80211数据抓包分析.docx
- 文档编号:28292911
- 上传时间:2023-07-10
- 格式:DOCX
- 页数:16
- 大小:307.14KB
80211数据抓包分析.docx
《80211数据抓包分析.docx》由会员分享,可在线阅读,更多相关《80211数据抓包分析.docx(16页珍藏版)》请在冰豆网上搜索。
80211数据抓包分析
802.11抓包分析
1.实验目的
分析802.11协议,了解802.11的帧格式
2.实验环境及工具
操作系统:
ubuntu
实验工具:
WireShark
3.实验原理
(1)802.11MAC层数据帧格式:
Bytes2266620-23124
Frame
Duration
Address1
Address2
Address
Sequenc
Data
Check
control
1
(recipient)
(transmitter)
3
e
sequenee
Version
Type
Subtype
To
From
More
Retry
Pwr.
More
Protected
Order
=00
=10
DS
DS
Frag.
mgt.
data
Bits22411111111
Version:
表明版本类型,现在所有帧里面这个字段都是0
Type:
指明数据帧类型,是管理帧,数据帧还是控制帧,00表示管理帧,01表示控制帧,10
表示数据帧
Subtype:
指明帧的子类型,Data=0000,Data+CF-ACK=0001,Data+CF-Poll=0010,
Data+CF-ACK+CF-Poll=0011,Nulldata=0100,CF-ACK=0101,
CF-Poll=0110,Data+CF-ACK+CF-Poll=0111,QoSData=1000,
QosData+CF-ACK=1001,QoSData+CF-Poll=1010,
QoSData+CF-ACK+CF-Poll=1011,QoSNull=1100,
QoSCF-ACK=1101,QoSCF-Poll=1110,QoSData+CF-ACK+CF-Poll=1111
ToDS/FromDS:
这两个数据帧表明数据包的发送方向,分四种情况:
若数据包ToDS为0,FromDS为0,表明该数据包在网络主机间传输
若数据包ToDS为0,FromDS为1,表明该数据帧来自AP
若数据包ToDS为1,FromDS为0,表明该数据帧发送往AP
若数据包ToDS为1,FromDS为1,表明该数据帧是从AP发送往AP
Moreflag.:
置1表明后面还有更多段
Retry:
置1表明这个以前发送一帧的重传
Pwrmgt.:
置1表明发送发进入节能模式
Moredata:
置1表明发送发还有更多的帧需要发送给接收方,当AP缓存了处于省电模式下
的网络主机的数据包时,AP给该省电模式下的网络主机的数据帧中该位为1,否
则为0
Protected:
置1表明该帧的帧体已经被加密
Order:
置1告诉接收方高层希望严格按照顺序来处理帧序列
Duration:
通告本帧和其确认帧将会占用信道多长时间
Address1:
发送方地址Address2:
接收地址Address3:
远程端点
Sequenee:
帧的编号
Data:
有效载荷,长度可达2312字节
CheekSequenee:
CRC校验码
(2)802.11控制帧,每种控制帧的帧格式不一样,以RTSM为例说明
Bytes22664
Framecontrol
Duration
Receiver
Address
Transmitter
Address
Checksequenee
f—
Version
Type
Subtype
To
From
More
Retry
Pwr.
More
Protected
Order
=00
=01
=1011
DS
DS
Frag.
=0
mgt.
Data
=0
=0
=0
=0
=0
=0
Bits22411111111
Version:
表明版本类型,现在所有帧里面这个字段都是0
Type:
指明数据帧类型,是管理帧,数据帧还是控制帧,00表示管理帧,01表示控制帧,10
表示数据帧
Subtype:
指明数据帧的子类型,PowerSave(PS)-Poll(省电轮询)=1010,RTS=1011,CTS=1100,ACK=1101,CF-End(无竞争周期结束)=1110,
CF-End(无竞争周期结束)+CF-ACK(无竞争周期确认)=1111,BlockACK=1001,
控制帧的ToDS至Order除Pwr.mgt.外必然为0
ReceiverAddress:
接收方地址
TransmitterAddress:
发送发地址,CTS和ACK没有该字段
Cheeksequenee:
校验码
(3)管理帧,
Bytes2266620-23124
Bits22411111111
Version:
表明版本类型,现在所有帧里面这个字段都是0
Type:
指明数据帧类型,是管理帧,数据帧还是控制帧,00表示管理帧,01表示控制帧,10
表示数据帧
Subtype:
指明数据帧的子类型,
AssociationRequest(关联请求)=0000,
AssociationResponse(关联响应)=0001,
ReassociationRequest(重关联请求)=0010,
ReassociationResponse(重关联响应)=0011,
ProbeRequest(探测请求)=0100,
ProbeResponse(探测响应)=0101,
Beacon(信标帧)=1000,
ATIM(通知传输指示信息)=1001,
Disassociation(解除关联)=1010,
Authentication(身份验证)=1011,
Deauthentication(解除身份验证)=1100
管理帧的ToDS与FromDS均为0,其余FrameControl字段意义与数据帧一致
DestinationAddress:
目的地址
SourceAddress:
源地址
BSSID:
基本服务集ID,用于过滤收到的MAC帧(在基础型网络里为工作站所关联的AP的MAC
地址)
Sequenee:
帧序列号
AddressChecksequenee:
校验码
4.实验步骤
1.配置wireshark,启动monitormode,抓取wifi的数据包,如下图
FileEditViewTerminalHelp
Itaylor^utiuiintw$sudolwdevwLaineinterfaceaddv>onGtypemonitor(sudo]pas5wordTortaylcir:
|taylor@ubuntu:
sudoifconfIgr>on&up
tiriylorsiiubuntswd口wireshark
2.分析抓取到的wifi数据包
5.实验结果及分析
1.数据帧
(1)数据帧
■60014S31120L2OU42K6AaJd011JOS.174UM>1172fiowvtpoffe436€0»疳*1>才|□訥l-=m」
i|FrdLriit6:
1172byttiofi>wire(937€biz).captured(937GbiCs>)
旦Radid ■匚『d/iECorltrciI;0kOAO^(NoriULl) Vtriion: 0 "Type*MTafrane(? ) 5ubi: yp@: 0 hFlagsOxA <.bb■・IQ■DSii: kui: Frir«fromOSto1STaviaaP(T&DSd0DS: 1)(0x02) «McireFragirpmrs: tM^isths1asj■frinir^nr -wiry: rrawIsb«1ngr^iransslTicdi —Pwft擀右T;STA.wi11stayup =wor«Diti.: noixjfftred -Pr^trctcrlfl^g: &ar>1shotprorecr^cl -orderflag: mdistricrlyordered DurationzZU tMstlrLStloriaddrtionnalpr_S*: >7: 44(00: ^2;&e&7: 44) assid*: sourceaddress: uscinfor-CK}: £M: 0a(0€: QG: ie0D: G4: Da) Fragmentni^ribe『;0 ,电勺u輕nt电ni/iib^r: aol: 一Fr^metzh创cksequence: 0M? 3041iL31[corieci] [Good: Troe] [Bad: False] ±jLoglcall-LlnkLantrfll l±|IMMrl軌Preiieif&llvtrslon4fcsrcsJ42.16«O? a.24? .IM)dDSC: 181.192.105.174(113.1W.IDS.174) 71U3^rQatagra»ProtacQlBSrcPort: 4166EKtPort;IJSS-l(12^81) +1Data(1076bytd) Version,Type和Subtype的08H,即00001000,后两位00,表明协议版本为0,倒数 3、4位10表明这是一个数据帧,前四位0000是subtype。 Framecontrol后8位0AH,即卩00001010。 ToDS=0,FromDS=1,表明该数据帧来自 AP。 Morefrag=0,表明这是该帧的最后一段,Retry=1,表明这是重传帧,Pwr.Mgt.=0,表明 发送方没有进入节能模式;Moredata=0表明没有更多的帧,即NodatabufferedProtected=0,表明没有加密,Order=0,表明没有严格的顺序要求。 Duration位为d500,低位为00,高位为d5,所以持续时间为00d5H=213微秒。 Address 1=0022698ea744,接收方的MAC地址;Address2=0611b51a0a05,发送发地址,即AP地址; Address3=00005e00040a,远程远端地址;Sequence=3032,高位为32,低位为30,即0011 001000110010,段号为0,帧号为001100100011B=803DChecksequence=23093131H,检测结果为正确。 (2)上图帧紧接着的下一个数据帧 ■鮎0423200120,2«,城AM谪1昶]0»? 40忑17*9燈逐斗彌Zinttionport1却»一pFr«MIS: 1170bytoonwire<940fl1176bytncap«iyr«d(9404bits) i峙sdlcK自pHeadertengrhU2 □ieee£02.11Daw.Flags,P_Tf_c Typift/subtypelData(dx20-> iVFrjr»cComrol: OaedZOaCNGrn«l> Dijratiani211 oestir? arionaddress: i-Hjra4aipr_Ee: a744^ODi23159: Ee: aT: 44]id: Ob: UztiSziA: iizb^;ia;ua: QS>) SourceAndreis: UKXnfvrJXh⑷OaWEOOrStsOOrCMsOa) sequert匚电ni Fragmentnunnber: 0 iL&gical-Linktcmrol TinternetProtocolVErsiori4P5rc;120-206.242.1^(120-2M.242.1M>BOst;1B3・1M・1"(ia3.192.105-174J ±user□acagrdmPrarocoll,arti°ort: 4.3fi-6(49^6).dslport: 12553CL29B3)! ±iDAra(1QBObyres) □ala□□oa5e^MmQa旳naaadoTooo-osWVR二羽 03口A*凶3*4dqcbDOod7711de电甘竭fzabJ・TL・・・w.k.X... 每发出去一帧Sequenee中的12位帧号递增,Address1=0022698ea744,接收方的MAC 地址;Address2=0611b51a0a05,发送发地址,即AP地址;Address3=00005e00040a,远 程远端地址;这三个地址与上图中的帧一致,是同一发送方发送给同一接收方的连续两帧,帧号=804,帧号递增。 2•控制帧 (1)RTS帧 _Ffduwtdrtrol: t>xD0€4(Nt)rmal]iversion! 0 Type: Corrcrulfra-ne (1)Subtle: U. FIJiJi: 触0 ……4。 ・.-B,0-, +章iram7: 52byrwon川1%£416b1ts)sSzbyr«capcuredC4L6bits)tih蟹吕旅「¥&bLength32 *PStleavingD5ornetwork>Sctps? ratinqinAD-HOC心畫(T廿0刖0»C5: 0〉(0x00) ■*oref『atjmenis: Thisisrhelasrfraq*em -neiry: i=rarne1snatbeingreEransmirred ■pw良MtTtSTawillsra^rup ■Dita: 叫odrtiibuffarid •Ch.H+=Protectedflag: DariLisnutprotected 0,,・•・▼・"■■Orderag;Notstrictlyordered □uration: M常 ■ecei踏—騒牯TM#(oo: Z? : Si;Se;7: 44) rransBllTTei'e-ss: 11^b5: la(C6111: h5: larQa^a^) ■_Firaiwch«-cksequence: ! 0x6e24f2flc[correct] 【sad: Truel .CHI・・ FAlSti U'JJO 11010■0020 0010 Version,Type和Subtype的b4H,即10110100,后两位00,表明协议版本为0, Framecontrol后8位00H,控制帧的这几位除Pwr.mgt.外必然是0.Pwr.mgt即 发送方没有进入节能模式。 Duration位为6709,低位为67,高位为09,所以持续时间为096fH=2407微秒。 ReceiverAddress=00: 22: 69: 8e: a7: 44,接收方的MAC地址;TransmitterAddress =06: 11: b5: 1a: 0a: 05,发送方地址;Checksequence=6e24f28cH,检测结果为正确。 Version,Type和Subtype的C4H,即11000100,后两位00,表明协议版本为0,倒数3、4位01表明这是一个控制帧,前四位1100是subtype,表明这是一个CTS. Framecontrol后8位00H,控制帧的这几位除Pwr.mgt.外必然是0.Pwr.mgt即发送方没有进入节能模式。 Duration位为6f09,低位为6f,高位为09,所以持续时间为096fH=2415微秒。 Receiver Address=70f1al496492,接收方的MAC地址;Checksequence=a1d1f7e5H,检测结果为正确。 (3)ACK帧 Version,Type和Subtype的d4H,即11010100,后两位00,表明协议版本为0,倒数 3、4位01表明这是一个控制帧,前四位1101是subtype,表明这是一个ACK Framecontrol后8位00H,控制帧的这几位除Pwr.mgt.外必然是0.Pwr.mgt即发送 方没有进入节能模式。 Duration位为0000,所以持续时间为0微秒,ACK表明该帧的传送结束,所以持续时 间为0,ReceiverAddress=00: 22: 69: 8e: a7: 44,接收方的MAC地址;Check sequence=6e24f28cH,检测结果为正确。 : c-onxrol Sul? -YEflrt Version,Type和Subtype的94H,即10010100,后两位00,表明协议版本为0,倒数3、4位01表明这是一个控制帧,前四位1001是subtype,表明这是一个BlockAck,这是一个块确定帧 Framecontrol后8位00H,控制帧的这几位除Pwr.mgt.外必然是0.Pwr.mgt即发送 方没有进入节能模式。 Duration位为9400,低位为94,高位为00,所以持续时间为0094H=148微秒。 ReceiverAddress=70f1al496492,接收方的MAC地址。 TransmitterAddress=3822d67704d3,发送方的MAC地址,Checksequence=d2ed060f,检测结果为正确。 其余位与BlockACK该种帧 有关,BlockAckType=02H,compressedBlock;BlockAckControl=0005H,BlockAckStartingSequeneeControl=9320H. 3.管理帧 ■22flU03913iBwJcMtIQfldJL2S0氈配孙斤剖g竣Fhl里0.料怜^—C£S[Q・CiMNttj TFCE-802«11Bearnnfranw! Fl^gs: ・.r.,・・・f +^fAnift上』: bytesorwdre(200-061cs)P2SiObyc«capturedC^QOu血Hrs)雷RjuHotiipvQ*L*ng£hi吉2 TypeyJsub,t^peiBeacomfrane _FtJMCDTTrrdll: OmOMO^(MOmdl)wr&1o Type: ^artaqenenrtframe(0^ Subtype: S -FifthsDxO …F00-OS-status;Wot105vrnetworkiioperitinqinAD-HCKmcdf"(ToCk§;0霍『onIQS: OJ£OxOQ) -HorcFragRents: Thisthelastfragment - Firane15notbeingreir^jnsiplLtcd ■MGT: 5TAwillStayUp-Mor wb-daxabfcirffer^ =PrGreetedfla^zDaraisnptproteo: «dl Ouxu4.»i=Orderflag: Notstrlcclyordered IXiratiQiu0 氈強tiwtiQ和a吐di■刊BrgiddcilSt(ff: ff: ff;ff;fF;ff) Sourceaedress: H女TEchn_盯;M;dd: d6;77;05: dOj besxd*H3cTe€hn_? 7: 0-5! ciO(;25id6: 77! 05: t£D) rrAgrnencnu■her: 0 Xpqupnc*niiiBfa#r: 3B fPrairiecbeclksequence: 0KBDQ7c€e2fcorre匚 [Good: True] : FaHel Version,Type和Subtype的80H,即10000000,后两位00,表明协议版本为0,倒数3、4位00表明这是一个管理帧,前四位1000是subtype,表明这是信标帧,AP每隔一段时间就会发出的Beacon(信标)信号,用来宣布802.11网络的存在 Framecontrol后8位00H.ToDS=QFromDS=0,管理帧这两位固定。 Morefrag=0, 表明这是该帧的最后一段,Retry=0,表明这不是重传帧,Pwr.Mgt.=0,表明发送方没有进入 节能模式,Moredata=0表明没有更多的帧,即Nodatabuffered,该位被置是因为有AP 缓存了数据给在休眠中的主机,由于ToDS=0FromDS=0,数据再主机之间传送,所以More data必定为0.Protected=0,表明没有加密,Order=0,表明没有严格的顺序要求。 Duration位为0000,信标帧传送完,此次传输就已经结束,所以持续时间为0微秒。 DestinationAddress=ffffffff,即为广播;SourceAddress=3822d67705d0,为AP地址;BSSID=3822d67705d0,即AP地址;Sequence=6002,高位为02,低位为60,即0000001001100000,段号为0,帧号为000000100110B=38D,Checksequence=8007c6e2H,检测结果为正确。 6.实验总结 十六进制表示的帧与帧格式字段,顺序对应关系不太合理。 如数据帧FrameControl 在Packetbytes面板为080a,在Packetdetail面板显示为0a08.0a08=000010100000 1000,所表
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 80211 数据 分析