Embed Size (px)
Citation preview
Principes fondamentaux du reniflement Sans filde 802.11 Contenu
Liste de contrôle pour une capture réussieOutils Sans fil de reniflement de Mac OS Xairportdutilitaire d'aéroporttcpdumpDiagnostic de WiFiAirtoolRadio reniflant utilisant le Windows 7 avec Netmon 3.4 (méthode désapprouvée)IntroductionRadio reniflant utilisant le point d'accès léger (LAP) de Cisco en mode de renifleurIntroductionÉtapes de configuration1) Côté WLC/AP2) Côté de renifleur : Wireshark3) Côté de renifleur : OmniPeekRadio reniflant utilisant l'assistant distant d'OmniPeek (ORA)IntroductionAdaptateurs et gestionnaires Sans fil pris en chargeInstallation de pilote pour Linksys USB600N avec Windows XPExécuter l'assistant de distant d'OmnipeekConfigurations de capturePropriétés de fichierContrôle de captureRadio reniflant utilisant Cisco (IOS) AP autonomeAnalyse de capture de renifleur de 802.11 - Couche physiqueIntroduction : les informations de couche physique dans les captures Sans fil de paquetEn-têtes de paquet Sans fil – exemplesMac OS X 10.7 diagnostics Sans fil (adaptateur de Broadcom ?)OmniPeek 6.8 (adaptateur USB de Ralink)Netmon 3.4Application des fichiers Sans fil comme colonnes de WiresharkAnalyse de capture de renifleur de 802.11 - Filtrage de WiresharkIntroductionWireshark Filtrer-WLANObjectifConditions préalablesPourquoi devons-nous capturer le tracé de renifleur Sans fil ?Pourquoi devons-nous utiliser le filtre Sans fil de capture de renifleur ?
Quand utiliser des FILTRES d'AFFICHAGE et des FILTRES de CAPTURE ?Comment filtrer ?BARRE DE MENUSLa BARRE d'OUTIL principaleLa barre d'outils de « filtre »Le volet de « liste des paquets »Le volet de « détails des paquets »Le volet « d'octets de paquet »Le StatusbarLe Statusbar initialUtilisant des filtres de captureFiltre d'affichageUtilisant la règle de filtrage de colorationAnalyse de capture de renifleur de 802.11 - Les trames de Gestion et ouvrent authentiqueIntroduction802.11 – Vues et authentification ouverteProcédé d'authentification client de 802.11Trames de GestionContrôlez les tramesTrames de donnéesRéférencesAnalyse de capture de renifleur de 802.11 - WPA/WPA2 avec PSK ou EAPWPA-PSK(TKIP)WPA2-PSK(AES/TKIP)Comment déchiffrer des données WPA2 AES en fonction au-dessus des captures de paquet d'airavec WiresharkConditions requises :ProcessEntreprise WPA/WPA2WPA(TKIP)/WPA2(AES) avec le dot1x (EAP-TLS)Analyse de capture de renifleur de 802.11 – MultidiffusionIntroductionSolutionSurveillance IGMP sur WLCInstructions pour l'usage du mode de MultidiffusionConfigurant la Multidiffusion (utilisant le mode de Multidiffusion-Multidiffusion)Sur le contrôleur LAN Sans filConfiguration de Multidiffusion sur le réseau câbléCaptures de paquetTopologieOutil de générateur du trafic MCASTCapture de câble de paquet de Wireshark sur le générateur MCASTCapture de Windows Netmon sur le générateur de paquet de McastCaptures Wireshark sur l'interface Sans fil du client sans filCapture de Netmon sur l'interface Sans fil du client sans fil
Analyse de capture de renifleur de 802.11 – Authentification WebIntroductionConfiguration WebauthConfiguration sur le WLCVoici le debug de client quand le le client a essayé se connecter
IntroductionLe processus de collecter un bon tracé de renifleur Sans fil, afin d'analyser et dépanner lecomportement de 802.11, peut être une exécution difficile et coûteuse en temps. Mais il y aquelques choses à considérer qui aideront à simplifier et accélérer ce processus. Avec la radio lereniflement de elle aide à avoir une idée de ce que vous essayez vraiment de faire - vous essayezde capturer les trames Sans fil crues de au-dessus de l'air, comme vu par le périphérique Sans filde reniflement lui-même.
Liste de contrôle pour une capture réussie
Étape 1 : Depuis le périphérique de reniflement, le périphérique de client et l'AP sont tousutilisant le rf générant des radios pour la transmission ou réception, elle aide à avoir votre renifleurSans fil près de votre périphérique cible (la machine cliente). Ceci permettra à votre périphériquede reniflement pour capturer une bonne approximation de ce que votre périphérique de cliententend au-dessus de l'air.
Étape 2 : Utilisez un périphérique distinct pour agir en tant que votre renifleur Sans fil - vous nepouvez pas prendre un bon tracé de renifleur Sans fil s'il s'exécute sur le périphérique au test (lamachine cliente que vous essayez d'obtenir un suivi Sans fil de).
Étape 3 : Comprenez qu'exactement quelle Manche de 802.11 et réunissent votre client que lepériphérique utilise avant d'installer votre capture. Verrouillez votre renifleur au canal d'intérêt -n'utilisez pas balayage du renifleur le « creuse des rigoles » le mode ! (Avec le « balayage creusedes rigoles », le renifleur fera un cycle de canal en canal chaque seconde ou ainsi - utile pour uneanalyse de site ou trouvera des « escrocs », mais pas quand tentant de capturer un problème de802.11.)
Considérez également que votre périphérique de client peut errer à un autre AP qui est sur uncanal différent ou la bande rf, ainsi vous devez prévoir en conséquence. Typiquement dansl'environnement 802.11b/g (2.4GHz), utilisant un renifleur de trois canaux peut être exigé. Ceciimplique d'à l'aide de 3 adaptateurs Sans fil sur votre périphérique de reniflement, de chacun aplacé pour creuser des rigoles 1, 6 et 11. Utilisant l'USB les adaptateurs Sans fil fonctionnemeilleur pour ce type d'installation.
Étape 4 : Si vous dépannez 5GHz, alors le nombre de canaux augmentera considérablement.Puisque vous ne pourriez pas avoir assez de cartes pour capturer tous les canaux, il est conseilléde pour le test, pour traiter pas plus de 4 canaux sur vos Points d'accès environnants.
Étape 5 : Si vous pouvez reproduire le problème quand un client erre d'un canal à l'autre, alorsun reniflement 2-channel devrait suffire. Si vous avez seulement un renifleur de canal uniquedisponible, alors faites-renifler le errer-au canal.
Étape 6 : Toujours sync de NTP vos renifleurs. La capture de paquet devra être assembléeavec mettent au point des captures, et avec autre de câble et/ou des captures de radio. Avoir voshorodateurs même une seconde hors fonction rendra l'interclassement beaucoup plus difficile.
Étape 7 : Si vous capturez pendant une longue période de temps (heures), alors configurezvotre renifleur pour couper un nouveau fichier de capture chaque 30MB ou ainsi. Afin d'éviter deremplir vers le haut de votre disque dur, vous voudrez mettre une limite supérieure sur le nombrede fichiers écrits.
Remarque: Le Linksys USB600N ne collecte pas sûrement les paquets 11n avec l'intervalle deprotection courte. Manquant 20% à 30% de paquets d'intervalle de protection courte. S'il y a lieu laconfiguration WLC peut être changée pour utiliser seulement le long intervalle plus lent deprotection. Ceci devrait être seulement une modification de configuration provisoire. La commandeest la suivante : 802.11 de config {a | guard-interval 11nsupport b} {quels | long}
Outils de renifleurRadio reniflant utilisant un MAC avec de l'OS X 10.6 et en haut
Radio reniflant sur les travaux de MAC bien, comme le Mac OS X a construit dans des outils pourcapturer un suivi Sans fil. Cependant, selon quelles versions d'OS X vous exécutez, lescommandes peuvent varier. Ce document couvre l'OS X 10.6 par la dernière version. Lesdiagnostics de WiFi est la méthode préférée dans les derniers macbooks. Il est toujours bon de sesouvenir que votre renifleur de macbook doit être au moins aussi capable que le client que vousreniflez (le reniflement d'un smartphone 802.11ac avec un macbook 802.11n n'est pas optimal)
Outils Sans fil de reniflement de Mac OS X
airportd (10.6-10.8)●
utilitaire d'aéroport (10.6 - 10.8)●
tcpdump (10.8)●
Diagnostics de WiFi (10.7->10.12)●
Wireshark (10.6 - 10.8)●
outil de tiers : Airtool●
airportd
Si vous exécutez l'OS X 10.6 (Snow Leopard) ou en haut, alors vous pouvez facilement utiliserl'utilitaire de ligne de commande « airportd ». Utilisez les étapes suivantes :
Utilisez « commande » + le combo de clé « de barre d'espacement » pour apporter la case dediaglog de recherche dans le bon haut de l'écran supérieur et saisir le mot « terminal », cecirecherchera l'application de terminal, sélectionne cette application pour l'exécuter. Un terminalwindow apparaîtra.
●
Une fois que vous avez un terminal window ouvert, vous pouvez exécuter la commande desuivre de capturer un tracé de renifleur Sans fil sur le canal 11 (802.11b/g) rf :
●
« reniflement 11" de /usr/libexec/airportd en1 de sudo
Quelques choses à noter :
Vous serez incité à entrer dans votre mot de passe de compte pour la vérification.●
Vous ne pouvez pas spécifier le nom du fichier de capture ou où vous placerez la sortie.●
Vous perdrez n'importe quelle connexion sans fil à votre réseau tandis que la capture seproduit.
●
Si vous utilisez un air, l'adaptateur Sans fil est en0 plutôt qu'en1●
Une fois que vous êtes terminé avec le suivi, le hit « Cntl-C » pour arrêter le suivi et l'utilitaireaffichera le nom et l'emplacement du fichier de capture. Le format de fichier est votre fichierstandard du wireshark PCAP qui peut être indiqué sur le MAC ou Windows par l'intermédiairede Wireshark.
●
utilitaire d'aéroport
L'IS-IS d'utilitaire d'aéroport pas un programme de renifleur ; cependant, il peut fournir lesinformations intéressantes au sujet du RÉSEAU LOCAL Sans fil. En outre, il a la capacité deplacer le canal Sans fil par défaut - qui est crucial pour les programmes de renifleur (tcpdump,Wireshark) qui ne peuvent pas eux-mêmes placer le canal
Remarque: parce que le chemin à l'utilitaire d'aéroport est si laid, ce peut être une bonne idée deplacer un lien symbolique à lui à partir d'un répertoire dans le chemin, par exemple.
# ln de sudo - s/System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport/usr/sbin/airport
placez le canal Sans fil
# sudo/System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport --channel=48
videz les informations sur le SSID/BSSID vus :
# sudo/System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport -s
SÉCURITÉ HT cc de CANAL SSID BSSID RSSI (authentique/unicast/groupe)
Test 00:24:97:89:cb:41 -53 11 Y -- WPA (PSK/TKIP/TKIP) WPA2(PSK/AES/TKIP)
Test2 00:24:97:89:cb:40 -53 11 N -- WPA (PSK/TKIP/TKIP)
Invité 00:22:75:e6:73:df -64 6,-1 Y -- WPA (PSK/AES, TKIP/TKIP)WPA2(PSK/AES,TKIP/TKIP)
les informations détaillées sur l'association en cours :
# sudo/System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport –
I
agrCtlRSSI : -54
agrExtRSSI : 0
agrCtlNoise : -89
agrExtNoise : 0
état : s'exécuter
mode op : station
lastTxRate : 300
maxRate : 300
lastAssocStatus : 0
802.11 authentique : ouvrez-vous
lien authentique : wpa2-psk
BSSID : 0:24:97:95:47:60
SSID : GuestNet
MCS : 15
canal : 36,1
tcpdump
Tcpdump est un utilitaire de ligne de commande expédié avec de l'OS X qui peut effectuer lacapture de paquet. (L'utilitaire de tshark empaqueté avec Wireshark est très semblable.) Poureffectuer une capture Sans fil de paquet utilisant le tcpdump :
premier positionnement le canal utilisant l'utilitaire d'aéroport comme affiché ci-dessus●
effectuez alors une capture Sans fil de paquet, s'enregistrant à un fichier. Une fois fait, tapezControl/C pour quitter.
●
Exemple :
tcpdump bash-3.2# - I - P - I en1 - W /tmp/channel-11.pcap
tcpdump : AVERTISSEMENT : en1 : aucun ipv4 addres assigné
tcpdump : écoutant sur en1, lien-type IEEE802_11_RADIO (802.11 plus l'en-tête de radiotap),taille de capture 65535 octets
^C897 paquets capturés
968 paquets reçus par le filtre
paquets 0 relâchés par le noyau
bash-3.2#
Diagnostic de WiFi
La méthode la plus facile de capture est d'utiliser le programme graphique appelé Wi-FiDiagnostics.
Il peut être accédé à en tenant la touche ALT et en cliquant sur sur l'icône en haut à droite de wifi(celle où vous sélectionnez typiquement le SSID vous voulez se connecter à)
Cliquez sur en fonction l'option « de diagnostics Sans fil ouverts » dans la liste.
Il apportera une fenêtre qui exécutera un état par défaut sur le dépannage. N'est typiquement pasce par ce que vous êtes intéressé.
Gardez que la fenêtre s'est ouverte et allez sur la barre de menus sur l'écran. clic « fenêtre ».Vous verrez une liste d'autres outils intéressants (utiles pour l'analyse d'analyse de site ou designal). À portée de la capture Sans fil de renifleur, nous sommes intéressés par l'option de« renifleur », la cliquons sur en fonction.
Vous devez alors simplement avez choisi le canal primaire aussi bien que la largeur de canal.
La capture de renifleur sera enregistrée sur l'appareil de bureau ou dans /var/tmp/ en date de lasierra de Mac OS.
Airtool
Quelques outils de tiers existent également aux lesquels prendra en charge beaucoup de versionsde Mac OS X et améliorera les caractéristiques incluses de reniflement avec des options plusfaciles a choisi des canaux. Un exemple est Airtool : https://www.adriangranados.com/apps/airtool
Radio reniflant utilisant le Windows 7 avec Netmon 3.4 (méthodedésapprouvée)
Introduction
Avec le moniteur de réseau Microsoft (Netmon) 3.4, vous pouvez maintenant exécuter unecertaine radio 802.11a/b/g (et peut-être 11n) convenable reniflant dans le Windows 7, utilisant
votre adaptateur Sans fil standard. Le fichier enregistré de Netmon peut être indiqué par plusdéfunt (1.5 et ci-dessus) Wireshark, cependant pas dans OmniPeek. Il est important pour la noteque Netmon n'est plus pris en charge par Microsoft et ne fonctionnera pas le plus souventcorrectement sur les adaptateurs 11n et 11ac (la plupart des trames manquant).
Netmon 3.4 est pris en charge avec le XP SP3 ; cependant, il ne prend en charge pas lereniflement Sans fil en exécutant le XP. Quant au vista, une expérience est mélangée ; étatsd'une source fiable que le reniflement de radio fonctionne dans le vista 64-bit sur un Macbookavec l'adaptateur BCM43xx 1.0.
Nous avons retiré la section détaillée par Netmon de ce document puisqu'elle est désapprouvée etne capturera pas sûrement les trames 802.11ac.
Vous pouvez encore visualiser des détails à : https://supportforums.cisco.com/t5/wireless-mobility-documents/wireless-sniffing-in-windows-7-with-netmon-3-4/ta-p/3115844
Radio reniflant utilisant le point d'accès léger (LAP) de Cisco enmode de renifleur
Introduction
Vous pouvez utiliser le Cisco WLC et les recouvrements en mode de renifleur, en même tempsqu'un renifleur de câble (les meilleurs résultats avec Wireshark. Omnipeek déchiffre le protocoledifféremment en date de la version 10).
Un renifleur de câble simple peut collecter des paquets du multiple aps, ainsi cette méthode esttrès utile pour exécuter les suivis multicanaux. Pour les scénarios statiques, s'il est possible dedéplacer le renifleur AP, ceci peut être utilisé comme alternative efficace à d'autres options dereniflement.
Pour les scénarios errants, le renifleur aps sont habituellement installés à proximité des aps que leclient erre, et ceci signalera le « point de vue » des aps statiques plutôt que le client.
Afin de voir le rf du point de vue du client tout en errant, un suivi Sans fil multicanal devrait êtrecapturé utilisant un ordinateur portable avec les plusieurs NIC de radio qui suivront le client detest.
Étapes de configuration
1) Côté WLC/AP
Voici les étapes afin de collecter un suivi utilisant un RECOUVREMENT de mode de renifleur
Configurez AP en mode de renifleur :●
AP redémarrera et il ne pourra pas servir des clients.
Une fois qu'AP a rejoint le WLC, configurez la radio d'AP (802.11b/g/n ou 802.11a/n) : spécifiez l'adresse IP de renifleursélectionnez le canalreniflement d'enable
●
Le renifleur recevra le trafic de 802.11 encapsulé utilisant le protocole d'airopeek, de l'adresseIP de Gestion WLC avec le port UDP/5555 de source et la destination UDP/5000
●
2) Côté de renifleur : Wireshark
Si employant Wireskark pour recevoir le trafic, (note : vous devez utiliser le wireshark 1.6.8 ouplus tôt, de plus nouvelles versions ont ce support cassé et les paquets ne seront pas décodéscorrectement, parce que 802.11ac reniflant nous recommandons même exécuter le dernierwireshark pendant que des améliorations sont constamment faites à décoder) suivent les étapesci-dessous :
Placez les options de capture au trafic uniquement récepteur sur UDP/5555 :●
Ce filtre est facultatif mais fortement recommandé car il exclut tout le trafic associé parradio de lacapture. Considérez que le WLC envoie le trafic à un port UDP là n'est aucune applicationécoutant du côté de renifleur ; ceci a en ayant une réponse port-inaccessible d'ICMP pour chaquepaquet reçu du WLC.
Bien que ceci soit prévu, le filtre ci-dessus aide à exclure également ce trafic qui est inutile et ainsiil peut seulement rendre le suivi plus grand et plus difficile de lire.
Puis, commencez la capture :●
Le trafic capturé doit « être décodé As. » PEEKREMOTE afin de pouvoir voir le trafic de802.11 :
●
Le trafic de 802.11 sera maintenant visible :●
L'information affichée rf ci-dessus (par exemple le canal, la force du signal, le bruit.) sont ajoutéespar AP.
3) Côté de renifleur : OmniPeek
En utilisant OmniPeek comme récepteur du flux de trafic du WLC/AP dans le mode de renifleur,c'est premier de tous nécessaires pour créer « adaptateur à distance Cisco » sous le menu de« adaptateur » de la fenêtre « d'options de capture » :
Au moins un adaptateur est exigé ; le nom est un champ obligatoire, tandis que le champ de« adresse IP » peut être blanc de gauche si vous ne voulez pas qu'OmniPeek filtre le trafic entrantd'une particularité WLC.
Dans ce cas il n'est pas nécessaire de ne filtrer aucun trafic (tel que l'ICMP port-inaccessible) carOmniPeek écoutera sur le port UDP pour capturer spécifiquement le flux de données ducontrôleur LAN Sans fil.
Avant de commencer la capture, confirmez les configurations sur la fenêtre principale d'OmniPeek:
En ce moment la capture peut être commencée et le résultat sera un suivi comprenant lesinformations rf signalées par AP :
REMARQUE: Par OmniPeek par défaut l'adaptateur distant prend l'horodateur envoyé par AP lui-même ; ces informations n'ont rien à faire avec l'horloge AP, ainsi l'horodateur en résultant seraincorrect. Si vous utilisez un renifleur simple AP les horodateurs seront erronés mais au moinscohérents ; ce n'est plus vrai si vous utilisez le multiple aps comme renifleurs (car chaque APenverra ses propres informations d'horodateur, entraînant des accès géniaux de temps sur lacapture fusionnée).
Solution●
Vous pouvez explicitement dire OmniPeek d'utiliser l'horloge locale PC de renifleur pour placerl'horodateur de paquet.
Ceci résout le scénario simple et multi AP, ayant à horodateurs corrects et cohérents tant que lePC exécutant OmniPeek a une horloge de ntp-sync'd.
Comment-aux étapes :●
Dans OmniPeek, faites ce qui suit :
1. Allez aux modules de Tools>Option>Analysis
2. Recherchez l'adaptateur distant de Cisco puis double-cliquer pour mettre en évidence lesoptions.
3. Le coutil en l'option d'horodateur alors cliquent sur OK et examinent de nouveau la capture.
Radio reniflant utilisant l'assistant distant d'OmniPeek (ORA)
Introduction
Assistant distant d'Omnipeek (ORA) - Cisco TAC peut fournir l'application auxiliaire distanted'Omnipeek pour aider à exécuter les captures Sans fil de paquet. L'outil capturera les paquetsSans fil et les chiffrera pour traiter par le TAC. Une version complète d'entreprise d'Omnipeek estexigée pour déchiffrer et analyser les fichiers de capture.
Vous devriez recevoir un fichier zip du TAC – tel que « ORADist_Default_7.0.zip » (le nom dufichier peut changer avec différentes versions). Défaites la fermeture éclair de ce fichier à uncertain répertoire - pour exécuter ORA, simplement le lancement OmniPeekRemoteAssistant.exede ce répertoire.
Adaptateurs et gestionnaires Sans fil pris en charge
Capturer les paquets Sans fil avec ORA exige l'utilisation des adaptateurs réseau sans fil pris encharge avec la version de pilote approprié. Pour visualiser une liste complète d'adaptateurs et degestionnaires pris en charge, voyez s'il vous plaît : -
http://www.wildpackets.com/support/downloads/drivers
Dans la plupart des cas, les adaptateurs USB de Ralink seront les plus faciles de les installer - et,
parce que vous pouvez installer de plusieurs adaptateurs USB sur un ordinateur portable simple -sont la meilleure manière d'obtenir une capture multicanale. Les adaptateurs suivants de Ralinkont été testés par Cisco TAC :
Linksys WUSB600N (V1 et V2), Linksys AE1000, ALPHA AWUS051NH
Installation de pilote pour Linksys USB600N avec Windows XP
Étape 1. Le TAC peut fournir le gestionnaire d'OmniPeek pour les adaptateurs USB de Ralink. Vous devriez recevoir un fichier zip « RALINKUSB-1_4_0_18.ZIP ». Il y aura 2 répertoires dans lesarchives -- « Win2kXP » pour Windows et « WinXPx64 » de 32 bits pour Windows 64-bit. Extrayezle contenu du répertoire approprié pour votre système d'exploitation à un emplacement spécifié.
Étape 2. Insérez l'adaptateur de Linksys USB600N.a. Si ceci utilise la première fois l'adaptateur sur le poste de travail, Windows commencera lenouvel assistant de matériel. Ne recherchez pas un gestionnaire automatiquement et cliquez surNext. Saut à l'étape 3.
b. Si vous avez précédemment installé le Linksys USB600N sur votre poste de travail, vousdevrez changer le gestionnaire à la version d'Omnipeek. Allez au début > au panneau deconfiguration > aux connexions réseau et cliquez avec le bouton droit sur l'adaptateur de Linksyset cliquez sur Properties. Dans cet exemple, l'interface est la « connexion réseau sans fil 3".
Sous l'onglet Général, cliquez sur « configurent… » boutonnez, et puis cliquez sur en fonctionl'onglet de gestionnaire > le gestionnaire de mise à jour. Ceci incitera l'assistant de mise à jour dematériel.
Étape 3. Choisi « installez d'une liste ou d'un emplacement de particularité (avancé) » et cliquezsur Next. Choisi « recherchez le meilleur gestionnaire dans ces emplacements. », incluez
l'emplacement de vos fichiers du pilote extraits et cliquez sur Next : -
Étape 4. Windows maintenant recherchera et installera le gestionnaire d'Omnipeek. Si vousrecevez le message d'avertissement suivant, le clic « continuent de toute façon ».
Étape 5. L'installation de pilote devrait se terminer et l'adaptateur est maintenant prêt pourcapturer des paquets avec ORA.
Exécuter l'assistant de distant d'Omnipeek
Si le gestionnaire correct n'est pas chargé, ORA peut sembler fonctionner, mais ne pas fournirl'option de sélectionner le canal désiré pour surveiller. La cellule de la Manche lira les« Ethernets » ou la « radio » et n'offrira pas l'option de sélectionner un canal : -
Configurations de capture
Sélectionnez les adaptateurs désirés pour effectuer la capture et pour indiquer le canal désiré. Sivous avez les adaptateurs pris en charge par multiple vous ont installé peuvent les capturer surles plusieurs canaux simultanément (mais vous ne peut pas mélanger les interfaces de câble etSans fil en même temps). Vous pouvez sélectionner un canal le canal 802.11b/g ou le 802.11adans le déroulant. Vous pouvez sélectionner des canaux de 40 MHZ 802.11n utilisant (n40l) oules options (n40h). Le n40l sera le canal sélectionné et canal inférieur adjacent, alors que n40hsera le canal sélectionné et canal plus élevé adjacent.
Propriétés de fichier
Sélectionnez le répertoire que vous voudriez enregistrer les fichiers de capture dedans. Vouspouvez alors également spécifier la taille de renversement de fichier. Chaque nouveau nom dufichier inclura un horodateur ainsi des données ne seront pas remplacées.
Contrôle de capture
Si vous avez sélectionné l'adaptateur/paramètres de canal corrects, vous pourrez maintenantcliquer sur les boutons de début et de fin au bas. Vous ne pourrez pas voir les paquets, mais vousverrez l'incrémentation de compteurs. Arrêt de clic une fois terminé.
Radio reniflant utilisant Cisco (IOS) AP autonome
AP autonome peut être utilisé pour recueillir des captures de paquet d'air. Suivez ces instructionsau peform que l'air les capturent.
1. Écrivez l'interface dot11radio sur laquelle vous souhaitez effectuer la capture. Placez la station-role au renifleur, ajoutez l'IP server/PC qui exécutera Wireshark et collecte les captures, etsélectionnez le canal. Le port que vous spécifiez avec les trames de moniteur la commande serale port UDP de destination auquel AP envoie les captures.
Étape 1 international {d0 | d1} Écrire le mode de commande de configuration d'interface pour configurer la radio relie.Étape 2 station-role de renifleur Changer le rôle de station au renifleur.Étape 3 numéro de canal Sélectionner le canal en lequel pour fonctionner en mode de renifleur.Étape 4 aucun fermé Renverse l'arrêt de l'interface.Étape 5 sortie Annule le mode de commande de configuration d'interface.Étape 6 numéro de port de port destination-IP d'IP address de renifleur Place l'adresse IP et le numéro de port, auxquels AP réorientera tous les paquets. Vous pouvez spécifier une adresse IP sur n'importe quel numéro de port entre 1024 à 65535.Étape 7 enable de wireshark Si vous utilisez Wireshark au point final, ceci ajoute une en-tête de Wireshark aux paquets.Configuration d'échantillon :
ap(config)# int d0ap(config-if)# station-role snifferap(config-if)# channel 11ap(config-if)# noshutap(config-if) # exitap(config)# sniffer ip-address 10.126.251.30 port 5555ap(config)# wiresharkenable2. Début Wireshark sur le server/PC. Naviguez pour le capturer > des options. Sélectionnez lacarte réseau Ethernet (RÉSEAU LOCAL) et ajoutez un filtre pour capturer seulement le trafic avecle port UDP que vous avez spécifié dans l'étape 1.
3. Commencez la capture Wireshark.
Télécharger des fichiers de capture à la
demande de service TACSi les fichiers de capture sont trop grands pour l'email, vous pouvez les télécharger à votredemande de service TAC :
https://tools.cisco.com/ServiceRequestTool/query/
Introduisez votre nombre de SR, et puis cliquez sur en fonction le téléchargement de fichier.
Analyse de renifleurPour analyser des captures de radio, référez-vous aux liens ci-dessous. Ils sont conçus pour êtrededans lue commande puisque chaque document construira sur le document précédent. Considérez cela en lisant n'importe quel suivi Sans fil, son une bonne idée de comprendre lescaractéristiques de radio de 802.11. Tandis que ces documents réaliseront un grand travail àl'aide vous comprenez l'écoulement de paquet et ce qui à rechercher dans un suivi Sans fil, ils nesont pas censés pour enseigner les caractéristiques de radio de 802.11.
Analyse de capture de renifleur de 802.11 - Couche physique
Introduction : les informations de couche physique dans les captures Sans fil depaquet
Un paquet capturé contient une copie des données de trame – mais ajoutée au début à chaquetrame est une en-tête de métadonnées, te fournissant des informations sur la façon dont la tramea été capturée. Avec les paquets de câble, les métadonnées n'est pas beaucoup – le nombre detrame, datent quand le paquet a été capturé, la longueur du paquet. En faire l'analyse de câble depaquet, vous vous inquiétez rarement trop de la couche physique – avec du débit d'erreur de bitde 1010, vous supposez habituellement que sont les bits capturés ce qu'ils indiquent qu'ils sont.
La radio est une histoire entièrement – la couche physique est énormément plus complexe – etdéloyale différents – que de câble. Avant que la plongée dans une tentative d'analyser unecapture basée sur le stimulant pose, c'est habituellement une bonne idée d'obtenir unecompréhension de la couche physique en laquelle la capture a été prise. Si la couche physiquene fonctionne pas juste – puis les couches supérieures n'auront jamais une occasion.
Les qualités suivantes de couche physique sont particulièrement importantes pour se rendrecompte de :
· Force du signal (RSSI, « force du signal », rapport de signal/bruit.) Il est généralement lemeilleur de se concentrer sur RSSI, si disponible – c.-à-d. le niveau de puissance dans le dBmauquel l'adaptateur de reniflement a reçu le paquet.
o RSSI < dBm -90 : ce signal est extrêmement faible, à la périphérie de quel récepteur peutrecevoir
o RSSI -67dBm : c'est assez un signe fort – la périphérie de ce que Cisco considère adéquat pourprendre en charge la Voix au-dessus du WLAN.
o RSSI > -55dBm : c'est très un signe fort
o RSSI > -30dBm : votre renifleur se repose juste à côté de l'émetteur
· La Manche (fréquence.) Car un RÉSEAU LOCAL Sans fil peut prendre en charge n'importeoù de 3 à 25 environ des différents canaux, il est dont crucial de savoir exactement on a pris lecanal votre capture. Si votre intention est d'obtenir un reniflement d'une particularité AP, alorsverrouillez votre reniflement au canal de cet AP, et le validez que la capture était sur ce canal –autrement, la capture sera sans valeur.
· Débit de données – ceci peut être n'importe où de 1Mbps jusqu'à 300Mbps ou à plus. Pourcomprendre pourquoi les transmissions de données ne le font pas toujours à partir de l'émetteurau récepteur, vous devez connaître quels débits de données sont utilisés. Un RSSI « marginal »de -80dBm peut fonctionner terriblement pour un paquet modulé à 54Mbps, mais peut être tout àfait satisfaisant à 6Mbps.
En-têtes de paquet Sans fil – exemples
Les différents renifleurs Sans fil peuvent employer différents formats d'en-tête de métadonnéespour encoder la couche physique Sans fil. Rendez-vous compte que la précision des informationsdépend du matériel et du gestionnaire spécifiques d'adaptateur en service. Quelques valeurs,telles que le bruit, devraient généralement être prises avec un grain de sel.
Sont ci-dessous quelques échantillons, avec du débit de données, la fréquence et les champsRSSI mis en valeur.
Mac OS X 10.7 diagnostics Sans fil (adaptateur de Broadcom ?)
L'OS X 10.7 utilise une en-tête de Radiotap v0, qui ressemble à ceci dans Wireshark :
OmniPeek 6.8 (adaptateur USB de Ralink)
Dans Wireshark, une capture d'OmniPeek utilise une en-tête d'Airopeek, qui ressemble à ceci :
Notez que Wireshark (en date de 1.6.x) ne sait pas décoder toutes les métadonnées Sans fil dansune capture d'OmniPeek – la même trame visualisée en OmniPeek elle-même affiche le dBm designal, le dBm de niveau sonore et de bruit :
Netmon 3.4
Application des fichiers Sans fil comme colonnes de Wireshark
Il est très souvent beaucoup plus facile de comprendre ce qui va en fonction avec un reniflementSans fil, si vous avez appliqué les champs Sans fil comme colonnes. Voici comment faire ceci :
1. Localisez le champ de l'intérêt pour la section de détails de paquet (développant d'abord la
section applicable d'en-tête s'il y a lieu) et cliquez avec le bouton droit-le. Choisi appliquezcomme colonne :
2. La nouvelle colonne apparaît. Maintenant vous pouvez redimensionner, renommer (par clicdroit l'intitulé de colonne et sélectionner « éditent des détails de colonne "), et déplacer la colonnecomme désirée.
3. Répétition pour d'autres colonnes d'intérêt. Maintenant vous avez un meilleur traitement sur lesaspects de couche physique de votre capture :
4. Une fois que vous avez appliqué la nouvelle colonne, la prochaine fois que vous exécutezWireshark, la colonne sera disponible (si vous ne la voyez pas, cliquez avec le bouton droit lesintitulés de colonne et sélectionnez les colonnes affichées.)
Analyse de capture de renifleur de 802.11 - Filtrage de Wireshark
Introduction
Analyse de capture du renifleur '802.11 - Filtrage de Wireshark
Wireshark Filtrer-WLAN
Objectif
Ce document vous aidera en guidant comment installer le wireshark et analyser les paquets
intéressants utilisant un outil souple dans le wireshark pour programmer appelé les filtres dewireshark.
Conditions préalables
L'outil de wireshark en soi ne nous aidera pas en obtenant par le dépannage à moins que nousayons une bonne connaissance et la compréhension du protocole, la topologie du réseau et quides points d'informations pour envisager de prendre des tracés de renifleur. Cela vaut pour si sonpour câblé ou pour le réseau Sans fil où nous capturons les paquets au-dessus de l'air avant qu'ilssoient mis sur le réseau. Éliminer du MAC address Sans fil est fait par par AP.
Pourquoi devons-nous capturer le tracé de renifleur Sans fil ?
Quand nous examinons un trafic ou des données sur un réseau câblé utilisant le tracé de renifleuret la pente de câble trouvent nos paquets intéressants que nous devons savoir où est ellemanquant. Notre soupçon peut nous obliger pour vérifier s'il le faisait même par le premier pointde la source d'origines qu'être Sans fil fonctionne bien ou pas ou il étant manqué au-dessus del'air. S'il ne faisait pas il correctement au-dessus de l'air alors manquera évidemment ou ne pasobtenir traduit ou envoyé plus de plus d'au côté de câble par AP au système DS ou de distribution.Il devient alors essentiel pour nous identifient et localisent le problème de réseau Sans fil utilisantle tracé de renifleur Sans fil.
Pourquoi devons-nous utiliser le filtre Sans fil de capture de renifleur ?
Quand il s'agit de dépanner les questions liées au réseau il y a beaucoup de dépendances et toutle travail dans le modèle en couches et chaque données de couche dépendent de sa coucheinférieure au-dessous de lui. Il y a beaucoup de composants ou les éléments de réseau et laconfiguration et le bon fonctionnement des périphériques nous aide à réaliser un réseau de bonfonctionnement. Quand un réseau fonctionnant cesse de fonctionner une approche logique estexigée pour localiser la question. Une fois que toujours identifié il est difficile le trouver le pointprécis de panne. Le renifleur de ces situations est livré à notre aide. Puisque ce processus dedépannage peut devenir outrage tellement compliqué utilisant le meilleur approchez et en ayantune bonne compréhension et des compétences en dépannage. Le problème est que si vouscapturez les paquets voyageant par un périphérique de réseau nous pouvons finir ayant le fichierénorme et pouvons même finir jusqu'à 1G si vous capturez assez longtemps avec des détails depaquets de sort dans lui. Avec telles un grand nombre de données primordialement il peut êtretrès long pour goupiller le point le problème et obtient pratiquement une tâche très difficile tendantpresque à impossible.
Le filtrage est livré à notre délivrance d'aider bon dépannage d'un ingénieur à repérer lesproblèmes rapidement en éliminant le trafic non désiré coupant les variables aux quelques ou desvariables minimum pour se focaliser en fonction en même temps. Ceci aidera en trouvantrapidement si le trafic intéressant est présent ou absent du trafic collecté. L'utilisation des filtresalors devient un art et complète la compétence d'utilitaires de dépannage considérablement
Il améliore le temps à la résolution rapidement par conséquent la nécessité de comprendrecomment utiliser le filtrage de wireshark.
- FILTRES d'AFFICHAGE – après que vous saisissiez beaucoup d'informations, ils vous aident àvisualiser seulement les paquets que vous êtes intéressé dedans
- FILTRES de CAPTURE – du début vous savez ce que le paquet d'intérêt pour vous et capturentseulement ces paquets
Des filtres pour colorer les paquets ceci est utilisés comme une aide visuelle pour améliorer lefiltre d'affichage ou le filtre de capture ou peut être utilisés juste sans n'importe quel filtre pourclassifier juste les nombreux paquets intéressants comme différentes couleurs pour l'approche dehaut niveau.
Quand utiliser des FILTRES d'AFFICHAGE et des FILTRES de CAPTURE ?
Il est recommandé pour utiliser les filtres de capture, quand vous savez que ce qui sont vousrecherchant et essayant pour vérifier cela dans un trafic courant à cet événement est capturéquand le passage qui pour plus que des couples des heures dans un environnement de circulationdense. Ceci aidera en maintenant les données collectées pour rester dans une quantitéraisonnable en termes de taille de fichier.
Si nous sommes à un point nous ne sommes pas sûrs ce qui pourraient entraîner la question etsommes plus d'une nature aléatoire comportementale de problème exécutons alors la capture depaquet pendant moins de temps dans la fenêtre probable du modèle d'occurrence de problème,comme un ou deux heures, capture tout le trafic et utilisons alors des filtres d'affichage pourvisualiser seulement les informations que vous recherchez.
Sans compter que l'utilisation de au-dessus d'une peut voir que toutes les règles de coloration decapture et d'utilisation d'attraper l'attention de certain type de paquets a assigné à différentescouleurs pour l'écoulement le triant ou de distinction facile de paquet.
Comment filtrer ?
Lets obtiennent une bonne compréhension des divers champs dans un tracé de renifleur typiquede wireshark. En le décomposant et en définissant chaque champ.
Nous nous concentrerons sur 3 éléments que nous devons comprendre pour commencer utilisantle filtrage.
Filtre de capture●
Filtre d'affichage●
Filtre de coloration de règles●
Avant que nous fouillions dedans aux détails, voici l'exemple de la fenêtre de capture de renifleurpour le wireshark, a permis de disséquer.
BARRE DE MENUS
C'est appelé la barre de menus de la fenêtre de requin de fil
Il contient les articles suivants :
Fichier : Ce menu contient des éléments pour ouvrir et fusionner des fichiers de capture,●
sauvegarde/copie/capture d'exportationfichiers entièrement ou partiellement, et pour quitter de Wireshark.
Éditez ce menu contient des éléments pour trouver un paquet, pour chronométrer la référenceou pour marquer un ou plusieurs
●
les paquets, des profils de configuration de traitement, et ont placé vos préférences ; (coupe,copie, et pâte
ne sont pas actuellement mis en application).
Visualisez les contrôles de ce menu l'affichage des données capturées, y compris lacolorisation de
●
paquets, changeant de plan la police, affichant un paquet dans une fenêtre séparée, développantet
réduire des arborescences dans des détails de paquet
Allez ce menu contient des éléments pour aller à un paquet spécifique.●
Capturez ce menu te permet pour commencer et arrêter des captures et pour éditer des filtresde capture
●
Analysez ce menu contient des éléments pour manipuler des filtres d'affichage, enable oupour désactiver
●
la dissection des protocoles, configurent l'utilisateur spécifié décode et suit un flot de TCP.
Les statistiques ce menu contiennent des éléments pour afficher de diverses fenêtres destatistique, y compris un résumé
●
des paquets qui ont été capturés, statistiques de hiérarchie de protocole d'affichage et beaucoup
plus.
La téléphonie ce menu contient des éléments pour afficher les fenêtres de statistiqueassociées diverse par téléphonie,
●
y compris une analyse de medias, organigrammes, statistiques de hiérarchie de protocoled'affichage et
beaucoup plus.
Usine ce menu contient de divers outils disponibles dans Wireshark, tel que créer le Pare-feu●
Règles d'ACL.
Internals ce menu contient les éléments qui affichent des informations sur les internals deWireshark.
●
Aidez ce menu contient des éléments pour aider l'utilisateur, par exemple accès à de l'aide debase, manuel
●
pages des divers outils ligne de commande, online access à certaines des pages Web,
et l'habituel au sujet du dialogue.
La BARRE d'OUTIL principale
La barre d'outils principale fournit à accès rapide aux éléments fréquemment utilisés du menu.Cette barre d'outils ne peut pas être personnalisée par l'utilisateur, mais elle peut être masquéeutilisant le menu Affichage, si l'espace sur l'écran est nécessaire pour afficher bien plus dedonnées de paquets. Comme dans le menu, seulement les éléments utiles dans l'état deprogramme en cours seront disponibles. Les autres seront greyed (par exemple vous ne pouvezpas sauvegarder un fichier de capture si vous n'avez pas chargé un).
La barre d'outils de « filtre »
La barre d'outils de filtre vous permet rapidement d'éditer et appliquer des filtres d'affichage
Filtre : Évoque le dialogue de construction de filtre, « ●
La « capture filtre » et le « affichage filtre » des boîtes de dialogue ».
Filtrez entrent la zone pour écrire ou éditer des expressions de chaîne de filtre d'affichage. Unevérification de syntaxe de votre filterstring est faite tandis que vous tapez. Le fond tournera lerouge si vous écrivez une chaîne inachevée ou non valide, et deviendra vert quand vous écrivezune chaîne valide. Vous pouvez cliquer sur en fonction la flèche de traction vers le bas poursélectionner une chaîne précédent-entrée de filtre d'une liste. Les entrées dans la traction lesrépertorient vers le bas resteront disponibles même après une reprise de programme.
Note: Après que vous ayez changé quelque chose dans ce domaine, n'oubliez pas d'appuyersur le bouton Apply (ou l'entrer/touche de retour), pour appliquer cette chaîne de filtre àl'affichage. Ce champ est également où le filtre en cours en effet est affiché.
●
Expression : Le bouton moyen étiqueté « ajoutent l'expression… » ouvre une boîte dedialogue qui vous permet d'éditer un filtre d'affichage d'une liste de champs de protocole,décrite dedans, « « l'expression » boîte de dialogue » de filtre
●
Effacez remettent à l'état initial le filtre en cours d'affichage et effacent la zone d'éditer.●
Appliquez appliquent la valeur courante dans la zone d'éditer comme le nouveau filtred'affichage.
●
Le volet de « liste des paquets »
Le volet de liste de paquet affiche tous les paquets dans le fichier en cours de capture.
Chaque ligne dans la liste de paquet correspond à un paquet dans le fichier de capture. Si voussélectionnez une ligne dans ce volet, plus de détails seront affichés dans des « détails despaquets » et les volets « d'octets de paquet ».
Le volet de « détails des paquets »
Le paquet détaille le volet affiche le paquet en cours (sélectionné dans le volet de « liste despaquets ») sous une forme plus détaillée.
Le volet « d'octets de paquet »
Le volet d'octets de paquet affiche les données du paquet en cours (sélectionné dans le volet de« liste des paquets ») dans a
style de hexdump.
Le Statusbar
Le statusbar affiche des messages d'information. Généralement le côté gauche les informationsrelatives de show context, la partie moyenne affichera le nombre en cours de paquets, et le côtédroit affichera le profil sélectionné de configuration. Faites glisser les traitements entre les zonesde texte pour changer la taille
Le Statusbar initial
Ce statusbar est affiché tandis qu'aucun fichier de capture n'est chargé, par exemple quandWireshark est commencé.
Le menu contextuel (bon clic de souris) des étiquettes d'onglet affichera une liste de toutes lespages disponibles. Ceci peut être utile si la taille dans le volet est trop petite pour toutes lesétiquettes d'onglet.
Le Statusbar
La barre d'état affiche des messages d'information. Généralement le côté gauche les informationsrelatives de show context, la partie moyenne affichera le nombre en cours de paquets, et le côtédroit affichera le profil sélectionné de configuration. Faites glisser les traitements entre les zones
de texte pour changer la taille.
La barre d'état avec un fichier chargé de capture
Les informations d'expositions de côté gauche sur le fichier de capture, son nom, sa taille et letemps écoulé tandis qu'elle était capturée.
●
La partie moyenne affiche le nombre en cours de paquets dans le fichier de capture. Lesvaleurs suivantes sont affichées :
●
Paquets : le nombre de paquets capturés●
Affiché : le nombre de paquets actuellement étant affichés●
Marqué : le nombre de paquets marqués●
Relâché : le nombre de paquets relâchés (seulement affichés si Wireshark ne pouvait pascapturer tous les paquets)
●
Ignoré : le nombre de paquets ignorés (seulement affichés si des paquets sont ignorés)●
Les expositions de côté droit le profil sélectionné de configuration. Cliquer sur dans laprésente partie du statusbar évoquera un menu avec tous les profils disponibles deconfiguration, et sélectionner de cette liste changera le profil de configuration.
●
Utilisant des filtres de capture
Cliquez sur en fonction les options de « CAPTURE », de « INTERFACES » et choisissezl'adaptateur réseau de relâchent vers le bas le menu qui sera utilisé pour capturer les paquetscourants dans le réseau sur le PC. Cliquez sur en fonction la « CAPTURE FILTRE » et écrit lenom du filtre et la chaîne de filtre ou entre directement la chaîne de filtre que vous connaissezdans la case. Puis bouton de hit. Maintenant le programme de renifleur de requin de fil capture lespaquets qui sont d'intérêt à vous seulement parmi l'écoulement énorme des paquets en tempsréel de tous les types de protocoles.
Filtre d'affichage
Une fois que vous avez le fichier capturé vous a chargé a maintenant installé des filtres pourafficher des paquets que vous êtes intéressé à regarder ou pour les éviter de voir des paquetsnon intéressé. Ceci peut être fait à l'aide de l'expression simple de filtre ou d'une combinaisond'expression utilisant les opérateurs logiques pour former une chaîne complexe de fichier.
Cliquez sur en fonction « ANALYSENT FILTRE d'AFFICHAGE » » choisi le « .
Dans l'exemple ci-dessous nous créons un fichier pour filtrer le seul les paquets de BALISE d'unsuivi Sans fil de capture de paquet de 802.11 comme vu ci-dessous dans la barre de mise envaleur jaune.
Semblable au filtre d'affichage nous pouvons trouver un paquet particulier en appliquant le filtreaprès avoir cliqué sur le « paquet de découverte »
Trouvez le bouton de FILTRE et écrire la valeur de filtre dans la case de filtre, si vous neconnaissez pas la chaîne puis vous peut creuser plus loin en cliquant sur le filtre et le boutonNouveau de hit et en nommant les chaînes de filtre et en appliquant ou en tapant la chaîne defiltre avec dans la case. Si vous ne connaissez pas le ressort spécifique de filtre vous pouvez leformer en choisissant le bouton d'EXPRESSION qui a la diverse option de protocole.
Sélectionnez celui que vous regardez, développez et vous obtiendrez plus d'options desélectionner de.
Vous aurez également une case d'opérateur logique à choisir de utiliser pour apparier pour entrerla valeur que vous voulez mettre et appliquer se terminer le filtre.
Vous pouvez construire les filtres d'affichage qui comparent des valeurs utilisant un certainnombre de différents opérateurs de comparaison.
Utilisant la règle de filtrage de coloration
Un mécanisme très utile disponible dans Wireshark est colorisation de paquet. Vous pouvezinstaller Wireshark de sorte qu'il colorize des paquets selon un filtre. Ceci te permet pour soulignerles paquets que vous (habituellement) êtes intéressé
Vous pouvez installer Wireshark de sorte qu'il colorize des paquets selon un filtre que vouschoisissez de créer. Ceci te permet pour souligner les paquets que vous (habituellement) êtesintéressé.
Dans l'exemple au-dessous des paquets colorized pour des balises, accusé de réception, réponsede sonde, Deauthentication a basé sur les filtres mentionnés ci-dessous.
Cliquez sur en fonction la « vue »
Sélectionnez la « coloration ordonne » ou l'utilisation « éditent des règles de coloration » de labarre principale d'outil.
Ceci ouvre les règles de coloration et nous pouvons ajouter un nouveau filtre de colorationutilisant « nouveau » ou « éditez ». Sélectionnez le paquet ou éditez la chaîne de filtre et assignezou ajustez la couleur désirée.
Dans la boîte de dialogue de couleur d'éditer, écrivez simplement un nom pour le filtre de couleur,et écrivez une chaîne de filtre dans
Champ texte de filtre. , « « éditez le filtre de couleur » boîte de dialogue » affiche la balise et le ==8 de valeurs wlan.fc.type_subtype ce qui signifie que le nom du filtre de couleur est balise et lefiltre sélectionnera des protocoles du == 8 du type wlan.fc.type_subtype ce qui est la chaîne defiltre de balise. Une fois que vous avez écrit ces valeurs, vous pouvez choisir un premier plan etune couleur d'arrière plan pour les paquets qui apparient l'expression de filtre. Cliquez sur enfonction la couleur de premier plan… ou la couleur d'arrière plan… pour réaliser ceci.
Très une fonctionnalité utile est d'exporter ou former le filtre de coloration et le sauvegarder enexportant le filtre à un fichier « tac80211color » comme vu ci-dessous ceci peut être importé, vouspouvez créer de plusieurs fichiers de règle de coloration dans votre répertoire de dépannage etles utiliser comme modèle à votre commodité chaque fois que vous dépannez.
Vous pouvez penser innovateur et le tailleur font des templates file de filtre de coloration telles queles fichiers de routage, wlan, de commutation etc. de couleur de filtres et les importent juste selon
le problème que vous dépannez très facilement.
Il y a un bon téléchargement de coloration de règles que vous pouvez télécharger et utiliser chezhttps://supportforums.cisco.com/docs/DOC-23792
C'est à quoi l'aspect final de la fenêtre de paquets de wireshark ressemble à après que fichier defiltre de couleur
« tac80211color » est importé et appliqué.
Analyse de capture de renifleur de 802.11 - Les trames deGestion et ouvrent authentique
Introduction
Analyse de capture de renifleur de 802.11 - Les trames de Gestion et ouvrent authentique
802.11 – Vues et authentification ouverte
Essayant d'analyser ou dépanner un RÉSEAU LOCAL Sans fil, le réseau utilisant l'analyseur depaquet de 802.11 exigera de nous d'avoir une compréhension complète de différents types detrame de 802.11 comme base de trouver des pointeurs pour localiser les causes de la zoneproblématique dans un réseau wlan. La prise des tracés de renifleur wlan utilisant des outilscomme l'omnipeek et ou le wireshark un peut surveiller les transmissions entre les cartesd'interface de réseau radio (NIC) et les Points d'accès. Nous devrons comprendre chaque type detrame se produisant dans l'exécution d'un RÉSEAU LOCAL Sans fil et résolvant des problèmes deréseau. Dans un environnement wlan rf que les conditions de transmission radio peuvent changertellement dynamiquement, coordination devient une grande question dans les WLAN. La Gestionet les paquets de contrôle sont dédiés à ces fonctions de coordination.
Pour trouver la cause des problèmes wlan se posant dans le réseau wlan concernantl'environnement rf il serait le meilleur de tester le réseau wlan utilisant l'authentification ouvertesans n'importe quelle Sécurité. Par la prise cette approche les problèmes de connectivité rf fontsurface et peuvent être corrigés avant que nous puissions nous déplacer au chiffrement plus fortet aux couches plus élevées de la couche OSI.
L'authentification dans la spécification de 802.11 est basée sur authentifier une station ou unpériphérique Sans fil au lieu d'authentifier un utilisateur.
Selon le 802.11 le procédé d'authentification client de spécification comprend les transactionssuivantes comme mentionné ci-dessous
Les Points d'accès envoie continuellement les trames balise qui sont prises par les clientswlan voisins.
1.
Le client peut également annoncer sur sa propre trame de demande de sonde sur chaquecanal
2.
Les Points d'accès dans la marge répondent avec une trame de réponse de sonde3.Le client décide quel Point d'accès (AP) est le meilleur pour l'accès et envoie une demanded'authentification
4.
Le Point d'accès enverra une réponse d'authentification5.Sur l'authentification réussie, le client enverra une trame de demande d'association au Pointd'accès
6.
Le Point d'accès répondra avec une réponse d'association7.Le client peut maintenant passer le trafic au Point d'accès8.
Procédé d'authentification client de 802.11
Il y a 3 types de trames utilisées dans les transmissions de la couche 2 de MAC de 802.11 seproduisant au-dessus de l'air qui gère et contrôle la liaison sans fil.
Ils sont des vues de Gestion, des vues de contrôle et des trames de données. Prenons un coupd'oeil à ce que ces trames se composent dans de petits détails pour nous aider dedans à analyserles problèmes wlan mieux tout en fonctionnant avec les tracés de renifleur wlan.
Trames de Gestion
les trames de Gestion de 802.11 permettent à des stations d'établir et mettre à jour destransmissions. Des paquets de gestion sont utilisés pour prendre en charge l'authentification,l'association, et la synchronisation.
Ce qui suit sont des sous-types communs de trame de Gestion de 802.11 :
Trame d'authentification : C'est une trame signifiant à l'adhésion de réseau dans la topologiewlan. les authentifications de 802.11 est un processus par lequel le Point d'accès reçoive ourejette l'identité d'un NIC de radio pour créer des ressources. L'authentification limite lacapacité d'envoyer et recevoir sur le réseau. C'est la première étape pour un périphériquetentant de se connecter à un 802.11 WLAN. La fonction est manipulée par un échange despaquets de gestion. L'authentification est manipulée par un échange de demande/réponsedes paquets de gestion. Le nombre de paquets permutés dépend de la méthoded'authentification utilisée. Dans ce document nous focusssing sur le plus simple ouvrons laméthode d'authentification pour simplifier notre dépannage des questions rf.
●
== 0x0b wlan.fc.type_subtype
Le NIC commence le processus en envoyant à une trame contenant d'authentification son identitéau Point d'accès. Avec l'authentification de système ouvert (le par défaut), le NIC de radio envoieseulement une trame d'authentification, et le Point d'accès répond avec une tramed'authentification comme réponse indiquant l'acceptation (ou le rejet). Il y a un ID associéd'authentification associé qui est le nom sous lequel la station en cours est authentifiée sur joindre
le réseau.
Trame de Deauthentication : C'est un paquet d'annonce par une station qui envoie une tramede deauthentication à une autre station si elle souhaite terminer des communicationsprotégées. C'est une transmission à sens unique de la station authentifiante (un BSS ou unéquivalent fonctionnel), et doit être reçu. Il le prend effet immédiatement.
●
== 0x0c wlan.fc.type_subtype
== 0x0 wlan.fc.type_subtype
== 0x01 wlan.fc.type_subtype
== 0x02 wlan.fc.type_subtype
Le filtre utilisé pour s'appliquer et la découverte seulement les paquets de dissassociation est le« == 0x0a wlan.fc.type_subtype »
Le filtre utilisé pour s'appliquer et la découverte seulement les paquets de balise est
« == 0x08 wlan.fc.type_subtype »
Le filtre utilisé pour s'appliquer et la découverte seulement les paquets de demandes de sonde est
« wlan.fc.type_subtype ==0x04 »
Le filtre utilisé pour s'appliquer et la découverte seulement les paquets de demandes de sonde est« wlan.fc.type_subtype ==0x05 »
Contrôlez les trames
les trames de contrôle de 802.11 aident à la livraison des trames de données entre les stations.Ce qui suit sont des sous-types communs de trame de contrôle de 802.11 :
Request to Send trame (de RTS) : La fonction RTS/CTS est facultative et réduit des collisionsde trame actuelles où les stations masquées ont des associations avec le même Pointd'accès. Une station envoie une trame de RTS à une autre station comme la première phased'une prise de contact bi-directionnelle nécessaire avant d'envoyer une trame de données.
●
== 0x1B wlan.fc.type_subtype
== 0x1D wlan.fc.type_subtype
Trames de données
Ceux-ci aux trames qui sont livré plus tard dans le jeu après que la transmission wlan de base soitdéjà établie entre le poste mobile et le Point d'accès. Nous atteindrons toujours à ce 802.11 latrame de données pour l'analyse typiquement pour vérifier et analyser au-dessus de l'air si lesprotocoles et les données des couches plus élevées dans le corps de trame obtient au fil. Cestrames transportent des paquets de données des couches plus élevées, telles que des pagesWeb, des paramètres d'imprimante, etc., dans le corps de la trame.
== 0x20 wlan.fc.type_subtype
Sur un analyseur de paquet nous observons le contenu du corps de trame dans des trames dedonnées de 802.11 pour le trafic intéressant en question.
Références
www.wildpackets.com/resources/compendium/wireless_lan/wlan_packets●
http://www.willhackforsushi.com/papers/80211_Pocket_Reference_Guide.pdf●
https://supportforums.cisco.com/docs/DOC-13664●
http://www.cisco.com/warp/public/cc/pd/witc/ao1200ap/prodlit/wswpf_wp.htm#wp39317●
http://www.wildpackets.com/resources/compendium/wireless_lan/wlan_packet_types●
Analyse de capture de renifleur de 802.11 - WPA/WPA2 avecPSK ou EAP
WPA-PSK(TKIP)
1. Des trames balise sont transmises périodiquement à la présence d'anonunce du réseau Sans filet contiennent toutes les informations sur elles (débits de données, canaux, chiffrements deSécurité, gestion des clés etc.) :
2. La demande de sonde, est envoyée par STA d'obtenir les informations d'AP :
3. La réponse de sonde, AP répond avec avec une trame de réponse de sonde, contenant lesinformations de capacité, les débits de données pris en charge, etc., quand après qu'il reçoive unetrame de demande de sonde de STA :
4. l'authentification de 802.11 est un processus par lequel le Point d'accès reçoive ou rejettel'identité d'un NIC de radio. Le NIC commence le processus en envoyant à une trame contenantd'authentification son identité au Point d'accès. Avec l'authentification de système ouvert (le pardéfaut), le NIC de radio envoie seulement une trame d'authentification, et le Point d'accès répondavec une trame d'authentification comme réponse indiquant l'acceptation (ou le rejet). :
demande d'authentification A. Dot11 :
réponse d'authentification B. Dot11 :
5.
l'association de 802.11 permet au Point d'accès d'allouer des ressources pour et de synchroniseravec un NIC de radio. Un NIC commence le processus d'association en envoyant une demande
d'association à un Point d'accès. Cette trame diffuse des informations sur le NIC (par exemple,débits de données pris en charge) et le SSID du réseau qu'il souhaite associer avec.
demande d'association A. Dot11 :
Après réception de la demande d'association, le Point d'accès envisage d'associer avec le NIC, et(si reçu) réserve l'espace mémoire et établit un ID d'association pour le NIC.
réponse d'association B. Dott11 :
6. la prise de contact 4-way, pendant cette phase PTK est créée, PSK est utilisée comme PMKpour construire ces valeurs :
a. AP envoie la trame d'authentification de 802.1x avec ANonce, STA a maintenant toutes lesinformations pour construire PTK :
b. STA répond avec la trame d'authentification de 802.1x avec SNonce et MIC :
la trame de 802.1x d'élaborations C. AP avec la nouvelle MIC et le GTK avec le numéro deséquence, ce numéro de séquence sera utilisée dans la prochaine trame de Multidiffusion oud'émission, de sorte que le STA de réception puisse exécuter la détection de base de rediffusion :
d. STA envoie l'ACK :
De ce point toutes les données sont envoyées chiffrées.
WPA2-PSK(AES/TKIP)
Le processus si assez les mêmes que dans la section précédente, je mettront en valeurseulement les informations qui sont différentes.
1. La trame de Gestion WPA2 AP incluent l'élément RSN que la suite incluse de chiffrementd'unicast, les informations AKM et les GTK chiffrent la suite (si AES et TKIP sont sélectionnés,alors moins de méthode de chiffrement renforcé sera utilisée pour GTK).
2. Pendant les trames de la prise de contact 4-way contenez les informations de version pourle WPA2 dans des domaines de « type ».
Remarque: vous pouvez déchiffrer le trafic Sans fil chiffré par WEP/WPA-PSK/WPA2-PSK si destrames d'échange de clé de la prise de contact 4-way sont incluses dans le suivi et PSK estconnu.
Afin de chiffrer le trafic Sans fil dans le 802.11 ouvert de Preferences-> Protocols->IEEE dewireshark et fournir des informations PSK et sélectionner « l'option de déchiffrement d'enable ».
Pour déchiffrer le trafic chiffré par WPA/WPA2 spécifiez la clé dans le format :
« wpa-psk : PSK : SSID »
Remarque: Afin de filtrer le trafic WLAN de la particularité STA dans le wireshark vous pourriez
utiliser l'option « de statistique WLAN ».
Afin de filtrer le trafic de la particularité STA allez aux « statistiques - > le trafic WLAN », de la listede SSID SSID correspondant choisi STA est associé avec, et appliquer le filtre basé sur le STA.
Comment déchiffrer des données WPA2 AES en fonction au-dessus des capturesde paquet d'air avec Wireshark
Conditions requises :
Capture à être sur le format .pcap.1.Des vues doivent présent dans le format de 802.11.2.Connaissez le nom SSID et le PSK pour le WLAN duquel au-dessus de l'air la capture a étécollectée.
3.
Clé : Capturez 4 la prise de contact de manière EAPOL 4.4.Le processus le plus précis pour faire ceci est de commencer la capture et puis De-d'authentifierle client afin d'attraper le processus de zéro, signifiant que 4 la prise de contact de la manièreEAPOL sera incluse.
Si les trames sont dans un autre format, comme PEEKREMOTE on l'exigera pour les décoder,sectionnent s'il vous plaît en haut sur la façon dont décoder des trames PEEKREMOTE.
Process
Une fois la capture a été ouverte en Wireshark vont « éditent » – le menu de « préférences ».
Allez aux « protocoles » le menu et recherchez le « IEEE 802.11 »
Du contrôle de section d'IEEE 802.11 la case « de déchiffrement d'enable » et cliquent sur en
fonction « éditent… » bouton à côté d'étiquette « de clés de déchiffrement ».
Une fois dans « éditez » le menu cliquent sur en fonction le bouton Nouveau du côté gauche de lafenêtre.
Du type principal choisissez le « wpa-psk ».
Afin d'obtenir la clé il est important de connaître le nom précis du SSID et du PSK pour lequel leprocessus de déchiffrage est conduit.
Ayez ces deux valeurs et allez au prochain site Web générer la clé basée sur ces deux éléments.
Générateur WPA PSK (clé crue)●
Introduisez dedans le nom SSID et le PSK sur les champs spécifiés, chaîne étant tapée dans leschamps doit être précis comme définit pour le SSID et pour PSK.
Une fois que des valeurs ont été définies, cliquez sur en fonction « génèrent PSK », ceci génèrerala clé, la copie et retourne à Wireshark.
Collez la clé qui a été générée dans le champ « principal », clic « CORRECT ».
Cliquez sur alors « s'appliquent » aux « préférences » écran ». La capture commencera à êtredécodée.
Une fois que décodé lui soyez possible pour voir le contenu des paquets de 802.11 qui ont étéprécédemment chiffrés.
Entreprise WPA/WPA2
1) WPA(TKIP)/WPA2(AES) avec le dot1x (PEAP)
Ce processus suit les mêmes étapes comme précédent excepté la méthode AKM et PTK/GTK dedérivation et des attributs annoncés par AP dans des trames de Gestion de 802.11.
a. Dans cet exemple AP annonce WPA(TKIP)/WPA2(AES) avec l'authentification de dot1x,des attributs de balise RSN et WPA pour AKM contiennent la valeur WPA, si en casd'authentification PSK ce champ contient « PSK ». Également dans cet exemple le TKIP est utilisépour le WPA et l'AES est utilisé pour le WPA2
b. STA sélectionne une de suites de méthodes et de chiffrement d'authentification annoncées parAP. Dans ce cas le WPA2 avec AES a été sélectionné, cela peut être vu dans des paramètres IERSN.
c. Après que l'authentification réussie de dot1x de l'association dot11 ait lieu, pendant ceprocessus nous pouvons voir que quelle méthode d'EAP est utilisée par STA pourl'authentification et les certificats permutez les informations entre le suppliant et le serveur d'AAA.
d. Après que l'authentification réussie PMK de dot1x trasmited à AP dans « Access-recevez »le message du serveur d'AAA et le même PMK est dérivé sur le client, la prochaine prise decontact 4-way a lieu et établissement PTK et GTK.
Échange de Radius entre le serveur WLC et d'AAA :
Diagramme de flux général :
WPA(TKIP)/WPA2(AES) avec le dot1x (EAP-TLS)
La différence pour ce type d'authentification comparé au précédent est que le client fournit soncertificat dans le message de « client bonjour » et l'authentification mutuelle est exécutée entre leclient et le serveur d'AAA basés sur des Certificats.
Échange d'EAP entre STA et WLC :
Échange de Radius entre le serveur WLC et d'AAA :
Diagramme de flux général :
2) WPA(TKIP)/WPA2(AES) avec le dot1x (JEÛNEZ)
Seulement l'étape d'authentification de dot1x est comparer différent de bit à l'exemple précédent.Après que l'authentification réussie de dot1x de l'association dot11 ait lieu, AP envoie la demanded'identité de dot1x au STA et à STA fournit la réponse d'identité, la réponse dépend de quelravitaillement PAC est été en service (ravitaillement PAC d'intrabande (phase 0) ou ravitaillementhors bande PAC). En cas de ravitaillement d'intrabande le PAC est envoyé au client du serveurd'AAA, une fois que le client a le PAC qu'il va à l'EAP-FAST phase1 des débuts de cet de point deTLS établissement de tunnel (phase 1)
Après que le tunnel de TLS soit la méthode d'authentification intérieure établie (débuts de phase2) à l'intérieur de tunnel chiffré. Sur l'authentification réussie PMK est introduit « Access-reçoit » lemessage à AP de serveur d'AAA, la même clé est dérivé a basé sur l'échange de dot1x sur STA.Cette clé (PMK) est utilisée pour calculer PTK pendant la prise de contact 4-way qui sera utilisée àla communication protégée entre STA et AP.
Diagramme de flux général :
Analyse de capture de renifleur de 802.11 – Multidiffusion
Introduction
Reniflement de Multidiffusion
Solution
Le contrôleur exécute la multifusion en deux modes :
Mode d'Unicast — En ce mode, les unicasts de contrôleur chaque paquet de multidiffusion àchaque AP associé au contrôleur. Ce mode est inefficace mais pourrait être exigé sur lesréseaux qui ne prennent en charge pas la multifusion.
●
Mode de Multidiffusion — En ce mode, le contrôleur envoie des paquets de multidiffusion à ungroupe de multidiffusion LWAPP. Cette méthode réduit au-dessus sur le processeur decontrôleur et décale le travail de la réplication de paquet à votre réseau, qui estbeaucoup plus efficace que la méthode d'unicast.
●
Vous pouvez activer le mode de Multidiffusion utilisant le GUI ou le CLI de contrôleur.●
Surveillance IGMP sur WLC
Dans la version 4.2 de logiciel contrôleur, la surveillance IGMP est introduite pour diriger mieuxdes paquets de multidiffusion. Quand cette caractéristique est activée, le contrôleur recueille desrapports IGMP des clients, traite les états, crée de seules identifications groupe de Multidiffusion(MGIDs) des rapports IGMP après avoir vérifié l'adresse de multidiffusion de la couche 3 et lenombre VLAN, et envoie les rapports IGMP au commutateur d'infrastructure. Le contrôleur envoieces états avec l'adresse source comme adresse d'interface sur laquelle elle a reçu les états desclients.
Le contrôleur met à jour alors la table du Point d'accès MGID sur AP avec l'adresse MAC declient. Quand le contrôleur reçoit le trafic de multidiffusion pour un groupe de multidiffusionparticulier, il en avant il à tous les aps. Cependant, seulement ces aps qui ont les clients actifsécoutant ou abonnés à ce groupe de multidiffusion pour envoyer le trafic de multidiffusion sur ceWLAN particulier. Des paquets IP sont expédiés avec un MGID qui est seul pour un d'entréeVLAN et le groupe de multidiffusion de destination. Des paquets de multidiffusion de la couche 2sont expédiés avec un MGID qui est seul pour l'interface d'entrée.
Remarque: La surveillance IGMP n'est pas prise en charge sur les contrôleurs de gamme 2000,les contrôleurs de gamme 2100, ou le module réseau Sans fil de contrôleur LAN de Cisco pourdes Integrated Services Router de Cisco.
Instructions pour l'usage du mode de Multidiffusion
Utilisez ces instructions quand vous activez le mode de Multidiffusion sur votre réseau :
La solution de réseau sans fil unifié Cisco utilise quelques plages d'adresses IP pour les butsspécifiques. Maintenez ces plages dans l'esprit quand vous configurez un groupe de multidiffusion: Bien que non recommandée, n'importe quelle adresse de multidiffusion peut être assignée augroupe de multidiffusion LWAPP ; ceci inclut les adresses de multidiffusion locales de lien réservéutilisées par OSPF, EIGRP, PIM, HSRP, et d'autres protocoles de Multidiffusion.
Cisco recommande que des adresses de multidiffusion soient assignées du blocadministrativement scoped 239/8. L'IANA a réservé la plage de 239.0.0.0-239.255.255.255 en tantqu'adresses administrativement scoped pour l'usage dans les domaines privés de Multidiffusion.Voyez la note pour des restrictions supplémentaires. Ces adresses sont semblables en nature auxchaînes privées réservées d'unicast sur IP, telles que 10.0.0.0/8, définies dans le RFC 1918. Lesadministrateurs réseau sont libres pour utiliser les adresses de multidiffusion dans cette plage àl'intérieur de leur domaine sans crainte de conflit avec d'autres ailleurs en Internet. Cetadministratif ou espace d'adressage privé doit être utilisé au sein de l'entreprise et son congé ouentrée bloqués du (AS) autonome de domaine.
Remarque: N'utilisez pas la plage d'adresses 239.0.0.X ou la plage d'adresses 239.128.0.X. Lesadresses dans ces plages superposent avec les adresses MAC locales de lien et inondent tousles ports de commutateur, même avec la surveillance IGMP activée.
Cisco recommande que les administrateurs de réseau d'entreprise autres subdivisent cette plaged'adresses en plus petites portées administratives géographiques dans le réseau d'entreprise pourlimiter la « portée » des applications particulières de Multidiffusion. Ceci empêche le trafic demultidiffusion de haut débit de partir d'un campus (où la bande passante est abondante) etcongestionnant les liens WAN. Il tient compte également du filtrage efficace de la Multidiffusion debande passante élevée d'atteindre le contrôleur et le réseau Sans fil.
Quand vous activez le mode de Multidiffusion sur le contrôleur, vous devez configurer uneadresse de groupe de multidiffusion LWAPP sur le contrôleur. Les aps s'abonnent au groupe demultidiffusion LWAPP utilisant le Protocole IGMP (Internet Group Management Protocol).
Les aps de Cisco 1100, 1130, 1200, 1230, et 1240 utilisent des IGMP version 1, 2, et 3. Cependant, la gamme Cisco 1000 aps emploie seulement IGMP v1 pour joindre le groupe demultidiffusion.
●
Le mode de Multidiffusion fonctionne seulement en mode de la couche 3 LWAPP.●
Les aps dans le mode moniteur, le mode de renifleur, ou le mode escroc de détecteur ne●
joignent pas l'adresse de groupe de multidiffusion LWAPP.Quand vous utilisez les contrôleurs qui exécutent la version 4.1 ou antérieures, vous pouvezutiliser la même adresse de multidiffusion sur tous les contrôleurs. Si vous utilisez lescontrôleurs qui exécutent la version 4.2 ou ultérieures, le groupe de multidiffusion LWAPPconfiguré sur les contrôleurs doit être différent pour chaque contrôleur utilisé sur le réseau.
●
Si vous utilisez des contrôleurs avec la version 4.1 ou antérieures, le mode deMultidiffusion ne fonctionne pas à travers des événements de mobilité d'intersubnet, tels quele Tunnellisation d'invité, la site-particularité VLAN, ou le dépassement d'interface qui utiliseRADIUS. Le mode de Multidiffusion fonctionne dans ces événements de mobilité de sous-réseau quand vous désactivez les configurations de la couche 2 IGMP snooping/CGMP sur lelan câblée.
●
Dans les versions ultérieures, c.-à-d., 4.2 ou plus tard, le mode de Multidiffusion ne fonctionne pasà travers des événements de mobilité d'intersubnet, tels que le Tunnellisation d'invité. Il fait,cependant, fonctionner avec l'interface ignore cette utilisation RADIUS (mais seulement quand lasurveillance IGMP est activée) et avec la site-particularité VLAN (groupe VLAN de Point d'accès).
Le contrôleur relâche tous les paquets de multidiffusion envoyés aux numéros de port UDP12222, 12223, et 12224. Assurez-vous que les applications de Multidiffusion sur votreréseau n'utilisent pas ces numéros de port.
●
Le trafic de multidiffusion est transmis à 6 Mbits/s dans un réseau 802.11a. Par conséquent,si la tentative plusieurs WLAN de transmettre à 1.5 Mbits/s, perte de paquets se produit.Ceci casse la session de Multidiffusion.
●
Configurant la Multidiffusion (utilisant le mode de Multidiffusion-Multidiffusion)
Mutlicast choisi - La Multidiffusion et configurent votre groupe, chaque WLC à votre groupe demobilité devrait utiliser une adresse unique.
Activez le routage de Multidiffusion sur le périphérique L3 et l'enable PIM sur les VLAN suivants. Gestion, AP-manager, le VLAN sur lequel AP sont dedans et aussi bien que le VLAN où lescleints qui recevront le flot de Multidiffusion. Exemple :
VLAN 40 est la Gestion WLC, VLAN 40 est pour AP, et VLAN 50 est où mes clients sont. Ainsisous tous les ces SVI je dois émettre les commandes de multicst.
Émettez toute la commande show de Multidiffusion de vérifier, exemple : show ip mroute, show ipigmp groups à valider que le groupe pour AP est établi correctement.
Nous pouvons également activer IGMP Snoping sur le WLC. Le WLC le tiendra est de posséder latable pillante pour les messages IGMP qu'elle reçoit, de sorte qu'elle sache qui demande le flot.
Sur le contrôleur LAN Sans fil
Activez la Multidiffusion globale sur le WLC et activez la Multidiffusion – mode de Multidiffusion surle WLC
Une fois que le client envoie la Multidiffusion joignez, nous verra le ci-dessous sur le WLC MGID
Configuration de Multidiffusion sur le réseau câblé
Configurez la Multidiffusion conduisant globalement et puis activez PIM sur chaque interface.
passage 6504-WLCBUG#sh | Multidiffusion i
ip multicast-routing
6504-WLCBUG#sh vla 50 du passage international
Configuration de construction…
Configuration en cours : 119 octets
!
interface Vlan50
pool DHCP VLAN //de //WLAN de description
IP address 172.16.1.1 255.255.255.0
dense-mode d'ip pim
extrémité
6504-WLCBUG#sh vla 40 du passage international
Configuration de construction…
Configuration en cours : 121 octets
!
interface Vlan40
VLAN //de Gestion de //de description
IP address 10.105.135.136 255.255.255.128
dense-mode d'ip pim
extrémité
interface vlan 40 de l'ip pim 6504-WLCBUG#sh
Requête DR de l'interface Ver/Nbr d'adresse
Compte Intvl de mode DR antérieurement
10.105.135.136 Vlan40 v2/D 0 30 1 10.105.135.136
interface vlan 50 de l'ip pim 6504-WLCBUG#sh
Requête DR DR de l'interface Ver/Nbr d'adresse
Compte Intvl de mode antérieurement
172.16.1.1 Vlan50 v2/D 0 30 1 172.16.1.1
ip mroute 6504-WLCBUG#sh
Tableau de routage de Protocole IP Multicast
Indicateurs : D - Dense, S - Clairsemé, B - Groupe de Bidir, s - Groupe de SSM, C - Connecté,
L - Gens du pays, P - Taillés, R - positionnement de RP-bit, F - enregistrent l'indicateur,
T - positionnement de SPT-bit, J - joignez le SPT, M - l'entrée créée par MSDP,
X - Le proxy joignent l'exécution de temporisateur, A - Candidat pour la publicité de MSDP,
U - URD, I - État reçu d'hôte spécifique de source,
Z - Tunnel de Multidiffusion, z - Expéditeur de groupe de mdt data,
Y - Groupe joint de mdt data, y - Envoyant au mdt data le groupe
V - RD et vecteur, v - Vecteur
Indicateurs sortants d'interface : H - Matériel commuté, A - Affirmez le gagnant
Temporisateurs : La disponibilité/expire
État d'interface : Interface, Prochain-saut ou VCD, état/mode
(*, 239.255.255.255), 4d17h/00:02:03, RP 0.0.0.0, diminue : C.C
Interface entrante : Null, nbr 0.0.0.0 RPF
Liste d'interfaces en sortie :
Vlan40, expédient/dense, 4d17h/00:00:00
(*, 239.254.0.3), 2w1d/00:02:07, RP 0.0.0.0, diminue : C.C
Interface entrante : Null, nbr 0.0.0.0 RPF
Liste d'interfaces en sortie :
Vlan40, expédient/dense, 3d10h/00:00:00
(*, 224.0.1.40), 2w1d/00:02:13, RP 0.0.0.0, diminue : DCL
Interface entrante : Null, nbr 0.0.0.0 RPF
Liste d'interfaces en sortie :
Vlan11, expédient/dense, 2w1d/00:00:00
Captures de paquet
Topologie
Ordinateur câblé ----------- Commutateur 6500 -------- WISM ------- AP)))) (((((client sans fil
VLAN 50 du VLAN 40 du VLAN 40 du VLAN 40 du VLAN 50
Outil de générateur du trafic MCAST
est utilisé sur l'ordinateur câblé pour générer le flot de Multidiffusion – les paquets UDP continus.
Capture de câble de paquet de Wireshark sur le générateur MCAST
Capture de Windows Netmon sur le générateur de paquet de Mcast
L'outil de récepteur MCAST est utilisé sur le client sans fil pour recevoir le trafic de multidiffusionde la source (ordinateur câblé).
Captures Wireshark sur l'interface Sans fil du client sans fil
Capture de Netmon sur l'interface Sans fil du client sans fil
Analyse de capture de renifleur de 802.11 – Authentification Web
IntroductionRenifleur d'AUTHENTIFICATION WEB sur le dépannage de Cisco WLC
Procédé d'authentification Web
L'authentification Web est une fonctionnalité de sécurité de la couche 3 qui fait ne pas permettre le contrôleur letrafic IP, excepté les paquets liés aux dn de paquets liés au DHCP, d'un client particulier jusqu'à ce que ceclient ait correctement fourni un nom d'utilisateur valide et un mot de passe à une exception du trafic permisepar l'ACL de Pre-Auth. L'authentification Web est la seule stratégie de sécurité qui permet au client d'obtenir uneadresse IP avant l'authentification. Il s'agit d'une méthode d'authentification simple qui ne requiert aucun utilitairedemandeur ou client. L'authentification Web peut être faite localement sur un WLC ou via un serveur RADIUS.L'authentification Web est généralement utilisée par les clients qui veulent déployer un réseau d'accès invité.
Les débuts d'authentification Web quand le contrôleur intercepte le premier HTTP de TCP (port 80)OBTIENNENT le paquet du client. Pour que le navigateur Web du client obtienne ceci loin, le client doit d'abordobtenir un IP address, et fait une traduction de l'URL à l'adresse IP (résolution de DN) pour le navigateur Web.Ceci fait le navigateur Web connaître quelle adresse IP pour envoyer le HTTP OBTENEZ.
Quand l'authentification Web est configurée sur le WLAN, le contrôleur bloque tout le trafic (jusqu'à ce que laprocédure d'authentification est terminée) du client, excepté le DHCP et le trafic DNS. Quand le client envoie lepremier HTTP ARRIVEZ au port TCP 80, le contrôleur réoriente le client à https:1.1.1.1/login.html pour letraitement. Ce processus évoque par la suite la page Web de procédure de connexion.
Vous ouvrez le navigateur Web et saisissez un URL, par exemple, http://www.google.com. Le clientenvoie une demande DNS liée à cet URL afin d'obtenir l'IP pour la destination. WLC saute la demandede DN au serveur DNS et le serveur DNS répond de retour avec des DN répondent, qui contientl'adresse IP de la destination www.google.com, qui consécutivement est expédiée aux clients sans fil
●
Le client tente alors d'établir une connexion TCP avec l'adresse IP de destination. Il envoie un paquet desynchronisation de TCP destiné à l'adresse IP de www.google.com.
●
Le WLC a des règles configurées pour le client et par conséquent peut agir en tant que proxy pourwww.google.com. Il renvoie un paquet du TCP SYN-ACK au client avec la source comme adresse IP dewww.google.com. Le client renvoie un paquet TCP ACK afin de se terminer la connexion TCP en troistemps. Une fois cela terminé, la connexion TCP est entièrement établie.
●
Le client envoie un HTTP OBTIENNENT le paquet destiné à www.google.com. Le WLC intercepte ce●
paquet, l'envoie pour la manipulation de redirection. La passerelle d'application HTTP prépare un corpsen HTML et le renvoie comme réponse au HTTP GET demandé par le client. Ce HTML incite le clientpour aller à l'URL par défaut de page Web du WLC, par exemple, <Virtual-Server-IP>/login.html.
Le client ferme la connexion TCP avec l'adresse IP, par exemple www.google.com.●
Maintenant le client veut aller à http://1.1.1.1/login.html et ainsi il essaye d'ouvrir une connexion TCPavec l'adresse IP virtuelle du WLC. Il envoie un paquet TCP SYN au WLC pour 1.1.1.1.
●
Le WLC répond par un TCP SYN-ACK, et le client renvoie un TCP ACK au WLC afin de terminer laliaison.
●
Le client envoie un HTTP OBTIENNENT pour /login.html a destiné à 1.1.1.1 afin de demander pour lapage de connexion.
●
Cette demande est permise jusqu'au serveur Web du WLC, qui répond avec la page de connexion pardéfaut. Le client reçoit la page de connexion sur la fenêtre du navigateur, d'où l'utilisateur peut procéderà la connexion.
●
Configuration WebauthPermet d'avancer et configurer.
TOPOLOGIE
Un client sans fil est connecté à AP qui est enregistré au WLC qui est connecté au commutateur, qui estconnecté au routeur où les DN, routage, la Connectivité L3 est configuré.
Routeur à agir en tant que DN
3825#sh run | i host hostname 3825 ip host www.google.com 200.200.200.1 ip hostwww.yahoo.com 200.200.200.2 ip host www.facebook.com 200.200.200.3 3825#sh run | idns dns-server 16.16.16.1 ip dns server 3825#sh run | b dhcp ip dhcp excluded-address 16.16.16.1 16.16.16.5 ! ip dhcp pool webauth-sniffer network 16.16.16.0255.255.255.0 default-router 16.16.16.1 dns-server 16.16.16.1
Configuration sur le WLCAllez au WLAN et puis NOUVEAU et écrivez les détails●
Configurez le WLAN pour AUCUN L2 authentique●
Configurez le WLAN pour L3 authentique avec WEBAUTH●
Après config, le yoo devrait voir comme ceci●
Allez à l'onglet Sécurité et créez les utilisateurs du réseau locaux●
Entrez dans les qualifications de clients●
Allez à l'ONGLET de Sécurité >> de Webauth et a choisi le Web le == qu'authentique de type interne etexterne réorientent/coutume
●
Connectez le client●
Après avoir obtenu l'adresse IP, ouvrez le navigateur et saisissez l'adresse Web.●
Les clients obtient réorienté à la page authentique de Web où dedans nous écrivons le nom d'utilisateuret mot de passe
●
Après procédure de connexion réussie●
Obtenir de client réorienté à la page de réorientation●
Voici la capture de paquet quand les essais de client à connecter
Le client fait :
DHCP●
DNS●
HTTP GET●
L'adresse IP du client est 16.16.16.7. Le client a résolu l'URL au web server qu'il accédait à 200.200.200.1.Comme vous pouvez voir, le client a fait la prise de contact à trois voies pour commencer la connexion TCP et apuis envoyé un HTTP OBTIENNENT le paquet commençant par le paquet 576. Le contrôleur intercepte lespaquets et répond avec le code 200. Le paquet du code 200 a un URL de réorientation dans lui :
Le client obtient la page de connexion HTTPS
Le client reçoit le certificat
Le client commence alors la connexion HTTPS à l'URL de réorientation qui l'envoie à 1.1.1.1, qui est l'IPaddress virtuel du contrôleur. Le client doit valider le certificat de serveur ou l'ignorer afin d'apporter le tunnelSSL. Ici les essais de client pour accéder à Facebook.com après ses de session TCP débuts réussisauthentiques et sans problème.
Voici le debug de client quand le le client a essayé seconnecter
Cisco Controller) > (Cisco Controller) >show debug MAC address................................ 00:21:5c:8c:c7:61 Debug Flags Enabled: dhcp packetenabled. dot11 mobile enabled. dot11 state enabled dot1x events enabled. dot1xstates enabled. pem events enabled. pem state enabled. CCKM client debug enabled.webauth redirect enabled. May 18 13:43:50.568: 00:21:5c:8c:c7:61 Adding mobile onLWAPP AP a8:b1:d4:c4:35:b0(0) *apfMsConnTask_0: May 18 13:43:50.568:00:21:5c:8c:c7:61 Association received from mobile on AP a8:b1:d4:c4:35:b0*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 0.0.0.0 START (0) Changing
ACL 'MNGMNT' (ACL ID 0) ===> 'none' (ACL ID 255) --- (caller apf_policy.c:1633)
*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 Applying site-specific
IPv6 override for station 00:21:5c:8c:c7:61 - vapId 1, site 'default-group',
interface 'webauth-sniffer' *apfMsConnTask_0: May 18 13:43:50.568:00:21:5c:8c:c7:61 Applying IPv6 Interface Policy for station 00:21:5c:8c:c7:61 -
vlan 300, interface id 4, interface 'webauth-sniffer' *apfMsConnTask_0: May 1813:43:50.568: 00:21:5c:8c:c7:61 STA - rates (8): 130 132 139 150 12 18 24 36 0 0 0
0 0 0 0 0 *apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 STA - rates(12): 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0 *apfMsConnTask_0: May 1813:43:50.568: 00:21:5c:8c:c7:61 0.0.0.0 START (0) Initializing policy
*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 0.0.0.0 START (0) Change
state to AUTHCHECK (2) last state AUTHCHECK (2) *apfMsConnTask_0: May 1813:43:50.568: 00:21:5c:8c:c7:61 0.0.0.0 AUTHCHECK (2) Change state to
L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4) *apfMsConnTask_0: May 1813:43:50.568: 00:21:5c:8c:c7:61 0.0.0.0 L2AUTHCOMPLETE (4) DHCP Not required on AP
a8:b1:d4:c4:35:b0 vapId 1 apVapId 1for this client *apfMsConnTask_0: May 1813:43:50.568: 00:21:5c:8c:c7:61 Not Using WMM Compliance code qosCap 00
*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 0.0.0.0 L2AUTHCOMPLETE (4)
Plumbed mobile LWAPP rule on AP a8:b1:d4:c4:35:b0 vapId 1 apVapId 1
*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 0.0.0.0 L2AUTHCOMPLETE (4)Change state to DHCP_REQD (7) last state DHCP_REQD (7) *apfMsConnTask_0: May 1813:43:50.568: 00:21:5c:8c:c7:61 apfMsAssoStateInc *apfMsConnTask_0: May 1813:43:50.568: 00:21:5c:8c:c7:61 apfPemAddUser2 (apf_policy.c:223) Changing state
for mobile 00:21:5c:8c:c7:61 on AP a8:b1:d4:c4:35:b0 from Idle to Associated
*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 Scheduling deletion of
Mobile Station: (callerId: 49) in 1800 seconds *apfMsConnTask_0: May 1813:43:50.569: 00:21:5c:8c:c7:61 Sending Assoc Response to station on BSSID
a8:b1:d4:c4:35:b0 (status 0) ApVapId 1 Slot 0 *apfMsConnTask_0: May 1813:43:50.569: 00:21:5c:8c:c7:61 apfProcessAssocReq (apf_80211.c:5272) Changing
state for mobile 00:21:5c:8c:c7:61 on AP a8:b1:d4:c4:35:b0 from Associated to
Associated *apfReceiveTask: May 18 13:43:50.570: 00:21:5c:8c:c7:61 0.0.0.0DHCP_REQD (7) State Update from Mobility-Incomplete to Mobility-Complete, mobility
role=Local, client state=APF_MS_STATE_ASSOCIATED *apfReceiveTask: May 1813:43:50.570: 00:21:5c:8c:c7:61 0.0.0.0 DHCP_REQD (7) pemAdvanceState2 4494, Adding
TMP rule *apfReceiveTask: May 18 13:26:46.570: 00:21:5c:8c:c7:61 0.0.0.0 DHCP_REQD(7) Adding Fast Path rule type = Airespace AP - Learn IP address on APa8:b1:d4:c4:35:b0, slot 0, interface = 1, QOS = 0 ACL Id = 255, Jumbo Fr*apfReceiveTask: May 18 13:43:50.570: 00:21:5c:8c:c7:61 0.0.0.0 DHCP_REQD (7) Fast
Path rule (contd...) 802.1P = 0, DSCP = 0, TokenID = 1506 IPv6 Vlan = 300, IPv6
intf id = 4 *apfReceiveTask: May 18 13:43:50.570: 00:21:5c:8c:c7:61 0.0.0.0DHCP_REQD (7) Successfully plumbed mobile rule (ACL ID 255) *pemReceiveTask: May 1813:43:50.570: 00:21:5c:8c:c7:61 0.0.0.0 Added NPU entry of type 9, dtlFlags 0x0
*pemReceiveTask: May 18 13:43:50.571: 00:21:5c:8c:c7:61 Sent an XID frame *DHCPSocket Task: May 18 13:43:50.689: 00:21:5c:8c:c7:61 DHCP received op BOOTREQUEST
(1) (len 310,vlan 0, port 1, encap 0xec03) *DHCP Socket Task: May 18 13:43:50.689:00:21:5c:8c:c7:61 DHCP processing DHCP DISCOVER (1) *DHCP Socket Task: May 1813:43:50.689: 00:21:5c:8c:c7:61 DHCP op: BOOTREQUEST, htype: Ethernet, hlen: 6,
hops: 0 *DHCP Socket Task: May 18 13:43:50.689: 00:21:5c:8c:c7:61 DHCP xid:0xf665da29 (4133870121), secs: 0, flags: 0 *DHCP Socket Task: May 18 13:43:50.689:00:21:5c:8c:c7:61 DHCP chaddr: 00:21:5c:8c:c7:61 *DHCP Socket Task: May 1813:43:50.689: 00:21:5c:8c:c7:61 DHCP ciaddr: 0.0.0.0, yiaddr: 0.0.0.0 *DHCP SocketTask: May 18 13:43:50.689: 00:21:5c:8c:c7:61 DHCP siaddr: 0.0.0.0, giaddr: 0.0.0.0
*DHCP Socket Task: May 18 13:43:50.689: 00:21:5c:8c:c7:61 DHCP requested ip:
64.103.236.44 *DHCP Socket Task: May 18 13:43:50.689: 00:21:5c:8c:c7:61 DHCPsuccessfully bridged packet to DS *DHCP Socket Task: May 18 13:43:50.690:00:21:5c:8c:c7:61 DHCP received op BOOTREPLY (2) (len 308,vlan 300, port 1, encap
0xec00) *DHCP Socket Task: May 18 13:43:50.690: 00:21:5c:8c:c7:61 DHCP processingDHCP OFFER (2) *DHCP Socket Task: May 18 13:43:50.690: 00:21:5c:8c:c7:61 DHCP op:BOOTREPLY, htype: Ethernet, hlen: 6, hops: 0 *DHCP Socket Task: May 1813:43:50.690: 00:21:5c:8c:c7:61 DHCP xid: 0xf665da29 (4133870121), secs: 0, flags:
0 *DHCP Socket Task: May 18 13:43:50.690: 00:21:5c:8c:c7:61 DHCP chaddr:00:21:5c:8c:c7:61 *DHCP Socket Task: May 18 13:43:50.691: 00:21:5c:8c:c7:61 DHCPciaddr: 0.0.0.0, yiaddr: 16.16.16.7 *DHCP Socket Task: May 18 13:43:50.691:00:21:5c:8c:c7:61 DHCP siaddr: 0.0.0.0, giaddr: 0.0.0.0 *DHCP Socket Task: May 1813:43:50.691: 00:21:5c:8c:c7:61 DHCP server id: 16.16.16.1 rcvd server id:
16.16.16.1 *DHCP Socket Task: May 18 13:43:50.691: 00:21:5c:8c:c7:61 DHCPsuccessfully bridged packet to STA *DHCP Socket Task: May 18 13:43:50.704:00:21:5c:8c:c7:61 DHCP received op BOOTREQUEST (1) (len 314,vlan 0, port 1, encap
0xec03) *DHCP Socket Task: May 18 13:43:50.704: 00:21:5c:8c:c7:61 DHCP processing
DHCP REQUEST (3) *DHCP Socket Task: May 18 13:43:50.704: 00:21:5c:8c:c7:61 DHCP op:BOOTREQUEST, htype: Ethernet, hlen: 6, hops: 0 *DHCP Socket Task: May 1813:43:50.704: 00:21:5c:8c:c7:61 DHCP xid: 0xf665da29 (4133870121), secs: 0, flags:
0 *DHCP Socket Task: May 18 13:43:50.704: 00:21:5c:8c:c7:61 DHCP chaddr:00:21:5c:8c:c7:61 *DHCP Socket Task: May 18 13:43:50.704: 00:21:5c:8c:c7:61 DHCPciaddr: 0.0.0.0, yiaddr: 0.0.0.0 *DHCP Socket Task: May 18 13:43:50.705:00:21:5c:8c:c7:61 DHCP siaddr: 0.0.0.0, giaddr: 0.0.0.0 *DHCP Socket Task: May 1813:43:50.705: 00:21:5c:8c:c7:61 DHCP requested ip: 16.16.16.7 *DHCP Socket Task:May 18 13:43:50.705: 00:21:5c:8c:c7:61 DHCP server id: 16.16.16.1 rcvd server id:
16.16.16.1 *DHCP Socket Task: May 18 13:43:50.705: 00:21:5c:8c:c7:61 DHCPsuccessfully bridged packet to DS *DHCP Socket Task: May 18 13:43:50.705:00:21:5c:8c:c7:61 DHCP received op BOOTREPLY (2) (len 308,vlan 300, port 1, encap
0xec00) *DHCP Socket Task: May 18 13:43:50.705: 00:21:5c:8c:c7:61 DHCP processingDHCP ACK (5) *DHCP Socket Task: May 18 13:43:50.705: 00:21:5c:8c:c7:61 DHCP op:BOOTREPLY, htype: Ethernet, hlen: 6, hops: 0 *DHCP Socket Task: May 1813:43:50.706: 00:21:5c:8c:c7:61 DHCP xid: 0xf665da29 (4133870121), secs: 0, flags:
0 *DHCP Socket Task: May 18 13:43:50.706: 00:21:5c:8c:c7:61 DHCP chaddr:00:21:5c:8c:c7:61 *DHCP Socket Task: May 18 13:43:50.706: 00:21:5c:8c:c7:61 DHCPciaddr: 0.0.0.0, yiaddr: 16.16.16.7 *DHCP Socket Task: May 18 13:43:50.706:00:21:5c:8c:c7:61 DHCP siaddr: 0.0.0.0, giaddr: 0.0.0.0 *DHCP Socket Task: May 1813:43:50.706: 00:21:5c:8c:c7:61 DHCP server id: 16.16.16.1 rcvd server id:
16.16.16.1 *DHCP Socket Task: May 18 13:43:50.706: 00:21:5c:8c:c7:61 Static IPclient associated to interface webauth-sniffer which can support client subnet.
*DHCP Socket Task: May 18 13:43:50.708: 00:21:5c:8c:c7:61 Adding Web RuleID 22 for
mobile 00:21:5c:8c:c7:61 *DHCP Socket Task: May 18 13:43:50.708: 00:21:5c:8c:c7:6116.16.16.7 DHCP_REQD (7) Change state to WEBAUTH_REQD (8) last state WEBAUTH_REQD(8) *apfMsConnTask_0: May 18 13:44:43.347: 00:21:5c:8c:c7:61 16.16.16.7WEBAUTH_REQD (8) Fast Path rule (contd...) 802.1P = 0, DSCP = 0, TokenID = 1506
IPv6 Vlan = 300, IPv6 intf id = 4 *apfMsConnTask_0: May 18 13:44:43.347:00:21:5c:8c:c7:61 16.16.16.7 WEBAUTH_REQD (8) Successfully plumbed mobile rule (ACL
ID 255) (Cisco Controller) >*emWeb: May 18 13:47:39.321: 00:21:5c:8c:c7:61 Usernameentry (Cisco) created for mobile, length = 5 *emWeb: May 18 13:47:39.321:00:21:5c:8c:c7:61 Username entry (Cisco) created in mscb for mobile, length = 5
*emWeb: May 18 13:47:39.322: 00:21:5c:8c:c7:61 16.16.16.7 WEBAUTH_REQD (8) Change
state to WEBAUTH_NOL3SEC (14) last state WEBAUTH_NOL3SEC (14) *emWeb: May 1813:47:39.322: 00:21:5c:8c:c7:61 apfMsRunStateInc *emWeb: May 18 13:47:39.322:00:21:5c:8c:c7:61 16.16.16.7 WEBAUTH_NOL3SEC (14) Change state to RUN (20) laststate RUN (20) *emWeb: May 18 13:47:39.322: 00:21:5c:8c:c7:61 Session Timeout is1800 - starting session timer for the mobile
Référence : Voici une référence à l'article de Wikipedia sur les caractéristiques de 802.11 : Normes d'IEEE802.11
Cisco prennent en charge la référence https://supportforums.cisco.com/document/100651/80211-sniffer-capture-analysis de forum
![MS-802...FourBit MS-802 -3- 株式会社フォービット 3.) [POWER] LED 電源ON/OFF表示です。ON時、緑点灯します。 4.) [SDI] LED SDI信号のステイタスLEDです。](https://img.pdfslide.fr/doc/110x75/5fadb0b3705bad0bb15916e3/ms-fourbit-ms-802-i3i-cffffff-3-power-led-eonoffeconccc.jpg)
