利用Cisco AP做嗅探器抓取空气报文
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了利用Cisco AP做嗅探器抓取空气报文相关的知识,希望对你有一定的参考价值。
最近公司的无线网出现问题,客户端会不定时且无规律的无法访问网络,甚至无法到达网关。但出现问题的时候无论是在WLC上还是在AP的CLI中,所见一切皆正常。寻找售后经过一番show log和debug之后没有发现什么有用的信息。于是,二次信息收集,我们准备收集空气中的报文,查看通信的原始包究竟发生了什么。
通过思科提供的文档对比,发现使用AP的sniffer模式结合wireshark,实验起来比较方便。
简单罗列一个步骤:
1.准备一个AP,最好非生产环境的(可选清空配置)。
2.更改AP mode为sniffer。
3.配置AP的sniffer。
4.使用安装有Wireshark的PC进行抓包。
5.Wireshark中修改decode。
详细过程请往下看:
- 首先准备一个AP,最好是有非生产环境的AP,因为AP开启sniffer模式后就无法再正常为客户端提供网络,说白了开了sniffer就只能做嗅探,甭指望他还能同时做AP。
这里我使用的是一个AIR2802的型号。
因为AP之前有配置,为避免旧配置对嗅探有影响,我先恢复AP出厂设置。
看图片的左上角,有一个标着MODE的按钮,在给AP接上上联口的同时,立即按下MODE健,长按20s以上即可。
为了看得更清楚,我接上了AP的console,看看此时CLI里的回显是什么。
明确提示按下超过20s即可恢复出厂设置。
(在按键达到20s的过程中,2802的指示灯停留在红色常亮的状态,等待松开按钮后,才会有变化)
之后就是等待AP注册。
约3-5分钟,在WLC上就可以看见新上来的AP了。
(插播一条错误演示,MODE键不要按下超过60s,就没有意义了)
2.开启AP的sniffer。在无线控制器的Wireless中找到这个AP,点击进到AP的General配置菜单中,修改一下名称,以便于之后寻找。AP Mode默认是Local,修改为Sniffer,记得点应用。
出现提示1,开启ap的sniffer会自动关闭cleanair。点击确定。
出现提示2,AP会重启。点击确定。
此时CLI中可以看到AP修改为sniffer模式。
约3-5分钟,AP再次注册上来。
3.配置sniffer。需要嗅探哪个频段和信道的包,就进入对应的radios菜单,这里抓5GHz频段的包。进入802.11a/n/ac中,找到修改名称后的AP,sniffer。通过右边的蓝色小箭头,进入config中。
Sniffer channel Assignment中勾选sniff。
选择需要嗅探的信道,这里我收集channel 56的数据包。
Server IP Address填写要把嗅探的数据包发送给谁。Sniffer AP会以WLC的地址为源,向你填写的这个地址发送数据包。所以要保证抓包的设备和WLC的网段是可以正常通信的。这里我写的是我的笔记本的IP地址—172.16.2.15。
4.PC上开启wireshark,过滤udp 端口5555的包。因为嗅探到的包会很多,我们只需要过滤出udp 5555的就可以。当然你如果搞点其他的事情,就因需而异了。
选择我的无线网卡,开始抓包。
可以看到一堆源是WLC管理地址,目的是我PC无线网卡地址的包。
收集完成后,需要将数据包decode成PEEKREMOTE的模式才能变成802.11的报文。
具体操作为在任意一个数据包上右键,点击Decode AS。
在弹出的对话框左下角点击+号,wireshark会自动匹配一条当前的报文decode,在最后的“当前”一列,选定为PEEKREMOTE,点击OK。
再看捕获到的报文,已经变成的802.11协议。
接下来,随便看了看,我也没看懂什么,还是把原始的报文发给原厂来做分析吧。
思科的官网文档中提供了多种嗅探的方式。链接搁在这,有兴趣的同学可以试试。
Fundamentals of 802.11 Wireless Sniffing
以上是关于利用Cisco AP做嗅探器抓取空气报文的主要内容,如果未能解决你的问题,请参考以下文章