WLAN的抓包与分析.doc

WLAN的抓包与分析(初稿) WLAN网络中使用的是TCP/IP协议簇中的网络协议，因此，解决WLAN的抓包和数据包的分析问题实际上是一个了解TCP/IP协议簇中网络协议的过程。 1 抓包工具简介 常用的TCP/IP抓包工具有以下几种： (1)Ethereal 这是免费软件，可在其官网：/下载使用 (2)Wireshark Wireshark前称为Ethereal，此两者均可在其官网免费下载使用 官网：/ (3)Etherpeek 收费软件 几种抓包工具功能差别不大，根据个人使用习惯，选用wireshark进行抓包。 认识Wireshark 界面 下图为wireshark的界面 图1 wireshark界面 wireshark的使用 点击菜单中的Capture后，出现以下界面，该界面列出了所在终端的所有网络接口，用户决定要抓取流经哪个网络接口的数据后，点击红框中的Start即开始抓包，抓包前一般无需做任何设置，在默认设置下即可使用。 图2 选择网络接口的界面 网卡的混杂模式 上图中，还有”Options”按钮，用于供用户在抓包前进行更多的条件设置，点击该按钮后，进入如下界面。在此，用户可以选择抓取哪些协议的数据包，对网卡工作模式做设置等。 图3 “Option”界面 上图红框所圈范围，是对网卡工作模式的设置。通常，在抓包前需把网卡设为混杂模式，当网卡被设为混杂模式后，那些本该被硬件过滤掉的分组文便会进入到系统的内核，这样，wireshark就能抓住所有流经网卡的数据流，如不置为混杂模式，则只会抓到来自/去往本网卡的数据包。 抓包时连接方法 抓取不同节点的数据包，抓包方法略有不同。 抓包点在客户的无线终端 图3 抓包点在无线终端 此抓包点，只要在无线终端安装了wireshark，便可抓取本终端无线网卡的数据包，无需做其余额外设置。 抓包点在AP与AC之间 图4 抓包点在AP与AC之间 抓取AP与AC之间数据包时，抓包终端插入AP汇聚交换机中与待抓AP处于同一VLAN的端口，并在交换机上做端口镜像配置，把交换机上AP连接的端口镜像至连接着无线终端的端口。 抓包点在AC与上层网络之间 图5 抓包点在AC与上层网络之间 抓包原理与抓包点在AP与AC之间时相同：把抓包终端插入IP城域网汇聚交换机中与待抓AC处于同一VLAN的端口，并对交换机做端口镜像配置，把交换机上与待抓AC连接的端口镜像至连接着无线终端的端口。 WLAN涉及到的协议 在WLAN中，各网元交互时涉及到的TCP/IP协议有： 802.11x，DHCP，ARP，RADIUS等等。 对于现在的WLAN网络，用户的无线终端和AP获取IP地址是通过DHCP协议，因此下面简述DHCP协议的工作原理。 DHCP协议简述 3.1.1 DHCP工作原理 下图为DHCP工作原理图： 图6 DHCP工作原理图 DHCP协议为应用层协议，其使用UDP端口，工作过程如下： 当客户端第一次进入网络的时候， (1)DHCP discover：客户端寻找 Server (2)DHCP offer：服务端提供 IP 租用地址 (3)DHCP request：客户端接受 IP 租约 (4)DHCP ACK：服务端回应租约确认 当客户端下次进入网络的时候，该过程将有所缩短，从DHCP Request开始： (1)DHCP Request:客户端发送包含自己以前使用的IP地址 (2)DHCP ACK：如经服务器检查配置参数后无问题，则返回该包，否则返回DHCP NACK。此后流程重新从DHCP discover开始。 3.1.2 DHCP数据包格式 图7 DHCP数据包格式 以下为对数据包中各字段的解释： OP－若是 client 送给 server 的封包，设为 1 ，反向为 2 。 HTYPE－硬件类别，Ethernet 为 1 。 HLEN－硬件地址长度， Ethernet 为 6 。 HOPS－若封包需经过 router 传送，每站加 1 ，若在同一网内，为 0 。 TRANSACTION ID－DHCP REQUEST 时产生的数值，以作 DHCPREPLY 时的依据。 SECONDS－Client 端启动时间(秒)。 FLAGS－从 0 到 15 共 16 bits ，最左一 bit 为 1 时表示 server 将以广播方式传送封包给 client ，其余尚未使用。 Ciaddr－要是 client 端想继续使用之前取得之 IP 地址，则列于这里。 yiaddr－从 server 送回 client 之 DHCP OFFER 与 DHCPACK 封包中，此栏填写分配给