Čtení v rozhraní airodump-ng

Techniky sniffingu, odposlech dat, hardware, aplikace pro zachycováni dat a síťového provozu, Ettercap, Cain, Kismet, filtrování, analýza dat, keylogger
Odpovědět
Uživatelský avatar
omzul
Level 0
Příspěvky: 19
Registrován: 11 dub 2008, 10:48

17 pro 2008, 18:04

Zdravím. Mohl by jste mi někdo pomoci přečíst tento záznam z airodump-ng (snad to bude užitečného i někomu jinému). Výpis jsem upravil jednak pro lepší čitelnost (číslování řádků), jednak pro odstranění citlivých(?) informací.

Kód: Vybrat vše

  BSSID              PWR  Beacons     Data,  /s  CH  MB  ENC  CIPHER AUTH ESSID

1 AA:AA:00:00:00:00    0       50       17    0   7  11  WEP  WEP         essidAA
2 BB:BB:00:00:00:00    0      716      193    1   6  48  WPA2 CCMP   PSK  essidBB
3 CC:CC:00:00:00:00   -1        0       27    0   5  -1  WEP  WEP    OPN  essidCC 
4 DD:DD:00:00:00:00   -1        0       40    0   6  -1  OPN              <length:  0>
5 EE:EE:00:00:00:00    0       34        0    0   4  11  WEP  WEP         essidEE
6 FF:FF:00:00:00:00    0        2        0    0   1  54  WEP  WEP         essidFF

  BSSID              STATION            PWR  Lost  Packets  Probes

a AA:AA:00:00:00:00  00:00:00:00:00:27   -1     0        1
b BB:BB:00:00:00:00  00:00:00:00:00:57    0     0        8  essidBB
c BB:BB:00:00:00:00  00:00:00:00:00:3E    0     0      115  essidBB
d BB:BB:00:00:00:00  00:00:00:00:00:1D    0     0       14  essidBB
e (not associated)   00:00:00:00:00:D5    0     0        7  essidCC
f CC:CC:00:00:00:00  00:00:00:00:00:D9    0     0       16  essidCC
g CC:CC:00:00:00:00  00:00:00:00:00:5C    0     0       61  ctyri,retezce,oddelene,carkami
h DD:DD:00:00:00:00  00:00:00:00:00:F2    0     0       72  nejakyRezetec
Neb to je pro mnohé patrně trapně triviální, má tu "pár" ;?) otázek:
I) jak mám rozuměnt na řádku 3 CIPHER = WEP, AUTH = OPN?
II) předpokládám správně, že řádek 4 s ESSID <length: 0 > je AP, které ESSID nevysílá?
III) není mi jasné PWR. Údajně by bylo dobré mít hodnoty 167-195, ale OPN tu má vždy -1 (řádek 3 a 4) a zbytek 0. Přitom

Kód: Vybrat vše

iwlist wlan0 scann
mi ukazuje hodnoty kolem 50%
IV) co značí na řádku a prázdné Probes?
V) jak přečíst řádek e?
VI) proč na řádku g neodpovídá Probes názvu essid asociovaného AP?
VII) je Probes z řádku h názvem neznámého AP z řádku 4?
VIII) dá se z výpisu nějak rozpoznat, zda AP je určeno pro připojení nebo zda to je "jenom" nějaký repeater?
IX) na řádcích 2 a 4 je CH = 6. Předpokládám, že jde o stejnou síť. Není poněkud zvláštní kombinace OPN a WPA2?
X) jak je to vlastně s důvěrností BSSID, ESSID či STATION. V nějakém návodu jsem to viděl zamaskované, tak jsem udělal totéž, ale nevím, zda je to nutné, když to ty wifiny i tak roztrubují ;?)

Pokud mi tu uniklo ještě něco zajímavého či poučného, budu rád, když na to upozorníte.
Naposledy upravil(a) omzul dne 17 pro 2008, 18:05, celkem upraveno 1 x.

Uživatelský avatar
cocaine
Level 7
Příspěvky: 398
Registrován: 29 dub 2008, 23:54
Bydliště: Země Oz

17 pro 2008, 18:29

I) znamená šifrování WEP autentizace otevřená
II) ano.
III) záleží na prism headers a ovládači viz fórum.
IV) znamená, že neproběhl žádný pokus o připojení co běží airodump-ng.
V) klientské zařízení bez asociace na Access Point.
VI) proto, že se jedná o klienta co se připojuje na další Access Pointy.
VII) je to možné ale může se jedna i o klienta co byl připojenej předtím na jiné AP - viz předešlá odpověď.
VIII) ano.. repeater nepřipojí žádneho klienta proto nebude v první části logu, max v druhé a bez asociace klientů vz řádek e.
IX) dle šifrování se jednoznačeně jedná o 2 různé Access Pointy. Na jednom kanálu může v lokalite existovat i 10 Access Pointů.
X) maskovat identifikátor je zbytečnost ale nezkušeného uživatele to zastaví.
Jednou deset minut a ušetříš hodiny

Uživatelský avatar
omzul
Level 0
Příspěvky: 19
Registrován: 11 dub 2008, 10:48

17 pro 2008, 19:30

Takový fofr jsem nečekal + takhle pěkně stručně formulováno - díky moc. Ale klasicky, odpověď vyvolá další otázky
I) to v praxi znamená, že data jsou šifrována, ale je nutné přihlášení, které pošle nekódovaně userName a heslo? Něco jako telnet?
X) tady jsme si úplně nerozuměli. Já mířil na náhradu reálných řetězců v tomto mém dotazu. Navíc se tu cítím být tím nezkušeným uživatelem - řešením je odchytit autentifikaci či ji vynutit pomocí packet injection a odhlášením asociovaného klienta?

Uživatelský avatar
Michal
Level 7
Příspěvky: 242
Registrován: 19 kvě 2008, 20:14
Bydliště: Košice

18 pro 2008, 23:20

Zdar, I. dáta sú šifrované, no s telnetom to nemá nič spoločné.
X. aj keď je SSID, resp. BSSID "vytrubované" do okolia nie je extra žiadúce (aspoň podľa môjho názoru) aby každý vedel o ktoré AP (prístupový bod) presne ide.
Naposledy upravil(a) Michal dne 19 pro 2008, 11:15, celkem upraveno 1 x.

Uživatelský avatar
omzul
Level 0
Příspěvky: 19
Registrován: 11 dub 2008, 10:48

19 pro 2008, 11:58

re Michal - díky za reakci. Stále nemám jasno v tom, jak bude v praxi vypadat připojení a komunikace s AP, má-li šifrování WEP a autentizaci OPN. Jak se to bude lišit z uživatelského pohledu a v zabezpečení dat oproti WEP bez autentizace?

Uživatelský avatar
cocaine
Level 7
Příspěvky: 398
Registrován: 29 dub 2008, 23:54
Bydliště: Země Oz

19 pro 2008, 18:27

omzul formulace (dotaz) je nesmysl
Jednou deset minut a ušetříš hodiny

Uživatelský avatar
omzul
Level 0
Příspěvky: 19
Registrován: 11 dub 2008, 10:48

22 pro 2008, 11:29

Mám tomu rozumět tak, že AP z řádků 1 a 3 se hlediska průběhu přihlášení a vlastního přenosu dat neliší?

Kód: Vybrat vše

BSSID              PWR  Beacons     Data,  /s  CH  MB  ENC  CIPHER AUTH ESSID

1 AA:AA:00:00:00:00    0       50       17    0   7  11  WEP  WEP         essidAA
2 BB:BB:00:00:00:00    0      716      193    1   6  48  WPA2 CCMP   PSK  essidBB
3 CC:CC:00:00:00:00   -1        0       27    0   5  -1  WEP  WEP    OPN  essidCC

Uživatelský avatar
cocaine
Level 7
Příspěvky: 398
Registrován: 29 dub 2008, 23:54
Bydliště: Země Oz

22 pro 2008, 11:54

Rozhraní airodump-ng je informační a statistické - žádne další dedukce nejsou na místě. Rozhodně né porovnávání přístupových bodů. K amalýze bezdrátových sítí existují specializované programy. V případě, že se jedná o Access Pointy s rozdílnou MAC adresou rozdíl není v ničem mimo MAC adresu. Třetí access point bude pravděpodobně (dle trafiku) dál nebo airodump-ng zachytil pouze odraz signálu - to je ale věštba z koule.
Jednou deset minut a ušetříš hodiny

Uživatelský avatar
omzul
Level 0
Příspěvky: 19
Registrován: 11 dub 2008, 10:48

22 pro 2008, 12:07

díky ;?)

Uživatelský avatar
Michal
Level 7
Příspěvky: 242
Registrován: 19 kvě 2008, 20:14
Bydliště: Košice

02 led 2009, 20:12

Zdravím, rád by som sa spýtal či sa niekto stretol s nasledovným výpisom z airodump-ng: (novinkou pre mňa je údaj 54e.)

Kód: Vybrat vše

BSSID          PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

BSSID           14   100      327            0      0   6    54e.  WEP   WEP            ESSID

Na rovnakom kanáli obdoba, tentokrát bez šifrovania:

BSSID         PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

BSSID           13   28      156              0    0      6  54e.  OPN                     ESSID
Obe prístupové body patria jednému správcovi. Stĺpec Data je permanentne 0, rovnako ako počet klientov týchto prístupových bodov. (kontrolované priebežne po dobu niekoľko mesiacov) Otázka znie čo znamená spomínaný údaj 54e ?

Uživatelský avatar
backman
Level 7
Příspěvky: 304
Registrován: 30 čer 2008, 17:01
Bydliště: Praha [CZ]

03 led 2009, 10:44

Jediné co mě napadá je: 1. Může to znamenat extended (108MB) nebo 2.Quality of Service rozšíření pro WLAN.
Ve Fóru používejte diakritiku a čtěte nápovědu než odešlete první post!

Uživatelský avatar
eMp
Level 0
Příspěvky: 3
Registrován: 04 led 2009, 18:07

14 led 2009, 03:56

Kód: Vybrat vše

 BSSID         PWR RXQ  Beacons    #Data, #/s  CH  MB  ENC  CIPHER AUTH ESSID

 xx:xx:xx:xx:xx:xx  175  22       35        6    0   6  54  WEP  WEP40       xxx
Netušil by někdo co znamená CIPHER WEP40 ? tnx
omlouvam se ze pisu bez diakritiky mam en klavesnici na notesu :|

Uživatelský avatar
backman
Level 7
Příspěvky: 304
Registrován: 30 čer 2008, 17:01
Bydliště: Praha [CZ]

14 led 2009, 09:33

Šifrování - ověření WEP klíčem o síle 64bit
Ve Fóru používejte diakritiku a čtěte nápovědu než odešlete první post!

Odpovědět
  • Informace
  • Kdo je online

    Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 1 host