WiFi取证分析背景学习:
-
对于大型数据包捕获,tcpdump和tshark相比较于Wireshark来说更加有效与更具有可扩展性。
-
802.11是一组不断发展的无线局域网(wlan)规范,由IEEE电气和电子工程师协会的一个工作组开发和维护。802.11是第一个被广泛采用的无线网络标准。
-
802.11是原始的无线规范。802.11标准的扩展被赋予了带有字母后缀的相同数字。802.11在2.4GHz频段提供最高2Mbps的传输
-
802.11 frames结构主要由三个部分组成:header(报头)、body(帧体)和trailer(帧尾)。
-
Header:
帧报头包含有关帧的去向、数据速率、用于加密数据帧的密码套件等信息。Header四个地址字段分别代表着:source(源)、destination(目的)、transmitter(发送)、receiver(接收)。 -
Body:
802.11帧的主体包含第3-7层的信息,这些信息被封装,并且希望也能被保护(加密)。帧的主体的大小会随着传动方式的不同而改变。比如说,语音流量帧则会小于文件下载,这将增加基于端到端连接的速度/可靠性的TCP窗口 -
Trailer:
帧尾包含Frame Check Sequence(帧检查序列)。这是一个32位Cyclic Redundancy Check(循环冗余校验),用于验证整个帧的内容在通过无线媒体传输时没有被篡改或损坏。 -
帧头和帧体的所有值都将经过计算。如果接收端对该帧进行相同的计算,但结果不相同,则该帧被损坏。
-
通常,接收到错误CRC的工作站将丢弃帧,而不是将其转发到操作系统,因此你将无法在协议分析程序(如Wireshark)中看到“错误”帧
-
帧分为三类:0-management,1-control,2-data
管理帧是信标、控制帧是请求发送(RTS)、数据帧是QoS数据帧\ -
Bit是如何传输的?
为了使任何信息在网络上传输(或存储在计算机内存当中,或存储在磁盘上),它必须被编码为一个bit序列(a sequence of bits)。每个位可以有两个值之一,通常写成0和1.