网络取证笔记(3)—无线取证

发布于 2022-03-11  42 次阅读

内容 隐藏
1 IEEE第二层协议
2 802.11协议族
2.1 帧类型
2.1.1 管理帧:
2.1.2 控制帧:
2.1.3 数据帧:
2.2 帧分析
2.2.1 字节序
2.2.2 WEP 有线等效加密
2.2.3 WPA
3 802.1X
4 无线接入点 AP
4.1 可能信息
4.2 接入点类型
5 WAP证据
5.1 易失性证据
5.2 持久储存证据
6 无线数据捕获与分析
6.1 无线被动证据收集
6.2 寻找加密数据帧
7 定位无线设备
7.1 获取设备描述
7.2 找出附近AP的WAP日志
7.3 信号强度

IEEE第二层协议

以太网(802.3)中继(802.1q)局域网认证(802.1X)以及包含WEP和WPA两种加密标准在内的WIFI(802.11)

802.11协议族

帧类型

管理帧:

控制基站间的通信。管理帧子类型包括关联请求帧、关联应答帧、探测帧、信标帧等。管理帧是不加密的,可以列举设备的MAC地址,推断可能厂家,接入点的基本服务集标识符(BSSID)和服务集(SSID),成功或者失败的验证尝试。

管理帧会用来操作目标或者用以发起对接入点的向量攻击,WEP破解,Evil Twin。

0x0 关联请求 0x1 连接应答(0x0000成功)0x2重新关联请求 0x3 重新关联应答 0x4 探测请求 0x5 探测应答 0x8信标帧......

控制帧:

支持不同有效传输介质上的流量控制。

子类型:0x1B请求发送,0x1C可以发送,0x1D确认。

可以提供关于时间和基站的MAC地址信息。

数据帧:

对无线网络设备通信三层协议以上的数据进行封装。通常加密,但也可以解释通信流量的大小、通信方向和设备。

帧分析

字节序

IP协议指定了通过网络传输的数据使用大端方式。(最高位被首先发送)。而802.11字节序使用混合端

上图中数据帧第一个字节(Version type subtype),最先被发送的是Subtype字段,然后是Type字段,但是字段内的数据位顺序不变。

也就是说,实际接收顺序是以上图为准。

在Wireshark查看ASCII值时,上面是需要注意的。但是实际查看中,Wireshark是可以正确解析的。

WEP 有线等效加密

目的是让一个无线网络变成一个“私有的网络”。但是WEP的密钥可以被暴力破解(aircrack-ng)。

通过管理帧的Privacy字段,当数据流加密时(WEP,WPA,WPA2),字段会被设置为“1”。

通过数据帧的Protected标志(偏移在802.11MAC帧的第一个字节)用来标识是否加密

WPA

WPA是WEP的弥补办法。通过TKIP(暂时密钥集成协议)实现,核心加密算法是RC4。但是可以破解PSK(WPA预共享密钥)。

当使用AES加密的CCMP模式规范,也就是WPA2。WPA和WPA2管理帧中的标记参数会包含RSN信息。取证时可以以此作为过滤参数。

802.1X

用于有线或无线网络,可以控制局域网的访问连接。(校园网)

一般都会提供日志。

无线接入点 AP

AP通常有内置Web管理接口、基础日志功能、MAC地址过滤、DHCP服务器。可能也有系统日志和SMAP。

可能信息

可能包含存储在本地的尝试连接日志;

WAP日志可以追踪无线客户端的地理移动信息;

WAP设置可以提供攻击者连接到网络的信息;

WAP可能被未授权的第三方修改;

WAP本身被入侵;

接入点类型

企业级:

3层以上功能(DHCP,路由协议,网络地址转换协议,数据包过滤),认证服务,登录日志,基站位置跟踪等。支持CLI,SSH,SNMP,web接口,中央管理接口等。

家用级:

内置无线功能路由器类型;ISP支持的调制解调器包含WAP功能

3层以上功能(支持有限的路由协议,DHCP,网络地址转换协议,过滤),记录日志。

WAP证据

AP也可以配置向远程系统发送事件日志。

存在与WAP的BSSID相似的sa字段,这是因为AP提供不同服务会使用不同的MAC地址,sa很可能就是WAP另外一个接口的MAC地址,称为“STA接口”

易失性证据

MAC地址的连接记录,IP地址,无线事件有关的历史日志,客户端信号强度历史(可以确认地理位置),路由表,转发前的数据包和数据包统计,ARP表,DHCP分配,配置......

持久储存证据

WAP操作系统镜像,引导程序,启动功能配置文件

无线数据捕获与分析

无线被动证据收集

寻找WAP的传输信标和探测回应管理帧:信标帧(管理帧子类型0x08)+ 版本字段0b00 ,所以帧头部0字节偏移为0b00 001000,由于混合序,0x80。wlan[0]=0x80wlan.fc.type_subtype == 0x08 查找探测回应帧 wlan.fc.type_subtype == 0x05 。WAP将ESS字段设置为1,IBSS字段设置为0。

(wlan.fc.type_subtype== 0x08 || wlan.fc.type_subtype ==0x05) && (wlan_mgt.fixed.capabilities.ess == 1) && (wlan_mgt.fixed.capabilities.ibss ==0)

寻找加密数据帧

之前提到过加密与否的字节偏移

wlan[0] =0x08 and wlan[1] & 0x04 = 0x40

定位无线设备

获取设备描述

802.11数据帧中有发送方和目的地的MAC地址(WAP的BSSID字段就是无线网卡的地址)

找出附近AP的WAP日志

信号强度

netstumbler,kismet,kisMAC

RSSI 接收信号强度指示:802.11规格中数据链路层头中一般不包含,

Skyhook:精密数据库,提供GPS。iphone的“定位”

bssid过滤:wlan.bssid==

被保护的数据帧:(wlan.fc.type_subtype == 0x20) && (wlan.fc.protected = 1)

sa过滤(需要带上bssid):(wlan.bssid == ) && (wlan.sa==)

接收方MAC过滤:wlan.da==

管理帧过滤:wlan.fc.type ==0

数据包时间过滤:frame.time < “”

间桐桜のお菓子屋さん