《Kali渗透基础》12. 无线渗透（二）

@

目录

• 1：无线协议栈
  • 1.1：ifconfig
  • 1.2：iwconfig
  • 1.3：iw
  • 1.4：iwlist
• 2：无线网卡配置
  • 2.1：查看无线网卡
  • 2.2：查看信道频率
  • 2.3：扫描附近 AP
  • 2.4：侦听接口添加与删除
• 3：RADIOTAP 头部
• 4：MPDU
  • 4.1：基本知识
  • 4.2：MPDU 介绍
  • 4.3：Header
    • 4.3.1：Frame Control
      • 4.3.1.1：Type / SubType
      • 4.3.1.2：To DS / From DS
    • 4.3.2：Duration / ID
    • 4.3.3：Address
    • 4.3.4：Sequence Control
  • 4.4：Data（Frame Body）
  • 4.5：FCS
• 5：Control Frame
  • 5.1：ACK 帧
  • 5.2：PS-POLL 帧
  • 5.3：RTS / CTS 机制
    • 5.3.1：RTS 帧
    • 5.3.2：CTS 帧
• 6：Management Frame
  • 6.1：Beacon 帧
  • 6.2：Probe Requset 帧
  • 6.3：Probe Response 帧
  • 6.4：Authentication 帧
  • 6.5：Association / Reassociation
    • 6.5.1：Association Request 帧
    • 6.5.2：Reassociation Request 帧
    • 6.5.3：Response 帧
  • 6.6：Disassociation 帧 / Deauthentication 帧
  • 6.7：ATIM 帧
• 7：Data Frame
  • 7.1：Data 帧
  • 7.2：Null Data 帧

---

本系列侧重方法论，各工具只是实现目标的载体。

命令与工具只做简单介绍，其使用另见《安全工具录》。

本文以 kali-linux-2023.2-vmware-amd64 为例。

无线网卡使用 MT7612u 芯片。

无线渗透与其他章节独立，涵盖面广。

无线技术变化快，难度大。

理论是本章最有价值的部分。

1：无线协议栈

1.1：ifconfig

只能查看无线网卡的以太网相关配置信息。

查看所有网卡：

ifconfig -a

运行指定网卡或接口：

ifconfig <网卡接口> up

禁用指定网卡或接口：

ifconfig <网卡接口> down

查看启用的网卡：

ifconfig

1.2：iwconfig

查看无线网卡：

iwconfig

能查看无线扩展参数

1.3：iw

查看无线网卡：

iw list

能详细查看无线网卡的配置与对协议和技术的支持情况。

设置网卡或接口工作信道：

iw dev <网卡接口> set channel <信道>

扫描附近 AP：

iw dev <网卡> scan

添加侦听接口：

iw dev <网卡> interface add <网卡>mon type monitor

删除侦听接口：

iw dev <网卡接口> interface del

1.4：iwlist

查看频段带宽：

iwlist <网卡> frequency

查看信道：

iwlist <网卡> channel

扫描附近 AP：

iwlist <网卡> scanning

2：无线网卡配置

2.1：查看无线网卡

方式一：

ifconfig

方式二：

iwconfig

方式三：

iw list

2.2：查看信道频率

方式一：

iwlist <网卡> frequency

方式二：

iw list

2.3：扫描附近 AP

仅查看 SSID：

iw dev <网卡> scan | grep SSID

查看 SSID 与信道：

iw dev <网卡> scan | egrep "DS\ Parameter\ set|SSID"

查看 SSID 与信道：

iwlist <网卡> scanning | egrep "ESSID|Channel"

2.4：侦听接口添加与删除

添加侦听接口：

iw dev <网卡> interface add <网卡>mon type monitor

运行指定网卡或接口：

ifconfig <网卡接口> up

删除侦听接口：

iw dev <网卡接口> interface del

3：RADIOTAP 头部

RADIOTAP（RadioTap）头是用于无线数据包捕获的通用封装格式，是一种数据链路层协议。

• 802.11 依赖 RadioTap 完成通信过程，是 802.11 帧发射和接收的事实标准。
• Linux 系统在驱动和 API 中内建支持 RadioTap。
• 802.11 帧发射之前，网卡驱动在 802.11 头前面添加 RadioTap 头；当网卡接收到无线帧时，驱动通知 MAC 层，此帧头包含 RadioTap 头。
• RadioTap 为 802.11 帧传递额外信息，厂家可自定义，因此头长度不固定。
• 不破坏原始头结构，增加传递的信息。

RADIOTAP 头分为 Header 和 Data。Header 是 RADIOTAP 头的实际部分，Data是数据包的有效载荷部分。

Header 由以下字段组成：

• Version（1 byte）：RADIOTAP 头的版本号。常为 0。
• Pad（1 byte）：未使用，只作为字段占位。
• Length（1 byte）：整个 RADIOTAP 头长度（以字节为单位），可变，作用是确定 802.11 头的开始位置。
• Present Flags（4 bytes）：是一个 32 位的字段，每一位代表一个特定的信息字段。如果某一位为1，则表示该信息字段在当前的 RADIOTAP 头中存在。
• Fields：实际的信息字段，包含各种无线信息。如：
  • Timestamp：数据包捕获的时间戳。
  • Flags：数据帧的一些标志信息，比如是否加密、是否包含FCS（帧校验序列）等。
  • Rate：数据传输速率。
  • Channel：频道号和频谱宽度。

RADIOTAP 头部的长度可变，具体长度取决于 Present Flags 字段中所包含的信息字段数量。

对于不能理解的头部，网卡将直接忽略。

Data 部分是无线数据包的实际有效载荷。具体的内容取决于数据包所传输的应用层协议和数据类型。

• 对于 Wi-Fi 数据包，可能是一个 802.11 数据帧。
• 对于蓝牙数据包，可能是一个蓝牙数据帧。

4：MPDU

4.1：基本知识

在信息传输过程中，数据单元（DU）是最小的数据集合，用于承载信息。

传递过程中，数据会逐层封装（Encapsulation）。

主要涉及的封装单位有服务数据单元（SDU）和协议数据单元（PDU）。

• DU（Data Unit），数据单元
  
  是信息传输的最小数据集合。
• Encapsulation，逐层封装
  
  数据在传递过程中会按照一定规则逐层封装，以便在不同网络层之间传输。
• SDU（Service Data Unit），服务数据单元
  
  是上层向下层传递的数据单元，经过上层协议处理后，成为下层的 PDU。
• PDU（Protocol Data Unit），协议数据单元
  
  是网络协议中传递的数据单元，在不同网络层有不同的名称。

无线数据封装过程大致如下：

MSDU（应用层数据）-> 添加 MIC（完整性校验）-> 分帧（将数据分成更小的数据帧）-> 添加 IV（初始化向量，用于加密过程）-> 加密（对数据进行加密）-> 添加 MAC 头部（数据链路层的控制信息）-> MPDU（链路层数据单元）。

继续往下，MPDU 与物理头部结合，形成 PPDU（物理层数据单元），然后进行RF（射频）发射，最终在物理信道上传输。

4.2：MPDU 介绍

MPDU（Mac Protocol Data Unit）是 802.11 标准中的一个重要概念，代表着物理层（PHY）和介质访问控制层（MAC）之间的数据传输单元。

其结构如下：

可分为：

• Header（MAC 头部）
• Data（数据部分）
• FCS（校验部分）

4.3：Header

MAC 头是 802.11 标准中数据帧的组成部分，用于在数据链路层传递控制信息。

802.11 MAC 头的主要结构和字段：

• Frame Control（帧控制）
  
  占 2 个字节。包含一些控制信息。

• Duration / ID（时长 / 标识符）
  
  占用 2 个字节，用于在多个节点之间传递帧的传输时长或标识符信息。

• Addressing Fields（地址字段）
  
  包含四个地址字段，每个字段占用 6 个字节。用于指示帧的发送者和接收者。

• Sequence Control（序列控制）
  
  占用2个字节，用于指示数据帧的序列号。

4.3.1：Frame Control

Frame Control（帧控制），占 2 个字节。包含一些控制信息，如帧的类型、子类型、数据帧是否包含帧体（Payload）、帧是否加密等。

• Protocol Version（2 bit）
  
  代表 802.11 协议版本。

• Type（2 bit）
  
  3 种帧类型，规定帧的具体用途。

  • 管理帧（0）
  • 控制帧（1）
  • 数据帧（2）

• SubType（4 bit）
  
  类型对应的子类型，不同类型 / 子类型的帧完成不同功能。

• To DS（1 bit）/ From DS（1 bit）
  
  标识帧的传输方向。这两个字段决定着 MAC 头中 4 个 Address 字段的不同定义。

• More frag（1 bit）
  
  表示是否还有后续帧。值为 1 时表示有后续分段。只有单播接收地址的帧会被分段。

• Retry（1 bit）
  
  值为 1 表示重传。接收端进程使用此值防止帧重复。

• Power Mgmt（1 bit）
  
  活动模式（0）；省电模式（1）。STA 处于省电模式时，向关联的 AP 发送该值为 1 的帧（AP 从不使用此字段）。省电模式下 STA 不接收数据，发送给它的 Data 帧由 AP 暂时缓存。

• More Data（1 bit）
  
  当 AP 缓存了至少一个 MSDU 时，会向省电模式的 STA 发送该值为 1 的帧，表示有数据要传输给 STA。接收到此帧的 STA 唤醒自己并向 AP 发送 PS-Poll 帧，取回由 AP 为其缓存的数据。也被用于 AP 有更多的广播 / 多播帧需要发送的情况。

• Protected Frame（1 bit）
  
  可能是 Data 或 Management 帧类型，表示 MSDU 是否被加密；也被用于表示 PSK 身份验证。数据载荷为空时，该字段值为0。

• Order（1 bit）
  
  在非 QoS 帧的情况下，值为 1 表示数据必须严格按顺序处理，通常为0。

4.3.1.1：Type / SubType

对于 Type 与 SubType 字段，类型 / 子类型如下所示：

管理帧（0b00）子类型：

控制帧（0b01）子类型：

数据帧（0b10）子类型：

4.3.1.2：To DS / From DS

标识帧的传输方向。这两个字段决定着 MAC 头中 4 个 Address 字段的不同定义。

DA：Destination Address（目标地址）

RA：Recipient Address（接收地址）

SA：Source Address（源地址）

TA：Transmitter Address（发送地址）

• 0b00：出现在 IBSS 环境中（可能是 Management 帧或者是 Control 帧类型）；或者是 STSL（Station to Station Link）中两个 STA 间通信，这种情况下通信不通过 AP。
• 0b01：表示 Data 帧从 AP 向 STA 传递。
• 0b02：表示 Data 帧从 STA 向 AP 传递。
• 0b03：表示两个 AP 间通信。这是典型的 WDS（Wireless Distribution System）环境下 AP 间的通信，或者表示 Mesh 环境下 MP 间的通信。只有此时才会使用到 Address4 字段。

4.3.2：Duration / ID

所有 Control 帧都使用该字段，其作用随 Type / SubType 变化而有所不同。

例如，帧类型为 PS Poll（type：1，subtype：10）时，该字段表示 STA 关联的 AID（association identity）。

其他情况下该字段作为一种载波侦听机制，表示接收下一帧之前需要保持的时间间隔，用于 NAV（Network Allocation Vector）计算，单位微秒。

4.3.3：Address

前面已经提到了 4 种，这里补充最后一种：Basic Service Set ID（BSSID）。它是 BSS 的 2 层唯一标识，Infrastructure 模式中 BSSID 就是 AP 的 MAC 地址，当 AP 支持多 BSS 时，随机生成每个 BSSID。

4.3.4：Sequence Control

Sequence Control 包含两个子字段：Sequence Number 和 Fragment Number。

• Sequence Number
  
  是每个帧的编号，数值范围是 0 ~ 4095，以 1 为步长递增。当帧被分段时，同一帧中不同分段的 Sequence Number 相同。

• Fragment Number
  
  是被分段的帧用于标识分段位置顺序的编号，数值范围是 0 ~ 15，以 1 为步长递增。

4.4：Data（Frame Body）

数据字段，Frame Body，未加密的最大 MSDU 长度为 2304 字节（其中包含最大 256 字节的上层头信息，和可被传递的数据 2048 字节）。不同的加密方法会增加一定的内容长度。

加密方法	增加的长度	最大长度
WEP	8 bytes	2312 bytes
TKIP（WPA1）	20 bytes	2324 bytes
CCMP（WPA2）	16 bytes	2320 bytes

注：Control 类型的帧没有 Frame Body 内容。

4.5：FCS

发送端对全部 MAC 包头和 Frame Body 内容进行 CRC 计算，计算结果即为 FCS（Frame Check Sequence）值。

接收端进行相应计算，结果一致时，则接收端向发送端返回 ACK，否则丢弃帧（只对单播帧有效，对于 FCS 错误的广播 / 多播帧，则可能被接收）。

注：wireshark 抓包时已经删除了 FCS 值。

5：Control Frame

控制帧（Control Frame）是一些通知设备开始传输、停止传输或连接失败等情况的短消息。

5.1：ACK 帧

ACK（Acknowledgment）帧，用于确认成功接收数据帧。接收端正确接收数据之后向发送端返回 ACK 确认。

• 每个单播帧需要 ACK 立刻确认。
• 组播和广播帧不需要 ACK 确认
• 为了尽快响应，由硬件实现。

5.2：PS-POLL 帧

PS-POLL（Power Save Poll）帧用于实现低功耗模式下的数据传输。

RF 系统放大器（主要耗电组件）

发射前放大信号，接收并放大还原信号

省电模式关闭信号发射器，节省电源耗电（几乎完全关闭）

STA 省电模式唤醒：

• 数据发送至 AP（AP 缓存数据包）
• AP 通过 Beacon 发送 TIM（traffic indication map），其中包含 AID。
• STA 对比 AID 后唤醒网卡。
• STA 发送 PS-Poll 帧，请求从 AP 缓存中取回数据。每个帧都需要 ACK 确认。
• 传输完毕后 AP 从缓存中删除数据帧。
• 传输过程中 STA 保持唤醒状态。
• 传输结束后 STA 恢复省电状态。

AID（Association ID）是是在设备（STA）与接入点（AP）建立关联时分配的一个唯一标识符。

BSSID（Basic Service Set Identifier）用于唯一标识一个无线网络中的基本服务集（BSS）的 MAC 地址。

AP 接收 PS-Poll 帧时，分为立刻响应和延迟响应。如果是延迟响应，则会发送简单响应帧。

5.3：RTS / CTS 机制

RTS / CTS 机制可以在一定程度上解决网络中的隐藏节点问题和冲突问题，减少数据帧碰撞，提高无线网络的吞吐量。

隐藏节点（Hidden Node）是指在一个无线网络中，某些无线设备之间无法直接感知对方的存在。

隐藏节点问题主要发生在基础服务集（BSS）中。

RTS / CTS 是 CSMA / CA 方法的一种补充手段。

• 降低冲突产生的可能性。
• 正式通信之前通过请求应答机制，确信通信介质的可用性。
• 锁定传输介质和预约通信时间。
• 只有在传输长帧时使用，传输短帧时不会使用。

有线网络访问方式：CSMA / CD

无线网络访问方式：CSMA / CA

如上图，

• Node1 发送 RTS 包给 Node2。
• 如果未发生冲突，Node2 返回 CTS 给 Node1。
• Node1 传输数据。
• 数据正常接收，Node2 返回 ACK，否则 Node1 什么也不会收到。

CTS（Clear to Send）帧和 RTS（Request to Send）帧是两种控制帧，用于进行基本的媒体访问控制，帮助解决无线网络中的隐藏节点问题和冲突问题。

5.3.1：RTS 帧

RTS（Request to Send）帧是由发送方发送给接收方的请求帧，用于在发送数据前请求媒体的访问权。

5.3.2：CTS 帧

CTS（Clear to Send）帧是接收方发送给发送方的确认帧，用于回应收到的 RTS 帧。接收方在收到 RTS 帧后，会发送一个 CTS 帧作为回应，表示它准备好接收数据。

6：Management Frame

管理帧（Management Frame）用于协商和控制 STA 与 AP 之间的关系。

6.1：Beacon 帧

Beacon 帧，AP 发送的广播帧，用于通告无线网络的存在（BSSID）。

• 发包频率可变
• 隐藏 AP 不发 SSID 广播

Beacon 帧包含的部分信息：

• IBSSI Status
  
  0：Infrastructure
  
  1：AD-HOC

• Privicy（是否启用隐私保护功能，如加密）

• ESSID

• 速率

• 信道

6.2：Probe Requset 帧

Probe Request Frames（探测请求帧）用于 STA 在无线网络中寻找附近的 AP。

可以发现连接过的 AP 与未连接过的 AP。

6.3：Probe Response 帧

Probe Response Frames（探测响应帧）是 AP 对 Probe Request Frames 的回应。

速率和 SSID 相同的 AP 响应。

6.4：Authentication 帧

Authentication Frames（身份验证帧）是用于在 STA 和 AP 之间建立身份验证过程的管理帧。

身份认证由多个帧交换过程组成。

• Authentication Algorithm（身份认证类型）
  
  0：开放系统身份验证
  
  1：共享密钥身份验证

• Authentication Seq
  
  每次身份验证过程的 Seq 唯一。（1 ~ 65535）

• Challenge text
  
  只有共享密钥方式才有此字段

• Status Code
  
  成功 / 失败

6.5：Association / Reassociation

身份验证成功后，STA 执行关联操作，加入无线网络。

• Association Request（关联请求）
• Reassociation Request（重新关联请求）
• Association Response（关联响应）
• Reassociation Response（重新关联响应）

6.5.1：Association Request 帧

Association Request Frames（关联请求帧），STA 发送，请求关联。

6.5.2：Reassociation Request 帧

Reassociation Request Frame（重新关联请求帧）用于在 STA 已经与一个 AP 关联的情况下，希望与另一个 AP 建立关联的情况。

6.5.3：Response 帧

AP 对 STA 的（重新）关联请求的响应。

• 状态码：关联成功 / 失败

6.6：Disassociation 帧 / Deauthentication 帧

Disassociation Frame（分离帧）用于终止 STA 与 AP 之间的连接。可由 STA 和 AP 发送。

Deauthentication Frame（去认证帧）用于终止 STA 与 AP 之间的认证。由 AP 发送。

部分 Reason Code 描述：

6.7：ATIM 帧

ATIM（Announcement Traffic Indication Map）帧只在 AD-HOC 网络下使用。作为 AP 的 STA 使用此帧通知接收者有缓存的数据要发送。

7：Data Frame

数据帧（Data Frames）用于在设备之间传输数据。

7.1：Data 帧

Data Frame（数据帧）用于传输用户数据。

7.2：Null Data 帧

Null Data Frame（空数据帧）用于 STA 声明自己将要进入省电模式。

• 只包含 MAC 头和 FCS。

---

泪流琼脸，梨花一枝春带雨。

——《倾杯》（宋）柳永