三、实例分析
仅列举几个特例,其他的报文大同小异。一个正常的报文一般是有请求,则会有回应。
1、 正常无线的共享密钥认证的交互过程:如下图:共享密钥认证是除开放系统认证以外的另外一种链路认证机制。共享密钥认证需要站点和设备端配置相同的共享密钥。
共享密钥认证的认证过程为:
站点先向设备发送认证请求,无线设备端会随机产生一个Challenge包(即一个字符串)发送给站点;
站点会将接收到Challenge 加密后再发送给无线设备端;
无线设备端接收到该消息后,对该消息进行解密,然后对解密后的字符串与原始字符串进行比较。
如果相同,则说明站点通过了Shared Key 链路认证;否则Shared Key 链路认证失败。
A、 描扫(主动或被动)。
B、 站点向AP发起帧探测请求。
C、 AP发出探测响应。
D、站点向AP发起认证请求。auth?
E、 AP无线设备端会随机产生一个Challenge包(即一个字符串)发送给站点。
F、 站点会将接收到Challenge 加密后再发送给无线设备端。
G、无线设备端接收到该消息后,对该消息进行解密,然后对解密后的字符串和原始字符串进行比较。如果相同,则说明站点通过了Shared Key 链路认证;否则Shared Key 链路认证失败。
H、 站点向AP发起关联请求。assoc?
I、 AP向站点的响应关联请求。
在报文中可以看到如下信息:在Probe Response中可以看到WEP?为加密模式。
在Authentication报文中可以看到如下信息:认证方式为shared key
详细的分析请见另一篇文档。
2、如下图,站点出现问题无法关联assoc时,报文中可能会给出部分提示,如malformed packet。
站点向AP发起认证请求,AP再向站点发起认证响应并加密,站点再发起异常报文,最后中断连接。就这样不停的认证直到站点终止连接才会终断向AP发出的请求。
这种情形站点与AP之间则无法连接。
3、AP软件存在的问题:下图是AP出现异常无法与网卡进行连接。如下图所示,站点发起一个探测请求的广播包,AP发起响应,站点再次向已知的AP发起探测请求,AP未发起响应。则说明AP存在问题。如果AP一直未发出响应请求,因此,站点与AP无法连接成功。
Probe Request(broadcast)与Probe Response报文。
Probe Request报文,但AP没有Probe Response响应报文。
4、站点不加密,AP为WPA时的出错信息
(1)、发起探测帧(包含请求探测帧和响应探测帧);
(2)、发起认证帧(包含认证请求和响应请求帧);
(3)、发起关联帧(包含关联请求和关联响应);
(4)、Deauthentication帧。
在交互过程中,Association中Privacy值为1(1表示加密,0表示不加密),后面消息中出现Deauthentication则表示无法连接加密方式或密码不一至。
出现Deauthentication的报文,如下图:
5、站点与AP同时设置为WPA加密模式。
(1)、发起探测帧(包含请求探测帧和响应探测帧);
(2)、发起认证帧(包含认证请求和响应请求帧);
(3)、发起关联帧(包含关联请求和关联响应);
(4)、EAPOL帧(里面含有EAPOL的加密解密的交互过程):
如果发现报文中只有前半部分或异常,则站点与AP无法连接。