WLAN的抓包与分析

1、WLAN的抓包与分析(初稿) WLAN网络中使用的是TCP/IP协议簇中的网络协议，因此，解决WLAN的抓包和数据包的分析问题实际上是一个了解TCP/IP协议簇中网络协议的过程。1 抓包工具简介常用的TCP/IP抓包工具有以下几种：(1)Ethereal这是免费软件，可在其官网：(2)WiresharkWireshark前称为Ethereal，此两者均可在其官网免费下载使用官网：/(3)Etherpeek收费软件 几种抓包工具功能差别不大，根据个人使用习惯，选用wireshark进行抓包。1.1 认识Wireshark(1) 界面下图为wiresh

2、ark的界面图1 wireshark界面(2) wireshark的使用点击菜单中的Capture后，出现以下界面，该界面列出了所在终端的所有网络接口，用户决定要抓取流经哪个网络接口的数据后，点击红框中的Start即开始抓包，抓包前一般无需做任何设置，在默认设置下即可使用。图2 选择网络接口的界面(3) 网卡的混杂模式上图中，还有”Options”按钮，用于供用户在抓包前进行更多的条件设置，点击该按钮后，进入如下界面。在此，用户可以选择抓取哪些协议的数据包，对网卡工作模式做设置等。图3 “Option”界面上图红框所圈范围，是对网卡工作模式的设置。通常，在抓包前需把网卡设为混杂模式，当网卡被设

3、为混杂模式后，那些本该被硬件过滤掉的分组文便会进入到系统的内核，这样，wireshark就能抓住所有流经网卡的数据流，如不置为混杂模式，则只会抓到来自/去往本网卡的数据包。2 抓包时连接方法抓取不同节点的数据包，抓包方法略有不同。2.1 抓包点在客户的无线终端图3 抓包点在无线终端此抓包点，只要在无线终端安装了wireshark，便可抓取本终端无线网卡的数据包，无需做其余额外设置。2.2 抓包点在AP与AC之间 图4 抓包点在AP与AC之间抓取AP与AC之间数据包时，抓包终端插入AP汇聚交换机中与待抓AP处于同一VLAN的端口，并在交换机上做端口镜像配置，把交换机上AP连接的端口镜像至连接着无

4、线终端的端口。2.3 抓包点在AC与上层网络之间 图5 抓包点在AC与上层网络之间抓包原理与抓包点在AP与AC之间时相同：把抓包终端插入IP城域网汇聚交换机中与待抓AC处于同一VLAN的端口，并对交换机做端口镜像配置，把交换机上与待抓AC连接的端口镜像至连接着无线终端的端口。 3 WLAN涉及到的协议在WLAN中，各网元交互时涉及到的TCP/IP协议有：802.11x，DHCP，ARP，RADIUS等等。对于现在的WLAN网络，用户的无线终端和AP获取IP地址是通过DHCP协议，因此下面简述DHCP协议的工作原理。3.1 DHCP协议简述3.1.1 DHCP工作原理下图为DHCP工作原理图：图

5、6 DHCP工作原理图DHCP协议为应用层协议，其使用UDP端口，工作过程如下： 当客户端第一次进入网络的时候，(1)DHCP discover：客户端寻找 Server(2)DHCP offer：服务端提供 IP 租用地址(3)DHCP request：客户端接受 IP 租约(4)DHCP ACK：服务端回应租约确认 当客户端下次进入网络的时候，该过程将有所缩短，从DHCP Request开始：(1)DHCP Request:客户端发送包含自己以前使用的IP地址 (2)DHCP ACK：如经服务器检查配置参数后无问题，则返回该包，否则返回DHCP NACK。此后流程重新从DHCP disco

6、ver开始。3.1.2 DHCP数据包格式图7 DHCP数据包格式 以下为对数据包中各字段的解释：OP若是 client 送给 server 的封包，设为 1 ，反向为 2 。 HTYPE硬件类别，Ethernet 为 1 。 HLEN硬件地址长度， Ethernet 为 6 。 HOPS若封包需经过 router 传送，每站加 1 ，若在同一网内，为 0 。 TRANSACTION IDDHCP REQUEST 时产生的数值，以作 DHCPREPLY 时的依据。 SECONDSClient 端启动时间(秒)。 FLAGS从 0 到 15 共 16 bits ，最左一 bit 为 1 时表示

7、server 将以广播方式传送封包给 client ，其余尚未使用。 Ciaddr要是 client 端想继续使用之前取得之 IP 地址，则列于这里。yiaddr从 server 送回 client 之 DHCP OFFER 与 DHCPACK 封包中，此栏填写分配给 client 的 IP 地址。 Siaddr若 client 需要透过网络开机，从 server 送出之 DHCP OFFER、DHCPACK、DHCPNACK 封包中，此栏填写开机程序代码所在 server 之地址。 Giaddr若需跨网域进行 DHCP 发放，此栏为 relay agent 的地址，否则为 0 。 Chadd

8、rClient 之硬件地址。 SnameServer 之名称字符串，以 0x00 结尾。 File若 client 需要透过网络开机，此栏将指出开机程序名称，稍后以 TFTP 传送。options 允许厂商定议选项(Vendor-Specific Area)，以提供更多的设定信息(如：Netmask、Gateway、DNS、等等)。其长度可变，同时可携带多个选项，每一选项之第一个 byte 为信息代码，其后一个 byte 为该项数据长度，最后为项目内容。 CODE LEN VALUE 此字段完全兼容 BOOTP ，同时扩充了更多选项。其中，DHCP 封包可利用编码为 0x53 之选项来设定封包

9、类别：项值 类别 1 DHCP DISCOVER 2 DHCP OFFER 3 DHCP REQUEST 4 DHCP DECLIENT 5 DHCP ACK 6 DHCP NACK 7 DHCP RELEASE (注：OPTIONS更多取值可参考RFC文档)3.2 RADIUS协议简述RADIUS是目前广泛使用的一种认证计费协议，采用C/S结构，它的客户端最初就是NAS（Net Access Server）服务器(WLAN网络中的AC充当NAS的角色)。在WLAN网络中，用户的上线、下线、计费等信息，均由AC和处于集团公司的RADIUS系统通过RADIUS协议进行交互。其认证机制灵活，可以采

10、用PAP、CHAP或者Unix登录认证等多种方式。3.2.1 RADIUS协议的工作原理图图8 RADIUS工作原理图(1) 用户终端输入用户名/口令，提交至NAS(即RADIUS客户端);(2) NAS向RADIUS服务器使用Access-Require数据包提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过MD5加密的，双方使用共享密钥，该密钥不经过网络传播；(3) RADIUS服务器对用户名和密码的合法性进行检验，必要时可以提出一个Challenge，要求进一步对用户认证，也可以对NAS进行类似的认证；如果合法，给NAS返回Access-Accept数据包，允许用户进行下一步工

11、作，否则返回Access-Reject数据包，拒绝用户访问；(4) 如果允许访问，NAS向RADIUS服务器提出计费请求Account- Require；(5) RADIUS服务器响应Account-Accept，对用户的计费开始；(6) 用户可以进行自己的相关操作；(7) 当用户需要下线时，计费将结束，此时，NAS向RADIUS服务器提出计费结束请求包Accounting- Request(stop);(8) RADIUS服务器响应Accounting-Response;(9) NAS收到RADIUS的计费结束回应消息后，再返回通知给用户。3.2.2 RADIUS报文格式下表列出了RADIU

12、S的报文以及报文中各字段名称及相关含义，其中YES表明报文中携带此字段，NO表明报文中不携带此字段，其他未给出标准字段为可选。字段名/报文名称UserInfo-RequestUserInfo-ResponseAccess-RequestAccess-Accept/RejectAccounting-Request(Start)Accounting-Request(Interim-Update)Accounting-Request(Stop)说明User-NameYESYESYESYESYESYESYES当采用基于WEB的帐号/口令认证方式时，该属性值为“用户手机号域名”，在支持不同运营商之间的漫

13、游时域名由用户输入NAS-IP-AddressNONOYESNOYESYESYESWLAN用户接入认证点IP地址。Calling-Station-IDNONOYESNOYESYESYESWLAN用户MAC地址。User-PasswordYESYESNONONONOCHAP-ChallengeNONOYESNONONONOCHAP-PasswordNONOYESNONONONONAS-IdentifierNONOYESNOYESYESYES用于表示接入设备编号，该设备编号由中国移动统一制定，详细请参见“中国移动WLAN业务总体技术要求NAS-Port-IdNONOYESNOYESYESYESAc

14、ct-Status-TypeNONONONOYESYESYESAcct-Input-OctetsNONONONONOYESYESAcct-Output-OctetsNONONONONOYESYESAcct-Session-IdNONONONOYESYESYES唯一的标识一个会话的值，在很长的时间内都不重复（即使设备重启了）Acct-Session-TimeNONONONONOYESYESAcct-Input-PacketsNONONONONOYESYESAcct-Output-PacketsNONONONONOYESYESAcct-Input-GigawordsNONONONONOYESYES

15、Acct-Output-GigawordsNONONONONOYESYESSession-TimeOut NOYESNOYESYESNONO配置WLAN用户每次连接最长时间。超过该时长后，用户被切断。Available-TimeNOYESNONONONONO手机用户及卡用户的套餐剩余时长。Acct_Interim_Interval NONONOYESN ONONO配置实时计费信息采集的时间间隔。Proxy-StateYESYESYESYESYESYESYES涉及RADIUS之间的认证计费转发时必须携带。WLAN漫游的时候，各级Proxy都可以在请求报文中增加Proxy状态，如果原来的报文中存在

16、Proxy-State属性则增加的Proxy-State属性必须放在所有的Proxy-State属性之后。下级PROXY必须原封不动的转发Proxy-State属性。4 抓包实战本节将介绍AP与AC之间抓包及AC与上层网络之间的抓包过程(在终端抓包过程从略)。4.1 AP与AC之间抓包4.1.1抓包环境机房：综合楼七层设备：AP汇聚交换机(型号：华为s3026)，一个中兴AP(测试所用，非现网使用的AP)目标：抓取测试AP通往AC的数据包4.1.2 抓包前准备(1) 配置AP汇聚交换机镜像端口连接状况：测试AP将会接在汇聚交换机的e0/21，抓包终端接在汇聚交换机的e0/22端口上。因此需把e

17、0/21端口映射至e0/22，步骤如下： sys 进入system配置视图Quidwayacl num 400 创建aclQuidwayrule 0 permit ingress interface Ethernet0/21 egress anyQuidwayrule 1 permit ingress any egress interface Ethernet0/21 Quidwaymirrored-to link-group 400 interface e0/22(2)抓包开始配置完镜像端口后，在e0/22端口便可监控e0/21端口的数据。把抓包用的笔记本插入e0/22(IP地址无需配置，只

18、需使用”自动获取”即可，笔记本即使获取不了IP地址都可抓包)。运行wireshark，点击按钮抓取与连接交换机的网卡的数据，然后把AP插入交换机e0/21端口，这样，便可把流经测试AP至AC的数据抓取下来。(3)抓包结束抓包后，通过undo命令把镜像端口的配置删除，恢复原状，抓包不影响正常业务。4.1.3数据包分析AP一连接入网络时，首先通过DHCP协议获取IP地址，因为此时还不知道DHCP服务器(即AC)的地址，所以需要广播DHCP DISCOVER，等待AC的回应：图9 DHCP DISCOVER报文 收到新入网AP的DHCP请求，AC回应了它，并把分配给它的IP地址、租约时间(租约时间为

19、1小时，如图所示)放在回应AP的DHCP OFFER报文中，同时告诉AP自己的IP地址，如下图所示：图10 DHCP OFFER报文AP收到AC的DHCP OFFER报文后，接受AC的分配，便广播DHCP REQUEST，此时的报文中包含了AP所接受的AC的IP地址(如下图红框中的29)所示：图11 DHCP REQUEST报文 AC收到AP的DHCP REQUEST报文后，回应DHCP ACK报文，到此为止，DHCP的工作流程结束，当AP获取的IP地址到了租约期限，AP会自动向AC申请续约，此过程从发送DHCP REQUEST报文开始。图12 DHCP ACK报文4.2

20、 AC至AC以上网元的抓包4.2.1抓包环境机房：第二机楼十层设备：与AC直接相连的IP城域网交换机(型号：华为s9312)，抓包笔记本目标：抓取AC与RADIUS认证系统交互的数据包 4.2.2抓包前准备(1) 配置华为S9312交换机镜像端口连接状况：AC接在S9312的g3/0/13，抓包终端接在与该端口处于同一VLAN下的g3/0/10端口。因此需把g3/0/13端口映射至g3/0/10，步骤如下： sys 进入system配置视图Quidwayobserve-port 1 int g3/0/10 指定为g3/0/13侦听端口Quidwayint g3/0/13 进入g3/0/13端口

21、配置模式Quidway-interface-g3/0/13port-mirroring to observe-port 1 both 指定g3/0/13端口镜像至g3/0/10 (2)抓包开始配置完镜像端口后，在g3/0/10端口便可监控g3/0/13端口的数据。把抓包用的笔记本插在g3/0/10上，和之前抓AP至AC的情况相同，无需为抓包终端配置IP地址，该终端在获取不了IP地址的情况下仍可以用于抓包。运行wireshark，点击按钮抓取与连接交换机g3/0/10的网卡的数据，便可把流经AC的数据抓取下来。(3)抓包结束抓包后，通过以下步骤删除端口镜像的配置： sys 进入system配置视

22、图Quidwayint g3/0/13 进入g3/0/13端口配置模式Quidway-interface-g3/0/13undo port-mirroring both 取消对该端口的镜像Quidway-interface-g3/0/13q 退出接口模式，回至全局sys视图Quidwayundo observe-port 1抓包不影响正常业务。4.2.3数据包分析当用户在中国移动的WLAN认证页面提交用户名(手机号)和密码后，AC会把这些用户信息发送至RADIUS认证系统进行认证以及开始进行计费。AC通过RADIUS的ACCESS-REQUEST报文，把用户名(即手机号)，以及已经加密了的CHALLENGE信息，AC自身的NAS-ID，NAS-IP等信息发送给RADIUS系统。图13 RADIUS协议的