Проверка Wi-Fi, что это такое

Обновлено: 21.11.2024

Точки доступа – это мосты, которые соединяют трафик между мобильными станциями и другими устройствами в сети. Прежде чем мобильная станция сможет отправлять трафик через точку доступа, она должна находиться в соответствующем состоянии подключения.

  • Не аутентифицирован или не связан.
  • Аутентифицирован, но еще не связан.
  • Аутентифицировано и связано.

Мобильная станция должна быть в состоянии аутентификации и ассоциирования, прежде чем произойдет мостовое соединение.

Мобильная станция и точка доступа обмениваются серией кадров управления 802.11, чтобы перейти в состояние аутентификации и ассоциирования.

Мобильная станция изначально не аутентифицирована и не ассоциирована.

<р>1. Мобильная станция отправляет пробные запросы для обнаружения сетей 802.11 в непосредственной близости от нее. Зондовые запросы сообщают о поддерживаемых мобильными станциями скоростях передачи данных и возможностях 802.11, таких как 802.11n. Поскольку тестовый запрос отправляется с мобильной станции на адрес назначения уровня 2 и BSSID ff:ff:ff:ff:ff:ff, все точки доступа, получившие его, ответят.

<р>2. Точки доступа, получающие пробный запрос, проверяют, поддерживает ли мобильная станция хотя бы одну общую поддерживаемую скорость передачи данных. Если они имеют совместимые скорости передачи данных, отправляется тестовый ответ с указанием SSID (имени беспроводной сети), поддерживаемых скоростей передачи данных, типов шифрования, если требуется, и других возможностей 802.11 точки доступа.

Мобильная станция выбирает совместимые сети из полученных тестовых ответов. Совместимость может быть основана на типе шифрования. Как только совместимые сети будут обнаружены, мобильная станция попытается выполнить низкоуровневую аутентификацию 802.11 с совместимыми точками доступа. Имейте в виду, что аутентификация 802.11 отличается от механизмов аутентификации WPA2 или 802.1X, которые происходят после аутентификации и связывания мобильной станции. Первоначально кадры аутентификации 802.11 были разработаны для шифрования WEP, однако эта схема безопасности оказалась небезопасной и поэтому не рекомендуется. Из-за этого фреймы аутентификации 802.11 открыты и почти всегда успешны.

<р>3. Мобильная станция отправляет низкоуровневый кадр аутентификации 802.11 на точку доступа, устанавливая аутентификацию на открытие и последовательность на 0x0001.

<р>4. AP получает кадр аутентификации и отвечает мобильной станции кадром аутентификации, установленным на открытие, указывая последовательность 0x0002.

Если точка доступа получает какой-либо фрейм, кроме запроса аутентификации или тестового запроса от мобильной станции, которая не аутентифицирована, она ответит фреймом деаутентификации, переводя мобильную станцию ​​в состояние неаутентифицированного или неассоциированного. Станция должна будет начать процесс ассоциации с этапа аутентификации низкого уровня. В этот момент мобильная станция аутентифицирована, но еще не подключена. Некоторые возможности 802.11 позволяют мобильной станции выполнять низкоуровневую аутентификацию для нескольких точек доступа. Это ускоряет процесс ассоциации при перемещении между точками доступа. Мобильная станция может быть аутентифицирована по стандарту 802.11 для нескольких точек доступа, однако она может быть активно связана и передавать данные только через одну точку доступа одновременно.

<р>5. Как только мобильная станция определяет, с какой точкой доступа она хотела бы ассоциироваться, она отправляет запрос на ассоциацию на эту точку доступа. Запрос на ассоциацию содержит выбранные типы шифрования, если это необходимо, и другие совместимые возможности 802.11.

Если точка доступа получает кадр от мобильной станции, которая аутентифицирована, но еще не связана, она ответит кадром разъединения, переводя мобильную станцию ​​в аутентифицированное, но не ассоциированное состояние.

<р>6. Если элементы в запросе на ассоциацию соответствуют возможностям точки доступа, точка доступа создаст идентификатор ассоциации для мобильной станции и ответит ответом на ассоциацию с сообщением об успешном предоставлении доступа к сети для мобильной станции.

<р>7. Теперь мобильная станция успешно связана с точкой доступа, и можно начинать передачу данных.

Примечание. Если в беспроводной сети требуется аутентификация WPA/WPA2 или 802.1X, мобильная станция не сможет отправлять данные до тех пор, пока не будет выполнен динамический ключ и аутентификация после завершения ассоциации 802.11.

Большинство людей имеют неправильное представление о Wi-Fi и предполагают, что точки доступа всегда каким-то образом транслируются, чтобы сделать себя видимыми для устройств. Когда устройства видят знакомый SSID, они присоединяются, верно?

Большинство пакетов, которые управляют подключением точки доступа к клиенту, действительно исходят от точек доступа. Тем не менее, спецификация 802.11 (. WiFi) также позволяет персональным устройствам вслепую рассылать «зондовые запросы» вокруг себя в надежде, что близлежащая знакомая точка доступа поймет: «Эй, это я! меня, а затем выберите подключение ко мне".

Но что такое "знакомая точка доступа"? Что ж, каждый раз, когда вы добавляете новую сеть Wi-Fi на свой телефон, вы, по сути, добавляете ее в «избранное».Затем большинство людей забывают об этом и создают огромный список «сохраненных сетей». Посмотрите сейчас на своем телефоне Android или iOS, список обычно находится где-то в настройках Wi-Fi.

Если на вашем устройстве включен Wi-Fi, но оно не подключено к точке доступа, оно отправляет пробные запросы, иногда широковещательные сообщения (любому, кто является точкой доступа, которому нужно ответить), но в других случаях оно будет явно перечислять имя сети, к которой он хочет подключиться. Это то, что меня интересует, так как вы не только можете «отпечаток пальца» кого-то по их уникальному списку «рекламируемых» сохраненных сетей, которые их телефон постепенно повторяет через вещание, вы можете увидеть, где они были в реальном мире. Если вы считаете, что знаете чей-то телефон по MAC-адресу, вы можете увидеть его прошлые рекламируемые сети и использовать такой инструмент, как Wigle, чтобы увидеть, где эта сеть была записана в реальном мире. Это ПЛОХО с точки зрения безопасности, поэтому я нахожу это действительно интересным, и вскоре это будет объяснено.

Кроме того, у меня был неподдельный интерес к этой теме. Мне также пришлось управлять стендом на мероприятии по безопасности для потенциальных учеников, и я подумал, что было бы очень увлекательно и интерактивно, если бы я смог показать некоторым, что их телефоны выдают информацию о них.

Получить эти данные до смешного просто (для начала они летают вокруг вас). Я знаю, как это сделать только в системах Linux, хотя вполне могут быть инструменты для Mac и Windows, о которых я не знаю. Windows, безусловно, поддерживает режим монитора.

Поддерживает ли устройство «Режим монитора»?

Функция «Режим монитора», также известная как «Режим монитора». «RFMON» позволяет компьютеру с контроллером беспроводного сетевого интерфейса отслеживать весь трафик, полученный от соседних беспроводных точек доступа и клиентских устройств. Он отличается от более известного беспорядочного режима тем, что в дополнение к обычному перехвату пакетов не требуется привязка к точке доступа или сети точка-точка. Режим монитора — это один из семи режимов, в которых спецификация IEEE 802.11 позволяет работать устройствам. Для интереса другими являются основной, управляемый, одноранговый, ячеистый, повторитель и неразборчивый.

К сожалению, не всегда возможно включить режим монитора на беспроводном устройстве, часто из-за того, что драйверы ОС для конкретного устройства не поддерживают его. К счастью, мой встроенный беспроводной чип Intel поддерживает его, а драйверы ядра Linux поддерживают взаимодействие в этой методологии. У меня также есть USB-адаптер Wi-Fi, который я фактически использую для сканирования, поскольку чип поддерживает его, а также потому, что он позволяет мне просматривать Интернет и сканировать одновременно. Это связано с тем, что когда вы входите в режим монитора на беспроводном устройстве, он уничтожает все подключения и возможность использования традиционных точек доступа. Вы можете поглощать трафик, но не можете передавать. Две микросхемы Wi-Fi помогают мне обойти эту проблему, но если они есть под рукой, то с той же задачей справится и обычный кабель Ethernet.

Самый простой способ в Linux проверить, есть ли у устройства возможность режима RFMON/Monitor, — запустить:
sudo iw list .
Если на карточке указано «Монитор» в разделе «Поддерживаемые режимы интерфейса», значит, все в порядке. Вот пример, смотрите * монитор там?

Включение функции режима монитора

Первая команда переводит устройство в автономный режим, чтобы мы могли . используйте вторую команду, чтобы переназначить «режим» чипа Wi-Fi, а затем . используйте третью команду, чтобы восстановить этот чип, чтобы ОС могла взаимодействовать с ним.

Собираем полезные данные!

Теперь запустите Wireshark и начните запись со своего устройства Wi-Fi. Убедитесь, что установлен флажок "Монитор", как показано ниже, и нажмите "Пуск".

В зависимости от того, насколько занята среда вокруг вас, пакетные данные начнут пролетать мимо. Это более или менее все, которые передаются вокруг вас, поэтому ожидайте, что загрузка ЦП возрастет, а количество пакетов в правом нижнем углу экрана увеличится.

Как нам отфильтровать только маяки и зонды?

Мне потребовалось на удивление много времени, чтобы понять это, но наличие карманного справочного руководства по 802.11 оказалось чрезвычайно удобным. Посмотрите на левую часть этого руководства, и вы увидите команды фильтрации для «Маяка» и «Запроса зонда».

Вернемся к простым вещам. Нажмите на строку поиска в верхней части экрана Wireshark и введите wlan.fc.type_subtype eq 4 . Это говорит Wireshark отфильтровывать только запросы Probe (это те интересные запросы, которые исходят от клиентских устройств. Однако эти запросы Probe могут быть нацелены на определенные точки доступа, которые устройство видело в истории (что вас, вероятно, интересует!) или они могут быть общими и широковещательными в надежде, что ближайшие точки доступа ответят. Нас не интересуют общие широковещательные зонды, поэтому мы можем отфильтровать их с помощью этого слегка расширенного запроса Wireshark.
wlan.fc.type_subtype eq 4 && wlan_mgt.ssid != "" . Наряду с первоначальным запросом мы теперь добавляем правило не показывать «пустые» SSID, вызванные широковещательными маяками.

Наслаждайтесь!

Это более или менее так. Вы можете продолжать собирать пакеты в свое удовольствие. Конечно, если вы хотите перевернуть все с ног на голову и увидеть, как точки доступа объявляют о себе, поменяйте «4» в правиле фильтра на «8», чтобы увидеть маяки. Поэтому wlan.fc.type_subtype eq 8 . Теперь я могу сказать вам, что их будет много для просмотра.

Теперь я провел и записал много разных сетов в разных местах. Каждый раз был в общественном месте, например, в кафе или на выставке. Однако я заметил интересную закономерность и создал таблицу ниже, чтобы быстро проиллюстрировать ее.

< /th>
Место Общее количество пакетов Количество нешироковещательных тестовых пакетов (%) Количество пакетов маяка/(%)
Культовое кафе 266430 2236/(0,8%) 57974/(21,8%)
Контейнерный лагерь 161719 1,1 % 15,9%
Университет Саффолка IWIC 378716 3902 (1%) 163360 (43,1%)
Рабочий офис 10866 2693 (24,8%) 0% (небольшое смещение записи)
Я могу добавить в эту таблицу позже

Интересный вывод заключается в том, что, помимо записи рабочего офиса, клиентские устройства, отправляющие сигналы старых точек доступа, составляют примерно 1% трафика! Это гораздо больше, чем я ожидал, и, конечно, это будет зависеть от того, являются ли сети вокруг меня относительно «бездействующими» или очень интенсивно использующими данные. Скоро появятся дополнительные данные.

Оповещать, когда поблизости находятся люди

Очень легко собрать сценарий, который будет оповещать кого-либо, когда будет замечено, что MAC-адрес отправляет запросы. Это позволяет кому-то с неприятными мотивами записывать, когда кто-то находится рядом или входит в определенный «пузырь».

Вы можете легко выделить людей

Это проще сделать, чем я думал. Это немного помогает, если вы знаете чью-то недавнюю историю. Определите тип устройства и начните фильтровать результаты своего зонда для этого конкретного производителя. Затем, если вы знаете, что они являются сотрудниками определенной компании или имеют Broadbrand с определенным провайдером и т. д., их легко отфильтровать из шума.

Карта, где были люди

Не совсем уверен, насколько это полезно, но, как я уже говорил ранее, вы можете сопоставить SSID с географическим местоположением с помощью инструмента Wigle. Вероятно, это не так уж и полезно, если вас действительно не волнует, где кто-то был в прошлом.

Я упомянул во вступлении, что часть всего этого была сделана для того, чтобы у меня было что-то, что можно было бы запустить в качестве демонстрации для стойки безопасности во время набора персонала, где я работаю. К счастью, в целом стенд удался, а эта демонстрация Wi-Fi стала ключевым элементом. Включено:

  • Один студент сообщил мне свой MAC-адрес, и я отфильтровал его, показав, что его устройство отправляет запросы зондирования для одинокой сети Wi-Fi. Они выглядели очень смущенными, говоря, что это оттуда, где они недавно были в отпуске. Конечно же, я ввел SSID в Google, и вышло название места, где они остановились.
  • Я видел, как пролетел MAC-адрес Windows Phone с нашим офисным Wi-Fi SSID. Сопоставив два и два, я довольно быстро сообразил, что это был один из рабочих телефонов моей помощницы, и добавил фильтр только для ее MAC-адреса, напугав ее, показав все другие точки доступа, которые искал ее рабочий телефон.
  • Близлежащие быстродействующие или "шумные" устройства, такие как Sonos, могут затруднить поиск запросов зондирования с личных устройств. Частично это использует фильтры, чтобы скрыть этот спам (я решил применить фильтр «не показывать этот источник MAC»). С другой стороны, я совершенно уверен, что со всеми криками Sonos другие устройства сдерживали свои передачи, поскольку я определенно видел меньше запросов на зондирование, несмотря на количество устройств в комнате.
  • Люди БЫСТРО отключают Wi-Fi, когда вы сообщаете им, что делаете.

Подпишитесь на блог Сэма Кейтера

Получайте последние сообщения прямо в папку "Входящие"

Смешанные мысли о рекламной безопасности

Мой друг недавно отправился в поездку в Амстердам, как он часто делает. Он написал в Твиттере, что Wi-Fi в аэропорту способствует использованию VPN, поэтому я попросил несколько скриншотов, и он любезно предоставил их. Я был готов радоваться

Когда устройство Wi-Fi включено, оно начинает извергать пробные запросы, пытаясь найти знакомую точку доступа. Эти зондирующие запросы содержат MAC-адрес устройства и SSID точки доступа, которую оно ищет, что потенциально может использоваться для идентификации конкретного устройства и того, где оно было. Поэкспериментировав с этими тестовыми запросами, [Амин Мехди Мансури] создал OpenMAC, крошечный сниффер на основе ESP8266, который можно спрятать где угодно.

Устройство состоит из модуля ESP-07S, схемы регулятора для подачи питания от разъема USB-C и кнопки для выключения питания. Для модуля требуется внешняя антенна, которую можно выбрать в зависимости от размера или требований к усилению для конкретного развертывания. [Амин] протестировал OpenMAC в местной библиотеке (с разрешения) в сочетании с рядом своих маленьких повторителей Wi-Fi, чтобы расширить охват сети. Все записанные MAC-адреса были зарегистрированы на сервере, где данные можно использовать для анализа трафика в библиотеке и вокруг нее или даже для отслеживания и определения местоположения определенных устройств.

В этом нет ничего нового, это относительно распространенный метод сбора информации в торговых точках, который также может использоваться в более гнусных целях. В более новых версиях iOS, Android и Windows 10 используется рандомизация MAC-адресов, которая может ограничивать возможность отслеживания устройств таким образом, но она активируется не всегда.

21 мысль о « ESP8266 превратился в секретный сниффер запросов зонда WiFi »

Эта установка может подойти для охоты на лис. Стоит изучить эту идею.

Можно подумать, что устройство, которое находит сеть Wi-Fi, ищет маяк, но я могу что-то упустить. Я до сих пор не понимаю, почему вы извергаете свои предыдущие сети Wi-Fi в воздух.

Большинство устройств выполняют пассивный поиск пакетов маяка, но также отправляют пробные запросы, чтобы активно получить ответ от точки доступа. Это помогает ускорить повторное подключение к известной сети, но, как заявил OP, очевидно, имеет свои недостатки.

Вот почему вы никогда, никогда не должны использовать скрытые SSID на любой точке доступа. Для широковещательных SSID клиент может просто видеть трансляции, но если он когда-либо был подключен к скрытому SSID, он с этого момента всегда будет спрашивать, доступен ли этот. Как еще он мог найти не широковещательный SSID? Некоторое время многие люди не транслировали SSIDS своих точек доступа, думая, что это «безопаснее», но они делали самое худшее для конфиденциальности и безопасности!

К счастью, в большинстве стеков для этой цели используются рандомизированные MAC-адреса, поэтому вы не получите реальный MAC-адрес, пока устройство не подключится. С другой стороны, есть простой способ избежать этой проблемы и все равно получить реальный MAC-адрес…

"С другой стороны, есть простой способ избежать этой проблемы и получить реальный MAC-адрес в любом случае...", просветите меня, пожалуйста...

Отправьте тестовый ответ и подождите, пока устройство попытается подключиться... Но некоторые новые устройства используют случайный MAC-адрес для каждой сети.

Мне не нужно подробное отслеживание местоположения, но я хотел бы использовать кадры тестовых запросов для отслеживания устройств в HomeAssistant… Думаете? У меня есть RPI4, работающий с HASS через Ethernet, поэтому он может без проблем просматривать пакеты Wi-Fi…

Вы можете сделать это, просто пропинговав его на домашнем Wi-Fi. Просто дайте своему телефону статический IP-адрес или просто найдите его Mac-адрес в локальной сети. Простейшие методы самые лучшие ;)

Мне нравится, как ты думаешь, Крис. Это может также отслеживать людей, о которых у тебя нет записей, но которые посещали твой дом?

>Это может также отслеживать людей, о которых у вас нет записи, которые посещали ваш дом?

Это именно тот вариант использования, который я имею в виду, и я ищу решение.

Несколько лет назад в мой дом вломились... и окружной прокурор не слишком стремился швырнуть книгу в преступника (раньше делал это по крайней мере 4 раза, но он наркоман... и главной уликой была украденная поддельный чек, который, по-видимому, не «доказывал», что он был на месте).

Хотя новые камеры помогут больше, мне все же хотелось бы иметь что-то, что могло бы записывать MAC. Который _нормально_ не виден в моей сети. Если это позволит вести журнал MAC-адресов вне сети, это может помочь подтвердить предыдущие посещения дома и т. д.

Обнаружение сети путем сканирования всех возможных каналов и прослушивания маяков считается не очень эффективным (пассивное сканирование). Чтобы улучшить этот процесс обнаружения, станции часто используют так называемое активное сканирование.

При активном сканировании станции по-прежнему проходят через каждый канал по очереди, но вместо того, чтобы пассивно прослушивать сигналы на этой частоте, станция отправляет управляющий кадр Probe Request с вопросом, какая сеть доступна на этом канале.

Probe Request отправляется на широковещательный адрес DA ( ff:ff:ff:ff:ff:ff ). После отправки зонда STA запускает обратный отсчет ProbeTimer и ждет ответов. По истечении таймера STA обрабатывает полученный ответ. Если ответы не получены, STA переходит к следующему каналу и повторяет процесс обнаружения.

STA, отправляющая Probe Request, может указать SSID, который они ищут (так называемый направленный тестовый запрос). Тогда только IBSS STA или AP будут поддерживать этот SSID. Значение SSID также может быть установлено равным 0 (т. е. поле SSID присутствует, но пусто). Это называется Wildcard SSID или Null Probe Request.

Вот кадр связи клиента с BSS. Выделены кадры запроса/ответа зонда.

Ниже показаны подробности кадра запроса зондирования, отправленного клиентом, который представляет собой тип управления со значением подтипа 4 . Как видите, клиент отправляет 6 Мбит/с (самая низкая скорость, поддерживаемая клиентом). Поля адреса установлены следующим образом:
Поле адреса-1 = Адрес приемника (= Адрес получателя) ff:ff:ff:ff:ff:ff
Поле адреса-2 = Адрес передатчика (=Адрес источника) 84 :38:38:58:63:D5
Поле адреса-3 = BSSID ff:ff:ff:ff:ff:ff

В поле SSID установлено значение «OPEN», что означает, что это направленный тестовый запрос. В нем перечислены все поддерживаемые скорости, возможности HT, расширенные возможности, возможности VHT и другие характерные для поставщика атрибуты клиента.

Вот полный список информационных полей, которые могут быть в зондирующем запросе (источник IEEE 802.11-2012). Обратите внимание, что элемент возможности VHT добавлен в этот список в поправке 802.11-2013 (802.11ac). Вот ответ зонда. Как вы можете видеть, он отправляет 24 Мбит / с (поскольку точка доступа не поддерживает скорости ниже этой), что является самой низкой общей скоростью, поддерживаемой как STA, так и точкой доступа. Поле DA устанавливается на STA mac, с которого был отправлен зондирующий запрос. Он имеет множество других полей для описания BSS и очень похож на поля кадра маяка. Но между Probe Response и Beacon есть 3 заметных различия

<р>1. Кадр маяка содержит TIM, а тестовый ответ не
2. Кадр маяка содержит информационный элемент QoS Capability
3. Ответ зондирования содержит элементы запрошенной информации, которые могли быть запрошены зондирующей станцией.

Вот полный список полей, которые могут быть в теле кадра кадра Probe Response. (источник IEEE 802.11-2012) Как только ответ Probe Response получен STA, он должен отправить кадр ACK на AP. Этот кадр отправляется на самой низкой общей скорости, которая в моем случае составляет 24 Мбит/с.

Ниже показан захват кадра одного и того же клиента, отправляющего нулевой пробный запрос и получающего пробные ответы от всех BSSID, работающих в этом канале. (В моем случае отвечает два BSSID)

В данном случае это деталь запроса Probe. Обратите внимание, что в поле SSID установлено значение 0, и данные отправляются с самой низкой скоростью, поддерживаемой клиентом, которая в данном случае составляет 6 Мбит/с.

Вот ответ зонда пришел от BSSID ( 88:38:61:99:1A:AF ), который рекламирует SSID с именем « OPEN ». Вот ответ зонда пришел от BSSID ( 88:38:61:99:1A :AE ), который рекламирует SSID с именем « MRN-EAP » Ссылки
1. Официальное учебное пособие CWAP – Глава 4
2. Стандарт IEEE 802.11-2012

Читайте также: