e o lado direitomostrará o perfil selecionado da configuração. Arraste os punhos entre as áreas de texto paramudar o tamanho

O Statusbar inicial

Este statusbar é mostrado quando nenhum arquivo de captura for carregado, por exemploquando Wireshark está começado.

O menu do contexto (clique de mouse direito) das etiquetas da aba mostrará uma lista de todasas páginas disponíveis. Isto pode ser útil se o tamanho na placa é demasiado pequeno para todasas etiquetas da aba.

O Statusbar

A barra de status indica mensagens informativa. Geralmente, o lado esquerdo mostrará ainformação relacionada do contexto, a parte média mostrará o número atual de pacotes, e o ladodireito mostrará o perfil selecionado da configuração. Arraste os punhos entre as áreas de textopara mudar o tamanho.

A barra de status com um arquivo de captura carregado

A informação das mostras de lado esquerdo sobre o arquivo de captura, seu nome, seu●

tamanho e o tempo transcorrido quando era capturado.A parte média mostra o número atual de pacotes no arquivo de captura. Os seguintes valoressão indicados:

●

Pacotes: o número de pacotes capturados●

Indicado: o número de pacotes atualmente que estão sendo indicados●

Marcado: o número de pacotes marcados●

Deixado cair: o número de pacotes descartado (indicados somente se Wireshark era incapazde capturar todos os pacotes)

●

Ignorado: o número de pacotes ignorados (indicados somente se os pacotes são ignorados)●

As mostras de lado direito o perfil selecionado da configuração. Clicando nisto parte dostatusbar trará acima um menu com todos os perfis disponíveis da configuração, e selecionardesta lista mudará o perfil da configuração.

●

Usando filtros da captação

Clique sobre opções da “CAPTAÇÃO”, das “RELAÇÕES” e escolha o adaptador de rede dedeixam cair para baixo o menu que será usado para capturar pacotes running na rede no PC.Clique sobre a “CAPTAÇÃO FILTRA” e dão entrada com o nome do filtro e filtram a corda ouentram diretamente a corda que do filtro você sabe na caixa. Bata então o botão. Agora oprograma do sniffer do tubarão do fio captura os pacotes que são do interesse a você somenteentre o fluxo enorme de pacotes do tempo real de todos os tipos de protocolos.

Filtro do indicador

Uma vez que você tem o arquivo capturado carregou-o estabelece agora filtros para indicarpacotes que você está interessado na vista ou para evitá-los considerar pacotes não interessado.Isto pode ser feito usando a expressão simples do filtro ou uma combinação de expressão usandooperadores lógicos para formar uma corda complexa do limador.

Clique sobre “ANALISAM O FILTRO” seleto do “INDICADOR”.

No exemplo abaixo nós estamos criando um limador para filtrar para fora o único os pacotes debeacon de um traço wireless da captura de pacote de informação do 802.11 como visto abaixo nohighlighter amarelo.

Similar ao filtro do indicador nós podemos encontrar um pacote específico aplicando o filtro apóster clicado do “o pacote achado”

Encontre o botão do FILTRO e incorporar o valor do filtro à caixa do filtro, se você não sabe que acorda então que você pode escavar mais clicando o filtro e bater o botão NOVO e nomeando ascordas do filtro e aplicando ou datilografando a corda do filtro com na caixa. Se você não conhecea mola específica do filtro você pode formá-la escolhendo o botão da EXPRESSÃO que tem avária opção do protocolo.

Selecione esse que você está olhando, expanda-o e você conseguirá mais opções selecionar de.

Você igualmente terá uma caixa do operador lógico a escolher de usar-se para combinar paraentrar o valor que você quer pôr e aplicar a terminação do filtro.

Você pode construir os filtros do indicador que comparam valores usando um número deoperadores de comparação diferentes.

Usando a regra de filtro da coloração

Um mecanismo muito útil disponível em Wireshark é colorização do pacote. Você pode setupWireshark de modo que colorize pacotes de acordo com um filtro. Isto permite que você sublinheos pacotes que você (geralmente) é interessado dentro

Você pode setup Wireshark de modo que colorize pacotes de acordo com um filtro que vocêescolhe criar. Isto permite que você sublinhe os pacotes que você (geralmente) é interessadodentro.

No exemplo abaixo dos pacotes colorized para balizas, reconhecimento, resposta da ponta deprova, Deauthentication baseou nos filtros mencionados abaixo.

Clique sobre a “vista”

Selecione a “coloração ordena” ou o uso “edita regras da coloração” da barra de ferramentasprincipal.

Isto abre as regras da coloração e nós podemos adicionar uma utilização nova do filtro decoloração “nova” ou “edite”. Selecione o pacote ou edite a corda do filtro e atribua ou ajuste a cordesejada.

Na caixa de diálogo da cor da edição, dê entrada com simplesmente um nome para o filtro de cor,e inscreva uma corda do filtro no

Filtre o campo de texto. , ““edite o filtro de cor” caixa de diálogo” mostra a baliza dos valores e o== 8 wlan.fc.type_subtype qual significa que o nome do filtro de cor é baliza e o filtro selecionaráprotocolos do tipo == 8 wlan.fc.type_subtype qual é a corda do filtro da baliza. Uma vez que vocêincorporou estes valores, você pode escolher uma cor do primeiro plano e do fundo para ospacotes que combinam a expressão do filtro. Clique sobre a cor do primeiro plano… ou cor dofundo… para conseguir isto.

Muito uns recursos úteis devem exportar ou formar o filtro de coloração e salvar o exportando ofiltro para um arquivo “tac80211color” como visto abaixo isto pode ser importado, você pode criararquivos múltiplos da regra da coloração em seu dobrador do Troubleshooting e usá-los como ummolde a sua conveniência cada vez que você pesquisa defeitos.

Você pode pensar inovativamente e o alfaiate faz arquivos de molde do filtro de coloração taiscomo arquivos do roteamento, os wlan, do interruptor etc. de cor dos filtros e apenas importa-os

segundo o problema que você está pesquisando defeitos muito facilmente.

Há uma boa transferência colorindo das regras que você possa transferir e usar emhttps://supportforums.cisco.com/docs/DOC-23792

Isto é como o olhar final do indicador dos pacotes do wireshark olha como depois que arquivo dofiltro de cor

“tac80211color” é importado e aplicado.

Análise da captação do sniffer do 802.11 - Quadros doGerenciamento e AUTH aberto

Introdução

Análise da captação do sniffer do 802.11 - Quadros do Gerenciamento e AUTH aberto

802.11 – Quadros e autenticação aberta

Tentando analisar ou pesquisar defeitos um Wireless LAN, a rede que usa o analisador de pacotedo 802.11 exigir-nos-á ter uma compreensão total de tipos de frame diferentes do 802.11 comobase para encontrar ponteiros para localizar as causas da área do problema em uma rede wlan.Tomar farejadores de rastreamento wlan usando ferramentas como o omnipeek e ou o wiresharkum pode monitorar as comunicações entre as placas de interface da rede de rádio (NIC) e osAccess point. Nós precisaremos de compreender cada tipo de frame que ocorre na operação deum Wireless LAN e que resolve problemas de rede. Em um ambiente que wlan RF as condiçõesda transmissão de rádio podem mudar tão dinamicamente, coordenação torna-se uma grandeedição nos WLAN. O Gerenciamento e os pacotes de controle são dedicados a estas funções dacoordenação.

Para encontrar a causa dos problemas wlan que ocorrem na rede wlan em relação ao ambienteRF seria o melhor testar a rede wlan usando a autenticação aberta sem nenhuma Segurança.Tomando a esta aproximação os problemas de conectividade RF surgir e possa ser corrigidoantes que nós possamos se transportar uma criptografia mais forte e a umas camadas superiorda camada de osi.

A autenticação na especificação do 802.11 é baseada em autenticar uma estação ou umdispositivo wireless em vez de autenticar um usuário.

Conforme o processo de authenticação do cliente da especificação do 802.11 consiste nasseguintes transações como mencionado abaixo

Os Access point mandam continuamente os beacon frame que são pegarados pelos clienteswlan próximos.

1.

O cliente pode igualmente transmitir em seu próprio quadro do pedido da ponta de prova emcada canal

2.

Os Access point dentro da escala respondem com um frame de resposta da ponta de prova3.O cliente decide que Access Point (AP) é o melhor para o acesso e envia um pedido deautenticação

4.

O Access point enviará uma resposta da autenticação5.Em cima da autenticação bem sucedida, o cliente enviará um quadro do pedido daassociação ao Access point

6.

O Access point responderá com uma resposta da associação7.O cliente pode agora passar o tráfego ao Access point8.

Processo de authenticação do cliente do 802.11

Há 3 tipos de quadros usados nas comunicações da camada de MAC 2 do 802.11 queacontecem sobre o ar que controla e controla o enlace Wireless.

São quadros, frames de controle e frames de dados do Gerenciamento. Deixe-nos tomar umauge no que aqueles quadros consistem em detalhes pequenos para nos ajudar dentro a analisarmelhor os problemas wlan ao trabalhar com farejadores de rastreamento wlan.

Quadros do Gerenciamento

os quadros do Gerenciamento do 802.11 permitem estações de estabelecer e mantercomunicações. Os pacotes de gerenciamento são usados para apoiar a autenticação, aassociação, e a sincronização.

Os seguintes são subtipos comuns do quadro do Gerenciamento do 802.11:

Quadro da autenticação: Este é um quadro significando à sociedade da rede dentro datopologia wlan. as autenticações do 802.11 são um processo por meio de que o Access pointaceita ou rejeita a identidade de um rádio NIC para criar recursos. A autenticação restringe acapacidade para enviar e receber na rede. É a primeira etapa para um dispositivo que tentaconectar a um 802.11 WLAN. A função é segurada por uma troca dos pacotes degerenciamento. A autenticação é segurada por uma troca do pedido/resposta dos pacotes degerenciamento. O número de pacotes trocados depende do método de autenticaçãoempregado. Neste documento nós focusssing no método de autenticação aberta o maissimples para simplificar nosso Troubleshooting de edições RF.

●

== 0x0b wlan.fc.type_subtype

O NIC começa o processo enviando um quadro da autenticação que contém sua identidade aoAccess point. Com autenticação do sistema aberto (o padrão), o rádio NIC envia somente umquadro da autenticação, e o Access point responde com um quadro da autenticação como umaresposta que indica a aceitação (ou a rejeção). Há uma autenticação associada ID associada queseja o nome sob que a estação atual é autenticada em se juntar a rede.

Quadro de Deauthentication: Este é um pacote do anúncio por uma estação que envie umquadro do deauthentication a uma outra estação se deseja terminar comunicações seguras.É uma comunicação de sentido único da estação de autenticação (um BSS ou umequivalente funcional), e deve ser aceitado. Toma o efeito imediatamente.

●

== 0x0c wlan.fc.type_subtype

== 0x0 wlan.fc.type_subtype

== 0x01 wlan.fc.type_subtype

== 0x02 wlan.fc.type_subtype

O filtro usado para aplicar-se e o achado somente os pacotes da desassociação são “o == 0x0awlan.fc.type_subtype”

O filtro usado para aplicar-se e o achado somente os pacotes de beacon são

“== 0x08 wlan.fc.type_subtype”

O filtro usado para aplicar-se e o achado somente os pacotes de requisição da ponta de provasão

“wlan.fc.type_subtype ==0x04”

O filtro usado para aplicar-se e o achado somente os pacotes de requisição da ponta de provasão “wlan.fc.type_subtype ==0x05”

Frames de controle

os frames de controle do 802.11 ajudam na entrega dos frames de dados entre estações. Osseguintes são subtipos comuns do frame de controle do 802.11:

Quadro do Request To Send (RTS): A função RTS/CTS é opcional e reduz as colisões doquadro atuais em que hidden as estações têm associações com o mesmo Access point. Umaestação envia um quadro RTS a uma outra estação como a primeira fase de um cumprimentoem dois sentidos necessário antes de enviar um frame de dados.

●

== 0x1B wlan.fc.type_subtype

== 0x1D wlan.fc.type_subtype

Frames de dados

Estes nos quadros que vêm mais tarde no jogo depois que a comunicação wlan básica éestabelecida já entre a estação móvel e o Access point. Nós alcançaremos sempre a este 802.11o frame de dados para a análise tipicamente para verificar e analisar sobre o ar se os protocolos eos dados das camadas superior dentro do corpo do quadro estão obtendo completamente ao fio.Estes quadros transportam pacotes de dados das camadas superior, tais como página da web,dados de controle da impressora, etc., dentro do corpo do quadro.

== 0x20 wlan.fc.type_subtype

Em um analisador de pacote nós observamos os índices do corpo do quadro dentro dos framesde dados do 802.11 para o tráfego interessante na pergunta.

Referências

www.wildpackets.com/resources/compendium/wireless_lan/wlan_packets●

http://www.willhackforsushi.com/papers/80211_Pocket_Reference_Guide.pdf●

https://supportforums.cisco.com/docs/DOC-13664●

http://www.cisco.com/warp/public/cc/pd/witc/ao1200ap/prodlit/wswpf_wp.htm#wp39317●

http://www.wildpackets.com/resources/compendium/wireless_lan/wlan_packet_types●

Análise da captação do sniffer do 802.11 - WPA/WPA2 com PSKou EAP

WPA-PSK(TKIP)

1. Os beacon frame são transmitidos periodicamente à presença do anonunce de rede Wireless econtêm toda a informação sobre ela (taxas de dados, canais, cifras da Segurança, gerenciamentochave etc.):

2. Sonde o pedido, é enviado pelo STA para obter a informação do AP:

3. Sonde a resposta, AP responde com com um frame de resposta da ponta de prova, contendo ainformação da capacidade, taxas de dados apoiadas, etc., quando depois que recebe um quadrodo pedido da ponta de prova do STA:

4. a autenticação do 802.11 é um processo por meio de que o Access point aceita ou rejeita aidentidade de um rádio NIC. O NIC começa o processo enviando um quadro da autenticação quecontém sua identidade ao Access point. Com autenticação do sistema aberto (o padrão), o rádioNIC envia somente um quadro da autenticação, e o Access point responde com um quadro daautenticação como uma resposta que indica a aceitação (ou a rejeção).:

a. Pedido de autenticação do dot11:

b. Resposta de autenticação do dot11:

5.     

a associação do 802.11 permite o Access point de atribuir recursos para e sincronizar com umrádio NIC. Um NIC começa o processo de associação enviando um pedido da associação a um

Access point. Este quadro leva a informação sobre o NIC (por exemplo, taxas de dados apoiadas)e o SSID da rede que deseja associar com.

a. Pedido da associação do dot11:

Após ter recebido o pedido da associação, o Access point considera associar com o NIC, e (seaceitado) reserva o espaço de memória e estabelece uma associação ID para o NIC.

resposta da associação B. Dott11:

6. o aperto de mão 4-way, durante esta fase PTK é criado, PSK é usado como o PMK paraconstruir aqueles valores:

o A. AP envia o quadro da autenticação do 802.1x com ANonce, STA tem agora toda ainformação para construir o PTK:

o B. STA responde com quadro da autenticação do 802.1x com SNonce e MIC:

o quadro do 802.1x das construções C. AP com MIC e o GTK novos com número de sequência,este número de sequência será usado no Multicast ou no frame de transmissão seguinte, demodo que o STA de recepção possa executar a detecção básica da repetição:

o D. STA envia o ACK:

Desse ponto todos os dados são enviados cifrados.

WPA2-PSK(AES/TKIP)

O processo se razoavelmente o mesmos que na seção anterior, mim destacarão somente ainformação que é diferente.

1. O quadro do Gerenciamento WPA2 AP inclui o elemento RSN que incluiu a série da cifra dounicast, a informação AKM e da cifra GTK série (se o AES e o TKIP são selecionados, a seguirum método de criptografia menos mais forte estará usado para o GTK).

2.      Durante quadros do aperto de mão 4-way contenha a informação de versão para o WPA2no “tipo” campos.

Nota: você pode decifrar o tráfego Wireless cifrado WEP/WPA-PSK/WPA2-PSK se os quadrosdas trocas de chave do aperto de mão 4-way estão incluídos no traço e o PSK está sabido.

A fim cifrar o tráfego Wireless no 802.11 aberto de Preferences-> Protocols->IEEE do wireshark efornecer a informação PSK e selecioná-la “permitem a opção da descriptografia”.

Para decifrar o tráfego criptografado WPA/WPA2 especifique a chave no formato:

“WPA-PSK: PSK: SSID”

Nota: A fim filtrar para fora o tráfego WLAN do STA específico no wireshark você poderia usar “aopção da estatística WLAN”.

O filtrar tráfego do STA específico vai às “estatísticas - > tráfego WLAN”, da lista de SSID SSIDcorrespondente seleto o STA é associado com, e aplica o filtro baseado no STA.

Como decifrar dados WPA2 AES sobre sobre as capturas de pacote de informaçãodo ar com Wireshark

Requisitos:

Captação a estar no formato .pcap.1.Os quadros estão ser apresentados no formato do 802.11.2.Conheça o nome SSID e o PSK para o WLAN de que sobre o ar a captação foi recolhida.3.Chave: Capture 4 o reconhecimento de sentido EAPOL 4.4.

O processo o mais exato para fazer isto é começar a captação e de-autenticar então o cliente afim travar o processo de zero, significando que o aperto de mão de 4 maneiras EAPOL seráincluído.

Se os quadros estão dentro de um outro formato, como PEEKREMOTE exigir-se-á descodificá-lo,seciona por favor acima em como descodificar quadros PEEKREMOTE.

Processo

A captação foi aberta uma vez em Wireshark vai “edita” – o menu das “preferências”.

Vá ao menu dos “protocolos” e procure o “IEEE 802.11”

    

Da seção do IEEE 802.11 verifique “permitem a caixa de verificação da descriptografia” e clicam-

na sobre “editam…” abotoe ao lado das “chaves de descriptografia” a etiqueta.

Uma vez no “edite” o menu clicam sobre o botão novo no lado esquerdo do indicador.

Do tipo chave escolha o “WPA-PSK”.

A fim obter a chave é importante conhecer o nome exato do SSID e do PSK para que o processodo decrypt está sendo conduzido.

Tenha estes dois valores e vá ao Web site seguinte gerar a chave baseada nestes doiselementos.

Gerador WPA PSK (chave crua)●

Datilografe dentro o nome SSID e o PSK nos campos especificados, corda que está sendodatilografada nos campos deve ser exato como define para o SSID e para o PSK.

Uma vez que os valores foram definidos, clique sobre “gerenciem o PSK”, isto gerará a chave,copia-a e vai-o para trás a Wireshark.

Cole a chave que foi gerada no campo “chave”, " OK " do clique.

Clique então “aplicam-se” nas “preferências” tela”. A captação começará a ser descodificada.

Uma vez que descodificado lhe seja possível para ver índices dos pacotes do 802.11 que foramcalculados previamente.

Empresa WPA/WPA2

1) WPA(TKIP)/WPA2(AES) com dot1x (PEAP)

Este processo segue as mesmas etapas como precedente à exceção do método AKM ePTK/GTK da derivação e atributos anunciados AP em quadros do Gerenciamento do 802.11.

a.       Neste exemplo o AP anuncia WPA(TKIP)/WPA2(AES) com autenticação do dot1x, atributosda etiqueta RSN e WPA para AKM contém o valor WPA, se em caso da autenticação PSK estecampo contém o “PSK”. Igualmente neste exemplo TKIP é usado para o WPA e o AES é usadopara o WPA2

o B. STA seleciona uma dos métodos de autenticação e das séries da cifra anunciadas pelo AP.O WPA2 com AES foi selecionado neste caso, isso pode ser visto em parâmetros RSN IE.

c.       Depois que a autenticação bem sucedida do dot1x da associação do dot11 ocorre, duranteeste processo nós podemos ver que que método de EAP é usado pelo STA para a autenticação eos certificados troque a informação entre o suplicante e o servidor AAA.

d.      Depois que a autenticação bem sucedida PMK do dot1x trasmited ao AP na mensagem da“aceitação de acesso” do servidor AAA e o mesmo PMK está derivado no cliente, o aperto demão 4-way seguinte ocorre e estabelecimento PTK e GTK.

Troca do raio entre o WLC e o servidor AAA:

Diagrama de fluxo geral:

WPA(TKIP)/WPA2(AES) com dot1x (EAP-TLS)

A diferença para este tipo de autenticação comparado ao precedente é que o cliente fornece seucertificado na mensagem dos “hellos do cliente” e a autenticação mútua está executada entre ocliente e o servidor AAA baseados em Certificados.

Troca EAP entre o STA e o WLC:

Troca do raio entre o WLC e o servidor AAA:

Diagrama de fluxo geral:

2) WPA(TKIP)/WPA2(AES) com o dot1x (RÁPIDO)

Somente o estágio da autentificação do dot1x é uma comparação diferente do bit ao exemploanterior. Depois que a autenticação bem sucedida do dot1x da associação do dot11 ocorre, o APenvia o pedido da identidade do dot1x ao STA e ao STA fornece a resposta da identidade, aresposta depende de que abastecimento PAC é estado no uso (abastecimento da em-faixa PAC(fase 0) ou abastecimento fora da banda PAC). Em caso do abastecimento da em-faixa o PACestá enviado ao cliente do servidor AAA, uma vez que o cliente tem o PAC que vai a phase1EAP-FAST dos começos deste estabelecimento de túnel do ponto TLS (fase 1)

Depois que o túnel TLS é estabelecido o método de autenticação interno (fase 2) liga o túnelcriptografado interno. Na autenticação bem sucedida o PMK é envia na mensagem da “aceitaçãode acesso” ao AP do servidor AAA, a mesma chave é derivado baseou na troca do dot1x no STA.Esta chave (PMK) é usada para calcular o PTK durante o aperto de mão 4-way que será usado auma comunicação segura entre o STA e o AP.

Diagrama de fluxo geral:

Análise da captação do sniffer do 802.11 – Multicast

Introdução

Sniffing do Multicast

Solução

O controlador executa o multicasting em dois modos:

Modo de Unicast — Neste modo, os unicasts do controlador cada pacote de transmissãomúltipla a cada AP associado ao controlador. Este modo é incapaz mas pôde ser exigido nasredes que não apoiam o multicasting.

●

Modo multicast — Neste modo, o controlador envia pacotes de transmissão múltipla a umgrupo de transmissão múltipla LWAPP. Este método reduz-se em cima no processador docontrolador e desloca-se o trabalho da replicação do pacote a sua rede, que é muitos maiseficiente do que o método do unicast.

●

Você pode permitir o modo do Multicast usando o controlador GUI ou CLI.●

IGMP Snooping no WLC

No Software Release 4.2 do controlador, o IGMP Snooping é introduzido para dirigir melhorpacotes de transmissão múltipla. Quando esta característica é permitida, o controlador recolherelatórios IGMP dos clientes, processa os relatórios, cria o grupo de transmissão múltipla originalID (MGIDs) dos relatórios IGMP após ter verificado o endereço de multicast da camada 3 e onúmero de VLAN, e envia os relatórios IGMP ao interruptor da infraestrutura. O controlador enviaestes relatórios com o endereço de origem como o endereço da relação em que recebeu osrelatórios dos clientes.

O controlador atualiza então a tabela do Access point MGID no AP com o endereço MAC decliente. Quando o controlador receber o tráfego multicast para um grupo de transmissão múltiplaparticular, ele para a frente ele a todos os AP. Contudo, somente aqueles AP que têm os clientesativo que escutam ou subscritos a esse grupo de transmissão múltipla para enviar o tráfegomulticast nesse WLAN particular. Os pacotes IP são enviados com um MGID que seja originalpara um ingresso VLAN e o grupo da transmissão múltipla de destino. Os pacotes de transmissãomúltipla da camada 2 são enviados com um MGID que seja original para a interface de ingresso.

Note: O IGMP Snooping não é apoiado nos controladores do 2000 Series, nos controladores do2100 Series, ou no módulo de rede do controlador de LAN do Cisco Wireless para o Roteadoresdos Serviços integrados de Cisco.

Diretrizes para usar o Modo multicast

Use estas diretrizes quando você permite o modo do Multicast em sua rede:

A solução de rede do Cisco Unified Wireless usa alguns intervalos de endereço IP parafinalidades específicas. Mantenha estas escalas na mente quando você configura um grupo detransmissão múltipla: Embora não recomendado, todo o endereço de multicast pode ser atribuídoao grupo de transmissão múltipla LWAPP; isto inclui os endereços de multicast locais do linkreservado usados pelo OSPF, pelo EIGRP, pelo PIM, pelo HSRP, e pelos outros protocolos detransmissão múltipla.

Cisco recomenda que os endereços de multicast estejam atribuídos do bloco administrativamenteno escopo 239/8. O IANA reservou a escala de 239.0.0.0-239.255.255.255 como endereçosadministrativamente no escopo para domínios do Multicast do uso em privado. Veja a nota pararestrições adicionais. Estes endereços são similares na natureza às escalas reservados dounicast do IP privado, tais como 10.0.0.0/8, definidas no RFC 1918. Os administradores de redeestão livres usar em outra parte os endereços de multicast nesta escala dentro de seu domíniosem medo do conflito com outro no Internet. Este administrativo ou espaço de endereço privadodevem ser usados dentro da empresa e sua licença ou entrada obstruída do domínio autônomo(COMO).

Note: Não use a escala de endereço 239.0.0.X ou a escala de endereço 239.128.0.X. Osendereços nestas escalas sobrepõem com os endereços MAC locais de link e inundam para foratodas as portas de switch, mesmo com o IGMP Snooping girado sobre.

Cisco recomenda que os administradores de rede de empreendimento mais adicionaissubdividem esta escala de endereço em espaços administrativos geográficos menores dentro darede de empreendimento para limitar o “espaço” de aplicativos multicast particulares. Isto impedeque o tráfego multicast da alta taxa saa de um terreno (onde a largura de banda é abundante) econgestionando os links de WAN. Igualmente permite a filtração eficiente do Multicast da largurade banda elevada de alcançar o controlador e a rede Wireless.

Quando você permite o modo do Multicast no controlador, você deve configurar um endereço degrupo de transmissão múltipla LWAPP no controlador. Os AP subscrevem ao grupo detransmissão múltipla LWAPP que usa o Internet Group Management Protocol (IGMP).

1130, 1200, 1230, e 1240 os AP do Cisco 1100, usam IGMP versão 1, 2, e 3.      Contudo, oCisco 1000 Series AP usa somente IGMP v1 para juntar-se ao grupo de transmissão múltipla.

●

O Modo multicast trabalha somente no modo LWAPP da camada 3.●

Os AP no modo de monitor, no modo do sniffer, ou no modo desonesto do detector não se●

juntam ao endereço de grupo de transmissão múltipla LWAPP.Quando você usa os controladores que executam a versão 4.1 ou anterior, você pode usar omesmo endereço de multicast em todos os controladores. Se você usa os controladores queexecutam a versão 4.2 ou mais recente, o grupo de transmissão múltipla LWAPPconfigurado nos controladores deve ser diferente para cada controlador usado na rede.

●

Se você usa controladores com versão 4.1 ou anterior, o modo do Multicast não trabalhaatravés dos eventos da mobilidade do intersubnet, tais como o Tunelamento do convidado, oespecífico de site VLAN, ou a ultrapassagem da relação que usa o RAIO. O modo doMulticast trabalha nestes eventos da mobilidade da sub-rede quando você desabilita ascaracterísticas da camada 2 IGMP snooping/CGMP no LAN ligado com fio.

●

Em umas versões mais atrasadas, isto é, 4.2 ou mais atrasado, o modo do Multicast não seoperam através dos eventos da mobilidade do intersubnet, tais como o Tunelamento doconvidado. Faz, contudo, operar-se com relação cancela esse RAIO do uso (mas somentequando o IGMP Snooping é permitido) e com específico de site VLAN (grupo VLAN do Accesspoint).

O controlador deixa cair todos os pacotes de transmissão múltipla enviados aos números deporta 12222, 12223, e 12224 UDP. Certifique-se que os aplicativos multicast em sua rede nãousam aqueles números de porta.

●

O tráfego multicast é transmitido no 6 Mbps em uma rede 802.11a. Consequentemente,se diversos WLAN tentam transmitir no 1.5 Mbps, a perda de pacotes ocorre. Isto quebra asessão do Multicast.

●

Configurando o Multicast (que usa o modo do Multicast-Multicast)

Selecione Mutlicast - O Multicast e configura seu grupo, cada WLC em seu grupo da mobilidadedeve usar um endereço único.

Permita o roteamento de transmissão múltipla no dispositivo L3 e permita o PIM nos seguintesVLAN.  Gerenciamento, AP-comedoiro, o VLAN em que o AP está dentro e assim como o VLANonde os cleints que receberão o fluxo de transmissão múltipla. Exemplo:

O VLAN 40 é o Gerenciamento WLC, o VLAN 40 é para o AP, e os 50 pés VLAN são onde meusclientes estão. Assim sob todos os estes SVI eu preciso de emitir os comandos do multicst.

Emita todo o comando show do Multicast verificar, exemplo: mostre o mrouter IP, mostre gruposde IGMP IP para validar que o grupo para o AP está construído corretamente.

Nós podemos igualmente permitir IGMP Snoping no WLC. O WLC guardá-lo-á é possuir a tabelada espião para os mensagens IGMP que recebe, de modo que conheça quem está pedindo ocórrego.

No controlador do Wireless LAN

Permita o Multicast global no WLC e permita o Multicast – Modo multicast no WLC

Uma vez que o cliente envia o Multicast junte-se, nós verá o abaixo no WLC MGID

Configuração do Multicast na rede ligada com fio

Configurar o roteamento de transmissão múltipla globalmente e permita então o PIM em cadarelação.

corrida 6504-WLCBUG#sh | mim Multicast

ip multicast-routing

50 pés do vla int da corrida 6504-WLCBUG#sh

Configuração de construção…

Configuração atual: 119 bytes

!

relação Vlan50

conjunto de DHCP VLAN //de //WLAN da descrição

endereço IP 172.16.1.1 255.255.255.0

modo denso do pim IP

fim

vla 40 int da corrida 6504-WLCBUG#sh

Configuração de construção…

Configuração atual: 121 bytes

!

relação Vlan40

Gerenciamento Vlan //de //da descrição

endereço IP 10.105.135.136 255.255.255.128

modo denso do pim IP

fim

relação 40 vlan do pim 6504-WLCBUG#sh IP

Pergunta DR da relação Ver/Nbr do endereço    

                                                      Contagem Intvl do modo DR previamente

10.105.135.136 Vlan40 v2/D 0 30 1 10.105.135.136

50 pés vlan da relação do pim 6504-WLCBUG#sh IP

Pergunta DR DR da relação Ver/Nbr do endereço

                                                       Contagem Intvl do modo previamente

172.16.1.1 Vlan50 v2/D 0 30 1 172.16.1.1

mrouter 6504-WLCBUG#sh IP

Tabela de roteamento IP Multicast

Bandeiras: D - Denso, S - Escasso, B - Grupo de Bidir, s - Grupo SS, C - Conectado,

      L - Local, P - Podado, R - grupo do RP-bit, F - bandeira do registro,

      T - grupo do SPT-bit, J - junte-se ao SPT, M - a entrada criada MSDP,

      X - O proxy junta-se ao corredor do temporizador, A - Candidato para a propaganda MSDP,

      U - URD, I - Relatório específico recebido do host da fonte,

      Z - Túnel do Multicast, z - remetente do grupo MDT-DATA,

     Y - Grupo MDT-DATA juntado, y - Emissão ao grupo MDT-DATA

      V - RD & vetor, v - Vetor

Bandeiras da interface enviada: H - Hardware comutado, A - Afirme o vencedor

Temporizadores: O Uptime/expira

Estado da relação: Relação, salto seguinte ou VCD, estado/modo

(*, 239.255.255.255), 4d17h/00:02:03, RP 0.0.0.0, bandeiras: DC

Interface de entrada: Zero, nbr 0.0.0.0 RPF

Lista de interface enviada:

  Vlan40, enviam/denso, 4d17h/00:00:00

(*, 239.254.0.3), 2w1d/00:02:07, RP 0.0.0.0, bandeiras: DC

Interface de entrada: Zero, nbr 0.0.0.0 RPF

Lista de interface enviada:

  Vlan40, enviam/denso, 3d10h/00:00:00

(*, 224.0.1.40), 2w1d/00:02:13, RP 0.0.0.0, bandeiras: DCL

Interface de entrada: Zero, nbr 0.0.0.0 RPF

Lista de interface enviada:

  Vlan11, enviam/denso, 2w1d/00:00:00

Capturas de pacote de informação

Topologia

PC prendido ----------- 6500 Switch -------- WISM ------- AP)))) (((((cliente Wireless

50 pés de Vlan 40 Vlan 40 Vlan 40 Vlan dos 50 pés de Vlan

Ferramenta do gerador de tráfego do MCAST

é usado no PC prendido para gerar o fluxo de transmissão múltipla – pacotes de UDP contínuos.

Captura de pacote de informação prendida de Wireshark no gerador do MCAST

Captação de Windows Netmon no gerador de pacote do mcast

A ferramenta do receptor do MCAST é usada no cliente Wireless para receber o tráfego multicastda fonte (PC prendido).

Wireshark captura na relação wireless do cliente Wireless

Captação de Netmon na relação wireless do cliente Wireless

Análise da captação do sniffer do 802.11 – Autenticação da Web

IntroduçãoSniffer da AUTENTICAÇÃO DA WEB no Troubleshooting de Cisco WLC

Processo de autenticação da Web

A autenticação da Web é uns recursos de segurança da camada 3 que façam com que o controlador nãopermita o tráfego IP, exceto pacotes DNS-relacionados dos pacotes DHCP-relacionados, de um clienteespecífico até que esse cliente forneça corretamente um nome de usuário válido e uma senha com umaexceção do tráfego permitida com o PRE-AUTH ACL. A autenticação da Web é a única política de segurançaque permite que o cliente obtenha um endereço IP de Um ou Mais Servidores Cisco ICM NT antes daautenticação. É um método de autenticação simples sem a necessidade para um suplicante ou um utilitário decliente. A autenticação da Web pode ser feita localmente em uma WLC ou via servidor RADIUS. A autenticaçãoda Web é usada tipicamente por clientes que desejam implantar uma rede com acesso de convidados.

A autenticação da Web começa quando o controlador intercepta o primeiro pacote TCP HTTP (porta 80) GETdo cliente. Para que o navegador da Web do cliente obtenha isto distante, o cliente deve primeiramente obterum endereço IP de Um ou Mais Servidores Cisco ICM NT, e faz uma tradução da URL ao endereço IP de Umou Mais Servidores Cisco ICM NT (resolução de DNS) para o navegador da Web. Isto deixa o navegador daWeb saber que endereço IP de Um ou Mais Servidores Cisco ICM NT para enviar o HTTP GET.

Quando a autenticação da Web é configurada no WLAN, o controlador obstrui todo o tráfego (até que oprocesso de autenticação esteja terminado) do cliente, à exceção do tráfego DHCP e DNS. Quando o clienteenvia o primeiro HTTP GET à porta TCP 80, o controlador reorienta o cliente a https:1.1.1.1/login.html paraprocessar. Este processo traz eventualmente acima o página da web do início de uma sessão.

Você abre o navegador da Web e datilografa dentro uma URL, por exemplo, http://www.google.com. Ocliente manda um pedido DNS para que esta URL obtenha o IP para o destino. O WLC contorneia opedido DNS ao servidor DNS e o servidor DNS responde para trás com uma resposta DNS, quecontenha o endereço IP de Um ou Mais Servidores Cisco ICM NT do destino www.google.com, que éenviado por sua vez aos clientes Wireless

●

O cliente tenta então abrir uma conexão de TCP com o endereço IP de destino. Manda um pacote SYNde TCP destinado ao endereço IP de Um ou Mais Servidores Cisco ICM NT de www.google.com.

●

O WLC tem as regras configuradas para o cliente e daqui pode atuar como um proxy parawww.google.com. Envia para trás um pacote TCP SYN-ACK ao cliente com fonte como o endereço IPde Um ou Mais Servidores Cisco ICM NT de www.google.com. O cliente envia para trás um pacote de

●

ACK TCP a fim terminar o cumprimento de TCP de três maneiras e a conexão de TCP é estabelecidainteiramente.

O cliente envia um pacote HTTP GET destinado a www.google.com. O WLC intercepta este pacote,envia-o para a manipulação da reorientação. O gateway de aplicativo HTTP prepara um corpo HTML eenvia-o para trás como a resposta ao HTTP GET pedido pelo cliente. Este HTML faz o cliente para ir aoWeb page URL do padrão do WLC, por exemplo, <Virtual-Server-IP>/login.html.

●

O cliente fecha a conexão de TCP com o endereço IP de Um ou Mais Servidores Cisco ICM NT, porexemplo www.google.com.

●

Agora o cliente quer ir a http://1.1.1.1/login.html e assim que tenta abrir uma conexão de TCP com oendereço IP de Um ou Mais Servidores Cisco ICM NT virtual do WLC. Envia um pacote SYN de TCPpara 1.1.1.1 ao WLC.

●

O WLC responde para trás com um TCP SYN-ACK e o cliente envia para trás um TCP ACK ao WLC afim terminar o aperto de mão.

●

O cliente envia um HTTP GET para /login.html destinou a 1.1.1.1 a fim pedir para a página de login.●

Este pedido é permitido até o servidor de Web do WLC, e o server responde para trás com a página delogin do padrão. O cliente recebe a página de login na janela de navegador onde o usuário pode iradiante e início de uma sessão.

●

Configuração WebauthDeixa para ir adiante e configurar.

TOPOLOGIA

Um cliente Wireless é conectado ao AP que é registrado ao WLC que é conectado ao interruptor, que éconectado ao roteador onde o DNS, roteamento, a Conectividade L3 é configurado.

Roteador a atuar como um DNS

3825#sh run | i host hostname 3825 ip host www.google.com 200.200.200.1 ip hostwww.yahoo.com 200.200.200.2 ip host www.facebook.com 200.200.200.3 3825#sh run | idns dns-server 16.16.16.1 ip dns server 3825#sh run | b dhcp ip dhcp excluded-address 16.16.16.1 16.16.16.5 ! ip dhcp pool webauth-sniffer network 16.16.16.0255.255.255.0 default-router 16.16.16.1 dns-server 16.16.16.1

Configuração no WLCVá ao WLAN e então NOVO e incorpore os detalhes●

Configurar o WLAN para NENHUM AUTH L2●

Configurar o WLAN para o AUTH L3 com WEBAUTH●

Após a configuração, o yoo deve ver como este●

Vá à ABA de segurança e crie usuários líquidos locais●

Incorpore as credenciais dos clientes●

Vá à ABA da Segurança >> do Webauth e escolheu o tipo == do AUTH da Web interno/externoreorientam/costumes

●

Conecte o cliente●

Após ter obtido o endereço IP de Um ou Mais Servidores Cisco ICM NT, abra o navegador e datilografe●

dentro o endereço de web.

Os clientes obtêm reorientados ao AUTH da Web a página onde dentro nós incorporamos o nome deusuário e senha

●

Após o login bem-sucedido●

Cliente que obtém reorientado à página da reorientação●

Está aqui a captura de pacote de informação quando o cliente tenta conectar

O cliente faz:

DHCP●

DNS●

HTTP GET●

O endereço IP de Um ou Mais Servidores Cisco ICM NT do cliente é 16.16.16.7. O cliente resolveu a URL aoservidor de Web que alcançava 200.200.200.1. Como você pode ver, o cliente fez o reconhecimento desentido três para pôr em andamento a conexão de TCP e enviou então um pacote HTTP GET que começa compacote 576. O controlador está interceptando os pacotes e está respondendo com código 200. O pacote docódigo 200 tem uma reorientação URL nele:

O cliente obtém a página de login HTTPS

O cliente aceita o certificado

O cliente liga então a conexão de HTTPS à reorientação URL que a envia a 1.1.1.1, que é o endereço IP de Umou Mais Servidores Cisco ICM NT virtual do controlador. O cliente tem que validar o certificado de servidor ouignorá-lo a fim trazer acima o túnel SSL. Aqui o cliente tenta alcançar Facebook.com após o AUTH bemsucedido e sua sessão de TCP começa sem nenhum problema.

Está aqui o cliente debuga quando o o cliente tentouconectar

Cisco Controller) > (Cisco Controller) >show debug MAC address................................ 00:21:5c:8c:c7:61 Debug Flags Enabled: dhcp packetenabled. dot11 mobile enabled. dot11 state enabled dot1x events enabled. dot1xstates enabled. pem events enabled. pem state enabled. CCKM client debug enabled.webauth redirect enabled. May 18 13:43:50.568: 00:21:5c:8c:c7:61 Adding mobile onLWAPP AP a8:b1:d4:c4:35:b0(0) *apfMsConnTask_0: May 18 13:43:50.568:00:21:5c:8c:c7:61 Association received from mobile on AP a8:b1:d4:c4:35:b0*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 0.0.0.0 START (0) Changing

ACL 'MNGMNT' (ACL ID 0) ===> 'none' (ACL ID 255) --- (caller apf_policy.c:1633)

*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 Applying site-specific

IPv6 override for station 00:21:5c:8c:c7:61 - vapId 1, site 'default-group',

interface 'webauth-sniffer' *apfMsConnTask_0: May 18 13:43:50.568:00:21:5c:8c:c7:61 Applying IPv6 Interface Policy for station 00:21:5c:8c:c7:61 -

vlan 300, interface id 4, interface 'webauth-sniffer' *apfMsConnTask_0: May 1813:43:50.568: 00:21:5c:8c:c7:61 STA - rates (8): 130 132 139 150 12 18 24 36 0 0 0

0 0 0 0 0 *apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 STA - rates(12): 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0 *apfMsConnTask_0: May 1813:43:50.568: 00:21:5c:8c:c7:61 0.0.0.0 START (0) Initializing policy

*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 0.0.0.0 START (0) Change

state to AUTHCHECK (2) last state AUTHCHECK (2) *apfMsConnTask_0: May 1813:43:50.568: 00:21:5c:8c:c7:61 0.0.0.0 AUTHCHECK (2) Change state to

L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4) *apfMsConnTask_0: May 1813:43:50.568: 00:21:5c:8c:c7:61 0.0.0.0 L2AUTHCOMPLETE (4) DHCP Not required on AP

a8:b1:d4:c4:35:b0 vapId 1 apVapId 1for this client *apfMsConnTask_0: May 1813:43:50.568: 00:21:5c:8c:c7:61 Not Using WMM Compliance code qosCap 00

*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 0.0.0.0 L2AUTHCOMPLETE (4)

Plumbed mobile LWAPP rule on AP a8:b1:d4:c4:35:b0 vapId 1 apVapId 1

*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 0.0.0.0 L2AUTHCOMPLETE (4)Change state to DHCP_REQD (7) last state DHCP_REQD (7) *apfMsConnTask_0: May 1813:43:50.568: 00:21:5c:8c:c7:61 apfMsAssoStateInc *apfMsConnTask_0: May 1813:43:50.568: 00:21:5c:8c:c7:61 apfPemAddUser2 (apf_policy.c:223) Changing state

for mobile 00:21:5c:8c:c7:61 on AP a8:b1:d4:c4:35:b0 from Idle to Associated

*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 Scheduling deletion of

Mobile Station: (callerId: 49) in 1800 seconds *apfMsConnTask_0: May 1813:43:50.569: 00:21:5c:8c:c7:61 Sending Assoc Response to station on BSSID

a8:b1:d4:c4:35:b0 (status 0) ApVapId 1 Slot 0 *apfMsConnTask_0: May 1813:43:50.569: 00:21:5c:8c:c7:61 apfProcessAssocReq (apf_80211.c:5272) Changing

state for mobile 00:21:5c:8c:c7:61 on AP a8:b1:d4:c4:35:b0 from Associated to

Associated *apfReceiveTask: May 18 13:43:50.570: 00:21:5c:8c:c7:61 0.0.0.0DHCP_REQD (7) State Update from Mobility-Incomplete to Mobility-Complete, mobility

role=Local, client state=APF_MS_STATE_ASSOCIATED *apfReceiveTask: May 1813:43:50.570: 00:21:5c:8c:c7:61 0.0.0.0 DHCP_REQD (7) pemAdvanceState2 4494, Adding

TMP rule *apfReceiveTask: May 18 13:26:46.570: 00:21:5c:8c:c7:61 0.0.0.0 DHCP_REQD(7) Adding Fast Path rule type = Airespace AP - Learn IP address on APa8:b1:d4:c4:35:b0, slot 0, interface = 1, QOS = 0 ACL Id = 255, Jumbo Fr*apfReceiveTask: May 18 13:43:50.570: 00:21:5c:8c:c7:61 0.0.0.0 DHCP_REQD (7) Fast

Path rule (contd...) 802.1P = 0, DSCP = 0, TokenID = 1506 IPv6 Vlan = 300, IPv6

intf id = 4 *apfReceiveTask: May 18 13:43:50.570: 00:21:5c:8c:c7:61 0.0.0.0DHCP_REQD (7) Successfully plumbed mobile rule (ACL ID 255) *pemReceiveTask: May 1813:43:50.570: 00:21:5c:8c:c7:61 0.0.0.0 Added NPU entry of type 9, dtlFlags 0x0

*pemReceiveTask: May 18 13:43:50.571: 00:21:5c:8c:c7:61 Sent an XID frame *DHCPSocket Task: May 18 13:43:50.689: 00:21:5c:8c:c7:61 DHCP received op BOOTREQUEST

(1) (len 310,vlan 0, port 1, encap 0xec03) *DHCP Socket Task: May 18 13:43:50.689:00:21:5c:8c:c7:61 DHCP processing DHCP DISCOVER (1) *DHCP Socket Task: May 1813:43:50.689: 00:21:5c:8c:c7:61 DHCP op: BOOTREQUEST, htype: Ethernet, hlen: 6,

hops: 0 *DHCP Socket Task: May 18 13:43:50.689: 00:21:5c:8c:c7:61 DHCP xid:0xf665da29 (4133870121), secs: 0, flags: 0 *DHCP Socket Task: May 18 13:43:50.689:00:21:5c:8c:c7:61 DHCP chaddr: 00:21:5c:8c:c7:61 *DHCP Socket Task: May 1813:43:50.689: 00:21:5c:8c:c7:61 DHCP ciaddr: 0.0.0.0, yiaddr: 0.0.0.0 *DHCP SocketTask: May 18 13:43:50.689: 00:21:5c:8c:c7:61 DHCP siaddr: 0.0.0.0, giaddr: 0.0.0.0

*DHCP Socket Task: May 18 13:43:50.689: 00:21:5c:8c:c7:61 DHCP requested ip:

64.103.236.44 *DHCP Socket Task: May 18 13:43:50.689: 00:21:5c:8c:c7:61 DHCPsuccessfully bridged packet to DS *DHCP Socket Task: May 18 13:43:50.690:00:21:5c:8c:c7:61 DHCP received op BOOTREPLY (2) (len 308,vlan 300, port 1, encap

0xec00) *DHCP Socket Task: May 18 13:43:50.690: 00:21:5c:8c:c7:61 DHCP processingDHCP OFFER (2) *DHCP Socket Task: May 18 13:43:50.690: 00:21:5c:8c:c7:61 DHCP op:BOOTREPLY, htype: Ethernet, hlen: 6, hops: 0 *DHCP Socket Task: May 1813:43:50.690: 00:21:5c:8c:c7:61 DHCP xid: 0xf665da29 (4133870121), secs: 0, flags:

0 *DHCP Socket Task: May 18 13:43:50.690: 00:21:5c:8c:c7:61 DHCP chaddr:00:21:5c:8c:c7:61 *DHCP Socket Task: May 18 13:43:50.691: 00:21:5c:8c:c7:61 DHCPciaddr: 0.0.0.0, yiaddr: 16.16.16.7 *DHCP Socket Task: May 18 13:43:50.691:00:21:5c:8c:c7:61 DHCP siaddr: 0.0.0.0, giaddr: 0.0.0.0 *DHCP Socket Task: May 18

13:43:50.691: 00:21:5c:8c:c7:61 DHCP server id: 16.16.16.1 rcvd server id:

16.16.16.1 *DHCP Socket Task: May 18 13:43:50.691: 00:21:5c:8c:c7:61 DHCPsuccessfully bridged packet to STA *DHCP Socket Task: May 18 13:43:50.704:00:21:5c:8c:c7:61 DHCP received op BOOTREQUEST (1) (len 314,vlan 0, port 1, encap

0xec03) *DHCP Socket Task: May 18 13:43:50.704: 00:21:5c:8c:c7:61 DHCP processingDHCP REQUEST (3) *DHCP Socket Task: May 18 13:43:50.704: 00:21:5c:8c:c7:61 DHCP op:BOOTREQUEST, htype: Ethernet, hlen: 6, hops: 0 *DHCP Socket Task: May 1813:43:50.704: 00:21:5c:8c:c7:61 DHCP xid: 0xf665da29 (4133870121), secs: 0, flags:

0 *DHCP Socket Task: May 18 13:43:50.704: 00:21:5c:8c:c7:61 DHCP chaddr:00:21:5c:8c:c7:61 *DHCP Socket Task: May 18 13:43:50.704: 00:21:5c:8c:c7:61 DHCPciaddr: 0.0.0.0, yiaddr: 0.0.0.0 *DHCP Socket Task: May 18 13:43:50.705:00:21:5c:8c:c7:61 DHCP siaddr: 0.0.0.0, giaddr: 0.0.0.0 *DHCP Socket Task: May 1813:43:50.705: 00:21:5c:8c:c7:61 DHCP requested ip: 16.16.16.7 *DHCP Socket Task:May 18 13:43:50.705: 00:21:5c:8c:c7:61 DHCP server id: 16.16.16.1 rcvd server id:

16.16.16.1 *DHCP Socket Task: May 18 13:43:50.705: 00:21:5c:8c:c7:61 DHCPsuccessfully bridged packet to DS *DHCP Socket Task: May 18 13:43:50.705:00:21:5c:8c:c7:61 DHCP received op BOOTREPLY (2) (len 308,vlan 300, port 1, encap

0xec00) *DHCP Socket Task: May 18 13:43:50.705: 00:21:5c:8c:c7:61 DHCP processingDHCP ACK (5) *DHCP Socket Task: May 18 13:43:50.705: 00:21:5c:8c:c7:61 DHCP op:BOOTREPLY, htype: Ethernet, hlen: 6, hops: 0 *DHCP Socket Task: May 1813:43:50.706: 00:21:5c:8c:c7:61 DHCP xid: 0xf665da29 (4133870121), secs: 0, flags:

0 *DHCP Socket Task: May 18 13:43:50.706: 00:21:5c:8c:c7:61 DHCP chaddr:00:21:5c:8c:c7:61 *DHCP Socket Task: May 18 13:43:50.706: 00:21:5c:8c:c7:61 DHCPciaddr: 0.0.0.0, yiaddr: 16.16.16.7 *DHCP Socket Task: May 18 13:43:50.706:00:21:5c:8c:c7:61 DHCP siaddr: 0.0.0.0, giaddr: 0.0.0.0 *DHCP Socket Task: May 1813:43:50.706: 00:21:5c:8c:c7:61 DHCP server id: 16.16.16.1 rcvd server id:

16.16.16.1 *DHCP Socket Task: May 18 13:43:50.706: 00:21:5c:8c:c7:61 Static IPclient associated to interface webauth-sniffer which can support client subnet.

*DHCP Socket Task: May 18 13:43:50.708: 00:21:5c:8c:c7:61 Adding Web RuleID 22 for

mobile 00:21:5c:8c:c7:61 *DHCP Socket Task: May 18 13:43:50.708: 00:21:5c:8c:c7:6116.16.16.7 DHCP_REQD (7) Change state to WEBAUTH_REQD (8) last state WEBAUTH_REQD(8) *apfMsConnTask_0: May 18 13:44:43.347: 00:21:5c:8c:c7:61 16.16.16.7WEBAUTH_REQD (8) Fast Path rule (contd...) 802.1P = 0, DSCP = 0, TokenID = 1506

IPv6 Vlan = 300, IPv6 intf id = 4 *apfMsConnTask_0: May 18 13:44:43.347:00:21:5c:8c:c7:61 16.16.16.7 WEBAUTH_REQD (8) Successfully plumbed mobile rule (ACL

ID 255) (Cisco Controller) >*emWeb: May 18 13:47:39.321: 00:21:5c:8c:c7:61 Usernameentry (Cisco) created for mobile, length = 5 *emWeb: May 18 13:47:39.321:00:21:5c:8c:c7:61 Username entry (Cisco) created in mscb for mobile, length = 5

*emWeb: May 18 13:47:39.322: 00:21:5c:8c:c7:61 16.16.16.7 WEBAUTH_REQD (8) Change

state to WEBAUTH_NOL3SEC (14) last state WEBAUTH_NOL3SEC (14) *emWeb: May 1813:47:39.322: 00:21:5c:8c:c7:61 apfMsRunStateInc *emWeb: May 18 13:47:39.322:00:21:5c:8c:c7:61 16.16.16.7 WEBAUTH_NOL3SEC (14) Change state to RUN (20) laststate RUN (20) *emWeb: May 18 13:47:39.322: 00:21:5c:8c:c7:61 Session Timeout is1800 - starting session timer for the mobile

Referência:  Está aqui uma referência ao artigo de Wikipedia nas especificações do 802.11: Padrões do IEEE802.11

 Cisco apoia a referência https://supportforums.cisco.com/document/100651/80211-sniffer-capture-analysis do fórum