감지 무단 802.11 카드 및 액세스 포인트

Share

|

의 첫 번째 목표는 탐지합니다. 저희가 말씀 누군 열강의 로컬 네트워크에있는 카드의 범위 내에서가? 이 작업을 수행할 수있습니다으로 오프 -는 - 선반 구성 요소와 무료 소프트웨어입니다. 시스코된다 드라이버에 포함되어있는가보다 최신의 리눅스 커널을 지원 "rf 모니터"모드를 사용하면 promiscuous 모니터링은 802.11 패킷 - 특히, 모니터링을 원시 802.11 프레임을 감지할 경우에는 어떠한 극초단파 프레임을 브로드 캐스트는 악의 액세스 지점 또는 카드입니다.

에 명시된 바와 같이 원래 802.11 명세에는 세가 지 종류의 802.11 프레임을합니다. 의 목표는 액세스 포인트와 함께 악의를 감지하고 승인되지 않은 무선 이더넷 카드, 우리는 주로 관심이있는 클래스 1과 2 프레임입니다. 클래스 1 프레임이있는 유일한 프레임에서 허용 상태 1, 인증되지 않은 상태로, 그리고이 크게 관리 프레임을 사용하는 인증, 탐지, 그리고 프로브 요청합니다. 클래스 2 프레임이 허용된에 모두 상태 1, 2, 그리고이 사용에 대한 협회와 reassociation. 액세스 포인트에서, 우리는 기대를 확인할 수없는 많은 탐지 프레임 (1 급)입니다. 무성 광고 - 임시 클라이언트에서 스캐닝이 활성 모드, 우리가 기대를 확인할 수없는 많은 프로브 요청 (또한 1 급)입니다. 이 설은을 테스트하는 방법은 모니터링을 모두 802.11 관리 프레임이 필요로 이것을 시스코 카드 및 리눅스 드라이버는 능력이에 "rf 모니터 모드입니다."

설치 프로그램을 넣을의 카드로 rf 모니터 모드, 어떠한 구현 (사용 "모드 : r"에 대한 일반 rf 모니터 모드) : # 에코 "모드 : y"> / proc/driver/aironet/eth0/config #

그런 다음, 시작을 로깅 패킷과 함께 tcpdump, 저장 이들을 파일을 나중에 분석과 함께 ethereal : # tcpdump - 내 eth0 -의 0 - w capturefile #

무단 광고 - 임시 네트워크의 첫 번째 테스트를 이전하여 확인하는 기능을 검색하는 wlan 카드를 받고 전원을합니다. a lucent orinoco 카드가 구성되어있는 광고 - 임시 모드에있는 win2k 노트북, 그리고 켜져을 알아보려면 어떤 특징이 있었다 프레임을 발송하고는 orinoco 카드가 당시의 광고 - 임시 모드를 투입합니다.

이후에 카드를 초기화 tcpdump가 중단, ethereal을 시작하고 캡처 파일을 열입니다. 많은 수의 프로브 요청을 orinoco 카드를 찾을 수를 확인하는 것은 참으로능한를 감지하면 닫기 범위 내에서 누군 있었다 전원을 갖춘 무선 이더넷 카드의 광고 - 임시 모드입니다. 가 분해된 프레임는 다음과 같습니다 :

ieee 802.11
타입 / 서브 : 프로브 요청 (4)
프레임 컨트롤 : 0x0040
버전 : 0
유형 : 관리 프레임 (0)
서브 : 4
깃발 : 0x0
ds 상태 :되지 떠나는 ds 또는 네트워크가 운영에 광고 - 임시 모드
(가 ds : 0 f ..... 0 .. = 조각 : 아니오 조각
.... 0 ... = 재시도 : 프레임은되지 않습니다 재전송
... 0 .... = pwr mgt : 역이 입할
.. 0. .... = 더 많은 데이터 : 아니오 데이터 버퍼링
.0 .. .... = wep 플래그 : wep가 해제
0 ... .... = 순서 플래그 :되지 엄격히하라고 지시
기간 : 0
목적지 주소 : ▪ : ▪ : ▪ : ▪ : ▪ : ▪ (▪ : ▪ : ▪ : ▪ : ▪ : ▪)
원본 주소 : 0시 2분 2초 개발 : 1b : 51 : 캘리포니아 (agere_1b : 51 : 캘리포니아)
능할 id : ▪ : ▪ : ▪ : ▪ : ▪ : ▪ (▪ : ▪ : ▪ : ▪ : ▪ : ▪)
단편 번호 : 0
시퀀스 번호 : 118
ieee 802.11 무선 랜 관리 프레임
태그가 포함된 매개 변수 (19 바이트)
태그 번호 : 0 (ssid 매개 변수를 설정)
태그 길이 : 15
태그를 해석 : roguepeertopeer
태그 번호 : 1 (지원 금리)
태그 길이 : 4
태그를 해석 : 지원 금리 : 1.0 2.0 5.5 11.0 [mbit / 초]
공공공공 사공 공공 공공 공공 ▪ ▪ ▪ ▪ ▪ ▪ 00 02 제 2 1b 51, 캘리포니아 @.......-. 질문 :
0010 ▪ ▪ ▪ ▪ ▪ ▪ 육공 공칠 공공 0f 72 6f 육칠 칠오 육오 칠공 ..`... roguep
공공이공 육오 육오 칠이 칠사 6f 칠공 육오 육오 칠이 공일 공사 공이 공사 0b 16 eertopeer ...

실제로, 그것이가능한를 지시 누군가 시작 an 적극적으로 스캔 카드의 광고 - 임시 모드, 그리고 아주 약간의 유용한 정보를하실 수있습니다 단일 프레임에서 모입니다. 장 관련성이 높은가 ssid와 mac 주소, 이들을 추적하는 데 사용할 수있습니다 다운는 특정 카드 및 / 또는 사람입니다.

무단 액세스 포인트는 다음 테스트를했다가 능성을 감지하여 확인 a 악의 액세스 포인트입니다. a tcpdump 세션이 시작된, 그리고 다음에 시스코된다 340 액세스 포인트는 켜져있습니다. 액세스 지점은 부팅을 마친 후, 덤프는 진찰과 함께 ethereal, 그리고 많은 수의 탐지 프레임을 발송하여 액세스 포인트를 찾을 수있습니다. 다음은 하나의 같은 프레임을 다시 해부하여 ethereal :

ieee 802.11
타입 / 서브 : 봉화 프레임 (8)
프레임 컨트롤 : 0x0080
버전 : 0
유형 : 관리 프레임 (0)
서브 : 8
깃발 : 0x0
ds 상태 :되지 떠나는 ds 또는 네트워크가 운영에 광고 - 임시 모드
(가 ds : 0부터 ds : 0) (0x00)
.... .0 .. = 조각 : 아니오 조각
.... 0 ... = 재시도 : 프레임은되지 않습니다 재전송
... 0 .... = pwr mgt : 역이 입할
.. 0. .... = 더 많은 데이터 : 아니오 데이터 버퍼링
.0 .. .... = wep 플래그 : wep가 해제
0 ... .... = 순서 플래그 :되지 엄격히하라고 지시
기간 : 0
목적지 주소 : ▪ : ▪ : ▪ : ▪ : ▪ : ▪ (▪ : ▪ : ▪ : ▪ : ▪ : ▪)
원본 주소 : 00:40:96:36:88:23 (telesyst_36 : 88:23)
능할 id : 00:40:96:36:88:23 (telesyst_36 : 88:23)
단편 번호 : 0
시퀀스 번호 : 0
ieee 802.11 무선 랜 관리 프레임
고정 매개 변수 (12 바이트)
타임 스탬프 : 0x0000000000019274
봉화 간격 : 0.102400 [초]
기능 정보 : 0x0021
.... ... 1 = ess 기능 : 송신기는 통신
.... .. 0. = ibss 상태 : 송신기가 속한를 구현
... 0 .... = 개인 정보 : 통신 / 역 수없는 지원 wep
.. 1. .... = 짧은 전 : 짧은 전 허용
.0 .. .... = pbcc : pbcc 변조 허용되지 않습니다
0 ... .... = 채널 순발력 : 채널 순발력이 사용되지 않습니다
cfp 참여가 기능 : 아니오 포인트 코디시 통신 (0x0000)
태그가 포함된 매개 변수 (31 바이트)
태그 번호 : 0 (ssid 매개 변수를 설정)
태그 길이 : 18
태그를 해석 :
태그 번호 : 1 (지원 금리)
태그 길이 : 4
태그를 해석 : 지원 금리 : 1.0 (2) 2.0 (2) 5.5 11.0 [mbit / 초]
태그 번호 : 3 (ds 매개 변수를 설정)
태그 길이 : 1
태그를 해석 : 현재 채널 : 11
태그 번호 : 5 ((팀) 트래픽 표시가지도)
태그 길이 : 4
태그를 해석 : dtim 카운트 1, dtim 기간을 2, 비트맵 제어 0x0,
(비트맵 억제)
공공공공 팔공 공공 공공 공공 ▪ ▪ ▪ ▪ ▪ ▪ 공공 사공 구육 삼육 팔팔 이삼 ........@. 6. #
0010 00 40 96 36 88 23 공공 공공 칠사 구이 공일 공공 공공 공공 공공 공공. @ .78. # .. t. ...
0020 64 00 21 00 00 12 공공 공공 공공 공공 공공 공공 공공 공공 공공 공공 d. !..........
0030 00 00 공공 공공 공공 공공 공공 공공 공일 공사 팔이 팔사 0b 일육 영삼 영일 .............
0040 0b 공오 공사 공일 공이 공공 공공 .......

무단 고객의 최종 테스트를 조건으로 이전 무단 클라이언트입니다. 의 첫 번째 시나리오를 고려합니다 (수록 확률 시나리오)이있는 사람이 나타 한 외국인 카드와 열강 그것이 잘못된 ssid 마련입니다. 경우에 카드는 적극적으로 스캔, 프로브 요청은이 카드로 시도된에서 바라본가 액세스 포인트를 찾을 수있습니다. 두 번째 시나리오는 만드냐가 외국 카드와 권력이있는 사람과 함께 최대의 올바른 ssid. 이 중 하나로 드러날 조금 더 많은 문제를 탐지,이있을 것입니다 불과 몇 802.11 관리 프레임을 트리거하는 경고를 차례 더 "정상"트래픽이있습니다. 이것이 문제가 주로 방식 때문에 rfmon_anybss 모드에서 시스코 카드 작품 -에도 불구하고 이름,이 카드를받을 수없습니다 모두에서 패킷을 동시에 구현의 범위, 특히 이러한 구현의 경우 서로 다른 주파수를 사용합니다.

가 결과는 일부 수동 개입을 감시하는 데 걸리는 트래픽에서 특정 구현 - 내용은 섹션 아래에서 "문제 및 합병증"에 대한 자세한 정보는이 문제를 해결하고 그것을 해결하는 방법입니다. 이 문제는 무시되고 대신에 포커스를 이전에 몇 802.11 관리 프레임을 해당하지 않습니까 바로의 스니퍼 - 둘 모두 시나리오가 나타났다을 생산 프로브 요청과 유사하므로 두 경우 모두 동일로 처리됩니다. 가 붕어 프로브 요청을 발송하여이 카드 :

ieee 802.11
타입 / 서브 : 프로브 요청 (4)
프레임 컨트롤 : 0x0040
버전 : 0
유형 : 관리 프레임 (0)
서브 : 4
깃발 : 0x0
ds 상태 :되지 떠나는 ds 또는 네트워크가 운영에 광고 - 임시 모드
(가 ds : 0부터 ds : 0) (0x00)
.... .0 .. = 조각 : 아니오 조각
.... 0 ... = 재시도 : 프레임은되지 않습니다 재전송
... 0 .... = pwr mgt : 역이 입할
.. 0. .... = 더 많은 데이터 : 아니오 데이터 버퍼링
.0 .. .... = wep 플래그 : wep가 해제
0 ... .... = 순서 플래그 :되지 엄격히하라고 지시
기간 : 0
목적지 주소 : ▪ : ▪ : ▪ : ▪ : ▪ : ▪ (▪ : ▪ : ▪ : ▪ : ▪ : ▪)
원본 주소 : 0시 2분 2초 개발 : 1b : 51 : 캘리포니아 (agere_1b : 51 : 캘리포니아)
능할 id : ▪ : ▪ : ▪ : ▪ : ▪ : ▪ (▪ : ▪ : ▪ : ▪ : ▪ : ▪)
단편 번호 : 0
시퀀스 번호 : 1
ieee 802.11 무선 랜 관리 프레임
태그가 포함된 매개 변수 (13 바이트)
태그 번호 : 0 (ssid 매개 변수를 설정)
태그 길이 : 9
태그를 해석 : roguehost
태그 번호 : 1 (지원 금리)
태그 길이 : 4
태그를 해석 : 지원 금리 : 1.0 2.0 5.5 11.0 [mbit / 초]
공공공공 사공 공공 공공 공공 ▪ ▪ ▪ ▪ ▪ ▪ 00 02 제 2 1b 51, 캘리포니아 @.......-. 질문 :
0010 ▪ ▪ ▪ ▪ ▪ ▪ 일공 공공 공공 공구 칠이 6f 육칠 칠오 육오 육팔 ...... rogueh
0020 6f 칠삼 칠사 공일 공사 공이 공사 0b 16 오스트 ......

문제 및 합병증을 몇가 지 문제들이 다가 빛을과 함께 시스코 카드 및 드라이버가 필요는 언급합니다. 첫 번째 문제는 시스코 카드, 기본적으로, 에서조차 rfmon 및 rfmon_anybss 모드,하지 않는다 모든 채널에서 적극적으로 검사에 대한 트래픽을 항상합니다. 다음은 조건이 어떤 것이 다시 검색에 대한 구현의 :

• 이 카드는 처음 삽입합니다.
• 경우에 인터페이스를 입력하거나 잎이 promiscuous 모드입니다.
• 현재 능할 때와의 동기화가 손실 (이유로 간섭, 이동 중 범위, 혹은 무엇이 될 원인이 상실 몇 탐지 프레임)을합니다.
• 경우에 / 절차 입국 / proc/driver/aironet/eth0/bsslist가 열립니다에 대한 서면 ( "터치 / proc/driver/aironet/eth0/bsslist"는 속임수를 수행합니다).

이러한 모든 조건은 "차기"이 카드로 rescanning. 을 작성하는 실질적인 감지 장치,이 카드하여야한다 발로 일정한 간격, 어쩌면 모든 분 정도입니다. 간단한 스크립트를 만지지 bsslist 파일 매 분 정도는 속임수를 수행합니다. 두 번째 문제 : 아닙니다의 모든 구현의 범위가 나타났다가 안정적으로에있는 파일 / proc/driver/aironet/eth0/bsslist.

경우에 카드가 투입 rfmon 모드, 송신이 해제되므로이 카드를 검색할 수없습니다 프로브 요청을 발송하여 적극적에 대한 구현의입니다. 따라서,이 카드를 사용해야합니다 수동형 스캔합니다. 아웃 프로브 요청을 보내는 대신,이 카드가 대기에 대한 탐지합니다. 수동적 스캔을 사용하는 타이머 -이 카드는 타이머가 만료될 때까지 프레임에 대한 경청 탐지하고 다음을 또 다른 채널로 이동합니다. 의 문제를 시스코 카드가이 타이머가 설정이 너무 낮습니다. 기본값은 40ms이던 부족에 대한 테스트를 네트워크를 예고 모든 구현의과 상관없이 범위 또는 상대적 신호 강도의 액세스 포인트입니다. 이 솔루션 이전에이 줄을 추가이 카드를 초기화 루틴을 setup_card, airo.c : cfg.beaconlistentimeout = 120;

복덕이 제한 시간은있어 탐지 안정적으로 작동합니다. 따라서 우리의 모든 액세스 포인트를 드러냈다에서 bsslist, 모든 시간입니다.

세 번째 문제 : 그 이름에도 불구하고, 심지어 퍼팅의 카드에 rfmon_anybss 모드로의 트래픽을 수신하지 않은 원인이 카드의 모든 우리의 액세스 포인트를 모두 서로 다른 주파수를 사용하고 있었다 아마도 동기를 다르게합니다.

이 카드 자체가 선택한 구현을 동기화하여 자료를 자체 알고리즘 (아마도이 자사의 심사는 상대적 신호 강도)입니다. 이것은 우리가 원하는 것을 함께이 문제를 볼 트래픽의 모든 bsss의 범위, 그냥 사람이 일어날가 장 강한 신호입니다. 수있는 방법을 찾을 수없습니다 시스코 카드에이 기능을 비활성화하려면, 그러나이 해결 -의 리눅스 드라이버를 제공하는 / 프로 시저 인터페이스를 설정하려면 원하는 통신합니다. 일단 목록은 bsss의 범위는 스캐너가 발견 (/ proc/driver/aironet/eth0/bsslist)을 선택하고 하나를 모니터링하고 mac 주소를 입력합니다 파일 / proc/driver/aironet/eth0/aplist. 이것은 강제로 카드가 동기가 구현하고있는 채널로 전환 있으며, 그 이후의 트래픽은 그 구현 및 사용에 대한 신호 강도를받을 수있습니다 평 또는 모니터링에 대한 의심스러운 활동을합니다.

결론 이러한 간단한 테스트를 확인하는 지 802.11 프레임의 특징은 전형적인 악의 액세스 포인트와 승인되지 않은 광고 - 임시 네트워크, 그리고는 이러한 프레임을 감지하고 분석을 사용하실 수있습니다 끄기 -는 - 선반 구성 요소와 무료 소프트웨어입니다. 이러한 개념을 함께 사용하여 데이터베이스의 신뢰할 수있는 액세스 포인트 및 카드와 지문의 의심스러운 프레임, ethereal 근본적인 빌딩 블록으로 사용될 수있다는 완전한 - 이브 802.11 침입 탐지 시스템입니다.