利用Cisco AP做嗅探器抓取空气报文

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了利用Cisco AP做嗅探器抓取空气报文相关的知识,希望对你有一定的参考价值。

            最近公司的无线网出现问题,客户端会不定时且无规律的无法访问网络,甚至无法到达网关。但出现问题的时候无论是在WLC上还是在AP的CLI中,所见一切皆正常。寻找售后经过一番show log和debug之后没有发现什么有用的信息。于是,二次信息收集,我们准备收集空气中的报文,查看通信的原始包究竟发生了什么。

            通过思科提供的文档对比,发现使用AP的sniffer模式结合wireshark,实验起来比较方便。

            简单罗列一个步骤:
            1.准备一个AP,最好非生产环境的(可选清空配置)。
            2.更改AP mode为sniffer。
            3.配置AP的sniffer。
            4.使用安装有Wireshark的PC进行抓包。
            5.Wireshark中修改decode。

            详细过程请往下看:
  1. 首先准备一个AP,最好是有非生产环境的AP,因为AP开启sniffer模式后就无法再正常为客户端提供网络,说白了开了sniffer就只能做嗅探,甭指望他还能同时做AP。
    这里我使用的是一个AIR2802的型号。
    技术图片
    因为AP之前有配置,为避免旧配置对嗅探有影响,我先恢复AP出厂设置。
    看图片的左上角,有一个标着MODE的按钮,在给AP接上上联口的同时,立即按下MODE健,长按20s以上即可。
    技术图片
    为了看得更清楚,我接上了AP的console,看看此时CLI里的回显是什么。
    技术图片
    明确提示按下超过20s即可恢复出厂设置。
    (在按键达到20s的过程中,2802的指示灯停留在红色常亮的状态,等待松开按钮后,才会有变化)
    技术图片
    之后就是等待AP注册。
    约3-5分钟,在WLC上就可以看见新上来的AP了。
    技术图片
    插播一条错误演示,MODE键不要按下超过60s,就没有意义了)
    技术图片
    2.开启AP的sniffer。在无线控制器的Wireless中找到这个AP,点击进到AP的General配置菜单中,修改一下名称,以便于之后寻找。AP Mode默认是Local,修改为Sniffer,记得点应用
    技术图片
    出现提示1,开启ap的sniffer会自动关闭cleanair。点击确定
    技术图片
    出现提示2,AP会重启。点击确定
    技术图片
    此时CLI中可以看到AP修改为sniffer模式。
    技术图片
    约3-5分钟,AP再次注册上来。

3.配置sniffer。需要嗅探哪个频段和信道的包,就进入对应的radios菜单,这里抓5GHz频段的包。进入802.11a/n/ac中,找到修改名称后的AP,sniffer。通过右边的蓝色小箭头,进入config中。
技术图片
Sniffer channel Assignment中勾选sniff
技术图片
选择需要嗅探的信道,这里我收集channel 56的数据包。
Server IP Address填写要把嗅探的数据包发送给谁。Sniffer AP会以WLC的地址为源,向你填写的这个地址发送数据包。所以要保证抓包的设备和WLC的网段是可以正常通信的。这里我写的是我的笔记本的IP地址—172.16.2.15。
技术图片

4.PC上开启wireshark,过滤udp 端口5555的包。因为嗅探到的包会很多,我们只需要过滤出udp 5555的就可以。当然你如果搞点其他的事情,就因需而异了。
选择我的无线网卡,开始抓包。
技术图片
可以看到一堆源是WLC管理地址,目的是我PC无线网卡地址的包。
技术图片
收集完成后,需要将数据包decode成PEEKREMOTE的模式才能变成802.11的报文。
具体操作为在任意一个数据包上右键,点击Decode AS
技术图片
在弹出的对话框左下角点击+号,wireshark会自动匹配一条当前的报文decode,在最后的“当前”一列,选定为PEEKREMOTE,点击OK
技术图片
再看捕获到的报文,已经变成的802.11协议。
技术图片
接下来,随便看了看,我也没看懂什么,还是把原始的报文发给原厂来做分析吧。
思科的官网文档中提供了多种嗅探的方式。链接搁在这,有兴趣的同学可以试试。
Fundamentals of 802.11 Wireless Sniffing

以上是关于利用Cisco AP做嗅探器抓取空气报文的主要内容,如果未能解决你的问题,请参考以下文章

20179301 《网络攻防技术》第四周总结

2017-2018网络攻防第四周作业

如何发现和防止Sniffer嗅探

tcpdump使用简介

Python黑帽编程 4.1 Sniffer(嗅探器)之数据捕获(上)

2017-2018-2 20179207 《网络攻防技术》第四周作业