欢迎来到天天文库
浏览记录
ID:14900573
大小:4.73 MB
页数:20页
时间:2018-07-30
《wireshark数据包分析实战第11章》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、11第章无线网络数据包分析与传统有线网络相比,无线网络稍微有些不同。虽然我们仍然在处理TCP、IP等常见的通信协议,但是当移到OSI模型最底层时,游戏便发生了一点变化。在这里,由于无线网络和物理层的本质属性,数据链路层变得尤为重要。这给我们捕获和访问数据增加了新的限制。考虑到这些额外因素,你应该不会惊讶于这一整章都将讨论无线网络中的数据包捕获和分析。本章我们将讨论为什么无线网络在数据包分析中比较特殊,以及如何克服这些困难。当然,我们会通过捕获无线网络的实际例子来进行说明。11.1物理因素第11章无线网络数据包分析 255在无线网络中捕获和分析传输数据,首先考虑的是物理传输介质。到目前为止,我
2、们都没有考虑物理层,因为我们一直在物理的线缆上通信。现在我们通过不可见的无线电波通信,数据包就从我们身边飞过。11.1.1一次嗅探一个信道当从无线局域网(WirelessLocalAreaNetwork,WLAN)捕获流量时,最特殊的莫过于无线频谱是共享介质。不像有线网络的每个客户端都有它自己的网线连接到交换机,无线通信的介质是客户端共享的空间。单个WLAN只占用802.11频谱的一部分。这允许同一个物理空间的多个系统在频谱不同的部分进行操作。注意无线网络的基础是美国电子和电气工程师协会(InstituteofElectricalandElectronicsEngineers,IEEE)开发
3、的802.11标准。整章涉及的“无线网络”“WLAN”等术语均指802.11标准中的网络。空间上的分离是通过将频谱划分为不同信道实现的。一个信道只是802.11无线频谱的一部分。在美国,有11个信道可用(有些国家允许使用更多的信道)。这是很重要的,因为WLAN同时只能操作一个信道,就意味着我们只能同时嗅探一个信道,如图11-1所示。所以,如果你要处理信道6的WLAN,就必须将系统配置成捕获信道6的流量。图11-1嗅探无线网络很麻烦,因为同一时间只能处理一个信道注意传统的无线嗅探只能同时处理一个信道,但有一个例外:某些无线扫描应用程序使用“跳频”技术,可以迅速改变监听信道以收集更多数据。其中最
4、流行的工具是Kismet(http://www.kismetwireless.net/),可以每秒跳跃10个信道,从而高效地嗅探多个信道。第11章无线网络数据包分析 25511.1.2无线信号干扰当有其他因素干扰信号时,无线通信不能保证空气中传输的数据是完整的。无线网络有一定的抗干扰特性,但并不完全可靠。因此,当从无线网络捕获数据包时,你必须注意周边环境,确保没有大的干扰源,比如大型反射面、大块坚硬物体、微波炉、2.4Ghz无绳电话、厚墙面,以及高密度表面等。这些可能导致数据包丢失、数据包重复或数据包损坏。同时你还要考虑信道间干扰。虽然同一时刻只能嗅探一个信道,但还是有个小小的忠告:无线频谱
5、被分为多个不同的传输信道,但因为频谱空间有限,信道间有些许重叠,如图11-2所示。这意味着,如果信道4和信道5上都有流量,当你在其中一个信道上嗅探时,会捕获到另一个信道上的数据包。通常,同一地域上的多个网络被设置成使用1、6和11这3个不重叠信道,所以你可能不会遇到这个问题,但以防万一,你还是要了解这是怎么回事。图11-2由于频谱空间有限,信道之间有重叠11.1.3检测和分析信号干扰无线信号干扰的问题不是在Wireshark上观察数据包就能解决的。如果你致力于维护WLAN,就应该定期检测信号干扰。这可以用频谱分析仪来完成,它可以显示频谱上的数据或干扰。商业的频谱分析仪价格昂贵甚至高达数千美元
6、,但对于日常使用则有更好的方案。MetaGeek开发了一个叫Wi-Spy的产品,这是一个USB硬件设备,用于监测整个802.11频谱上的干扰。与MetaGeek的Chanalyzer软件搭配后,这个硬件可以输出图形化频谱,有助于解决无线网络的问题。Chanalyzer的示例输出如图11-3所示。第11章无线网络数据包分析 255图11-3这个Chanalyzer显示同一地点有多个WLAN在工作11.2无线网卡模式在开始嗅探无线数据包之前,我们需要了解无线网卡的不同工作模式。无线网卡一共有4种工作模式。被管理模式(Managedmode):当你的无线客户端直接与无线接入点(WirelessAc
7、cessPoint,WAP)连接时,就使用这个模式。在这个模式中,无线网卡的驱动程序依赖WAP管理整个通信过程。Adhoc模式:当你的网络由互相直连的设备组成时,就使用这个模式。在这个模式中,无线通信双方共同承担WAP的职责。主模式(Mastermode):一些高端无线网卡还支持主模式。这个模式允许无线网卡使用特制的驱动程序和软件工作,作为其他设备的WAP。监听模式(Monitormode):就我们的用途而言
此文档下载收益归作者所有