802.11数据抓包分析

1、802.11抓包分析1. 实验目的分析802.11协议，了解802.11的帧格式2. 实验环境及工具操作系统：ubu ntu实验工具：WireShark3. 实验原理（1）802.11MAC层数据帧格式：Bytes 2266620-2312 4FrameDurati onAddress 1Address 2AddressSequencDataCheckcontrol1(recipie nt)(tra nsmitter)3esequeneeVersio nTypeSubtypeToFromMoreRetryPwr.MoreProtectedOrder=00=10DSDSFrag.mgt.data

2、Bits 22411111111Version :表明版本类型，现在所有帧里面这个字段都是0Type :指明数据帧类型，是管理帧，数据帧还是控制帧,00表示管理帧，01表示控制帧，10表示数据帧Subtype :指明帧的子类型，Data=0000,Data+CF-ACK=0001 ，Data+CF-Poll=0010,Data+CF-ACK+CF-Poll=0011,Nulldata=0100,CF-ACK=0101,CF-Poll=0110,Data+CF-ACK+CF-Poll=0111,QoS Data=1000,Qos Data+CF-ACK=1001,QoS Data+CF-Poll

3、=1010,QoS Data+CF-ACK+CF-Poll=1011,QoS Null =1100,QoS CF-ACK=1101,QoS CF-Poll=1110,QoS Data+CF-ACK+CF-Poll=1111To DS/From DS :这两个数据帧表明数据包的发送方向，分四种情况：若数据包To DS为0，From DS为0，表明该数据包在网络主机间传输若数据包To DS为0，From DS为1，表明该数据帧来自AP若数据包To DS为1，From DS为0，表明该数据帧发送往AP若数据包To DS为1，From DS为1，表明该数据帧是从 AP发送往APMore flag.:

4、置1表明后面还有更多段Retry :置1表明这个以前发送一帧的重传Pwr mgt.:置1表明发送发进入节能模式More data :置1表明发送发还有更多的帧需要发送给接收方，当AP缓存了处于省电模式下的网络主机的数据包时，AP给该省电模式下的网络主机的数据帧中该位为1，否则为0Protected :置1表明该帧的帧体已经被加密Order :置1告诉接收方高层希望严格按照顺序来处理帧序列Duration :通告本帧和其确认帧将会占用信道多长时间Address 1 :发送方地址 Address 2 :接收地址 Address 3 :远程端点Seque nee：帧的编号Data:有效载荷，长度可达

5、2312字节Cheek Sequenee : CRC校验码（2）802.11控制帧，每种控制帧的帧格式不一样，以RTSM为例说明Bytes 22664Frame controlDurati onReceiverAddressTran smitterAddressCheck sequeneef Versio nTypeSubtypeToFromMoreRetryPwr.MoreProtectedOrder=00=01=1011DSDSFrag.=0mgt.Data=0=0=0=0=0=0Bits 22411111111Version :表明版本类型，现在所有帧里面这个字段都是0Type :指明数

6、据帧类型，是管理帧，数据帧还是控制帧,00表示管理帧，01表示控制帧，10表示数据帧Subtype :指明数据帧的子类型，Power Save（PS）-Poll （省电轮询） =1010,RTS=1011,CTS=1100,ACK=1101,CF-End（无 竞争周 期结束）=1110，CF-End（无竞争周期结束）+CF-ACK（无竞争周期确认）=1111，Block ACK=1001,控制帧的To DS至Order除Pwr.mgt.外必然为0Receiver Address :接收方地址Transmitter Address:发送发地址，CTS和ACK没有该字段Cheek sequenee

7、 :校验码（3）管理帧,Bytes 2266620-23124Bits 22411111111Version :表明版本类型，现在所有帧里面这个字段都是0Type :指明数据帧类型，是管理帧，数据帧还是控制帧,00表示管理帧，01表示控制帧，10表示数据帧Subtype :指明数据帧的子类型，Association Request（ 关联请求）=0000，Association Response （关联响应）=0001，Reassociation Request（重关联请求）=0010，Reassociation Response（重关联响应）=0011，Probe Request（探测请求）

8、=0100，Probe Response（探测响应）=0101 ，Beacon（信标帧）=1000，ATIM（通知传输指示信息）=1001，Disassociation（解除关联）=1010，Authentication（身份验证）=1011 ，Deauthentication（解除身份验证）=1100管理帧的To DS与From DS均为0,其余Frame Control字段意义与数据帧一致Desti nation Address :目的地址Source Address:源地址BSSID:基本服务集ID,用于过滤收到的 MAC帧（在基础型网络里为工作站所关联的AP的MAC地址）Sequene

9、e:帧序列号Address Check seque nee :校验码4.实验步骤1. 配置 wireshark，启动 monitor mode, 抓取 wifi的数据包，如下图File Edit View Terminal HelpItaylorutiuiintw $ sudo lw dev wLaine interface add vonG type monitor (sudo pas5word Tor taylcir：|taylorubuntu :sudo if conf Ig ron& uptiriylorsiiubuntswd口 wi reshark2. 分析抓取到的wifi数据包5.

10、实验结果及分析1.数据帧(1)数据帧 6 0 014S31120L2OU42K6 AaJd011JOS.174UM 1172 fiowvt poffe 436 0疳*1才 |訥 l-=mi| FrdLriit 6: 1172 bytti ofi wire (937 biz).captured (937G biCs)旦 Radi dtap hadr vOL Ltrgth 32匚d/iE Corltrci I; 0kOAO (NoriULl)Vtriion: 0Type* MTa frane (?)5ubi：yp: 0h FlagsOxA 1s hot prorecrcl-order flag:

11、mdi stricrly orderedDurationz ZUtMstlrLStlori addrtionnalpr_S*:7：44 (00:2；&e &7：44)ass id*:source address: uscinfor-CK：M :0a (0：QG：ie0D：G4：Da)Fragment niribe；0，电勺 u輕nt电 ni/iibr : aol：一 Frme tzh创ck sequence: 0M?3041iL31 cori eciGood: TroeBad: Falsej Loglcall-Llnk Lantrflll| IMMrl軌 Preiieif &ll vtrslo

12、n 4fc srcsJ42. 16 O?a.24? . IM) d DSC : 181.192.105.174 (113.1W. I DS. 174)71 U3r Qatagra Prot acQl B Src Port: 4166EKt Port; IJSS-l (1281)+1 Data (1076 bytd)COJO noio OCHGVersion , Type和Subtype的08H,即00001000，后两位00,表明协议版本为 0,倒数3、4位10表明这是一个数据帧，前四位0000是subtype。Frame control后 8 位 0AH,即卩 00001010。To DS=

13、0，From DS=1，表明该数据帧来自AP。More frag=0,表明这是该帧的最后一段，Retry=1,表明这是重传帧，Pwr. Mgt.=0,表明发送方没有进入节能模式；More data=0 表明没有更多 的帧，即No data buffered Protected=0 ，表明没有加密，Order=0,表明没有严格的顺序要求。Duration 位为d500,低位为00，高位为d5,所以持续时间为 00d5H=213微秒。Address1 =0022698ea744，接收方的 MAC地址;Address 2= 0611b51a0a05,发送发地址，即 AP地址；Address 3= 0

14、0005e00040a，远程远端地址；Sequence=3032,高位为 32,低位为 30，即 00110010 0011 0010,段号为 0，帧号为 0011 0010 0011B=803D Check sequence=23093131H， 检 测结果为正确。(2 )上图帧紧接着的下一个数据帧鮎 0423200120,2,城AM 谪1昶0?40忑17*9燈 逐斗彌 Zinttion port 1却一 p FrM IS: 1170 byto on wire iV Frjrc Comrol: OaedZOa CNGrnlDijratiani 211oes t ir? ar ion addr

15、ess: i-Hjra4aipr_Ee ： a7 44 OD i 2 3 159: Ee ： aT : 44 id: Ob：UztiSziA：)Source Andreis: UKXnfvrJXhOa WEOOrStsOOrCMsOa)sequert 匚电 niFragment nunnber: 0 B Ost; 1B31M 1 (ia3.192.105-174J user acagrdm Prarocoll, art iort: 4.3fi-6 (496). dsl port: 12553 CL29B3)! iDAra (1QBO byres)a la oa 5eM m Qa 旳naa ad

16、o Tooo-os WVR二羽03口A* 凶 3 *4 dq cb DOod 77 11de电甘竭 fz ab JTLw. k .X.每发出去一帧 Sequenee中的12位帧号递增，Address 1 =0022698ea744，接收方的 MAC地址;Address 2= 0611b51a0a05,发送发地址，即 AP地址；Address 3= 00005e00040a，远程远端地址；这三个地址与上图中的帧一致，是同一发送方发送给同一接收方的连续两帧, 帧号=804,帧号递增。2 控制帧(1) RTS帧-C Ji T v .上.】M 1 = i 11 H jg -_ Ffduw tdrtro

17、l: txD04 (Nt)rmali version! 0Type: Corrcrul fra-ne (1) Subtle: U.F I Ji Ji：触 04。.-B ,0-,+ 章iram 7： 52 byrw on 川1% 416 b1ts)s Sz byr capcured C4L6 bits) tih蟹吕旅 &b Length 32* PSt leaving D5 or network S ctps?ratinq in AD-HOC 心畫(T廿0 刖0 C5： 0(0x00) *ore fatjmenis: This is rhe lasr fraq*em- neiry: i=rarn

18、e 1s nat being reEransmirred pw良 MtTt STa will srar up Dita:叫 o drtii buff ar id Ch. H += Protected flag: DariL is nut protected0, Order ag; Not strict ly ordereduration： M常ecei踏騒牯TM# (oo：Z?:Si；Se；7：44)rransBllTTei e-ss :11 b5： la(C6111 ：h5 ： la rQaa)_ Firaiw ch-ck sequence：! 0x6e24f2flc correct【sad

19、: TruelFAlSti.CHIUJJO11010 00200010Version , Type和Subtype的b4H,即10110100，后两位00,表明协议版本为 0,倒数3、4位01表明这是一个控制帧，前四位1011是subtype,表明这是一个 RTSFrame control后8位00H,控制帧的这几位除Pwr.mgt.外必然是0. Pwr.mgt 即发送方没有进入节能模式。Duration 位为6709，低位为67，高位为09,所以持续时间为 096fH=2407微秒。Receiver Address =00:22:69:8e:a7:44，接收方的 MAC地址；Transmit

20、ter Address=06:11:b5:1a:0a:05 ，发送方地址； Check sequence=6e24f28cH，检测结果为正确。(2) CTS帧| cr*tie 2-啊 bytM w wire !* biitij, byte?(寸6S hHs)上 mWIot* 4Type: conrrolSiLibtype: 12 护；OkOI bi IB 00.r . 0-r . . . D =i R i 0 ii E i nD a ,O- , B B Q 二f rue (1)trs sTallis H&svfng os or network Is opemilfig tn jid-wc ma

21、de (to ds: 0 ftm ds： o) (OiDO) rwe Fra(jfftenrst Thts 1s the 1 a-sr fragrBenc艮电芷； F-rame 1占 not b-elug retr-ansiml tiedp* he ST* will stay up强3誉 D4TH： 杠 dard bufferedPirar ecred f lag t oar a is mi prorecredorder fl mg： Ndt strictly orderedDurat ion: 211neceHer address：仃&ht龍.占号：各！洱P (70：fl ：ali49；fi

22、i75?) Frue clvck sequeoce Dxaldlf7e5 carreer:fGoodJ TtuelBad; raiseUQOQQHQl 00 20 IK 49 CIO OQde Cd(6S 30*1rd PiJR MCT; ST* will stay up阳()电 Det3：: mo data buffered PDiet ted flag: wt 心not pratecteds Ordtr fl ag: nqc sxrictly wdrdDuration: 00eszewer address: D; 11:COG: 11;b5;la;0a;05J l Frame checks

23、 CuiSlnAf ccrrect石Mth TrueBad：; FalseJociax id oo na K)(X) ao OD CO QQ 15 61 如 JIVersion ，Type和Subtype的d4H,即11010100，后两位00，表明协议版本为 0，倒数3、4位01表明这是一个控制帧，前四位1101是subtype,表明这是一个 ACKFrame control后8位00H,控制帧的这几位除 Pwr.mgt.外必然是0. Pwr.mgt即发送方没有进入节能模式。Duration位为0000，所以持续时间为 0微秒,ACK表明该帧的传送结束，所以持续时间为 0，Receiver

24、Address =00:22:69:8e:a7:44， 接收方的 MAC 地址；Checksequence=6e24f28cH，检测结果为正确。(4)Block ACK 帧c-apcured C512 vsD_ h -or rn ji I 1+ *mel lAihdlI亠 kHBlMll h 13sM bftrees wi wire C31? blTS-3. 64- byc-: c-onxrolSul?-Y E fl rtJ.-.OOe-_ a-DOr 9e帆 BC-arbi% r moirmcwworl; 10口-r-r ac Irig In *n-hocCto ; O rr(hti 05

25、i114*1 t: l-M 丄4r口戸业y t Far-Ai-iWC b*4ino h 卫匸M1W F :卡 JhM ll1tlfCS*i3i D-jlx m : 讯口 d nx a护0uL 电兀 t 电J-fj I OAIG.* !fe *iu-( pr -u-lvU厂 iT1#g : not it r 1 ct 1 ordeir el&ur at 1rii l- 血g.电 口 *1,r I r .- fc-ulti-TTPijnrM?iid ViatC a.a_ L n-ijw 1Ea；甲 rII li 1 . II 乜叶即F壬C-l*r i DODO 0.TED fr wtn-tchi

26、iM.htAEkib raquMVt GmOGMj b-1 ockswil t匚百 control Cssc d cms azo4 r *| a . f.I n l丄 01OC31 DOH 01.0 t 七 Fing *aun-c rM umbar :3 3=皿恆 点匚嗇 甘rrrrrfrrrrrrff*rireiH?!丈 x匚転; Oc?eor corrc ：13*1 Tr |Ee-aa also*600 ;-.- 020 和Q-UpVersion ，Type和Subtype的94H,即10010100，后两位00,表明协议版本为 0,倒数 3、4位01表明这是一个控制帧，前四位 1001是

27、subtype,表明这是一个 Block Ack,这是一 个块确定帧Frame control 后8位00H,控制帧的这几位除Pwr.mgt.外必然是0. Pwr.mgt即发送方没有进入节能模式。Duration 位为9400,低位为94,高位为00，所以持续时间为 0094H=148微秒。Receiver Address =70f1al496492 ，接收方的 MAC地址。Tran smitter Address =3822d67704d3, 发送 方的MAC地址，Check sequence=d2ed060f，检测结果为正确。其余位与Block ACK该种帧有关，Block Ack Typ

28、e=02H , compressed Block ； Block Ack Control=0005H,Block Ack Starti ng Seque nee Co ntrol=9320H.3.管理帧 22 flU03913iBwJcMt IQfldJL 2S0 氈配孙斤剖g竣 F hl里0.料怜 CSQCi MNtt jTFCE -80211 Bearnn f ranw ! Flgs :.r .,f+ fAnift 上：bytes or wdre (200-0 61 cs) P 2SiO byc captured CQOu 血Hrs) 雷 RjuHotiipvQ* L*nghi 吉2Typ

29、eyJsub,tpei Beacom frane_ Ft JM CDTTrrdll: OmOMO (MOmdl ) wr&1 oType: artaqenenrt frame (0Subtype: S-FifthsDxOF 00 - OS -status ； Wot 105 vr network ii operitinq in AD- HCK mcdf (To Ck; 0 霍on IQS： OJ OxOQ)u u.0,.F OU 4 仆-Horc FragRents: This the last fragment-eiry: Fir an e 15 not being reirjnsiplLt

30、cd MGT： 5TA will Stay Up -Mor Dari: wb -daxa bfcirffer= PrGreeted flaz Dara is npt proteo:dlOu x u 4. i = Order flag: Not strlccly orderedIXiratiQiu 0氈強tiwtiQ和 a吐di刊BrgiddcilSt (ff:ff:ff ;ff ;fF;ff)Source aedress: H女TEchn_盯；M ;dd: d6 ;77 ;05 : dOjbes xd * H3cTehn_?7 :0-5! ciO (; 25id6:77! 05 :tD)rr

31、Agrnenc nu her: 0Xpqupnc* niiiBfa#r ： 3Bf Prairie cbeclk sequence: 0KBDQ7ce2 fcorre匚Good: True: FaHelT TFFF JHOJ .11 wirr0D4 0-1040 忧I沁 OOQ IO_O IOG 0030 3040 oobo wec K)d0 flOeO OOf flAh lunAqcnfrTt fiie8 8 * Q D D 2 n* o Q o 04 40co_o_VQOOfl cioeNOop 电 f)hd0 3 3 4010101f 5f&萌 S4廿器器#CKI-MM 1 B &t boHho r 丄of o D 0 41ofro KI註卩霊g10r ac眈冈“皿血冈忙山旧曲SJOVersion , Type和Subtype的80H,即1000 0000，后两位 00,表明协议版本为 0,倒 数3、4位00表明这是一个管理帧，前四位 1000是subtype,表明这是信标帧，AP每隔一 段时间就会发出的 Beacon （信标）信号，用来宣布 802.11网络的存在Frame control后