无线知识、802.11及头帧理解分析简介

无线知识及802.11：

能否连接到无线网，取决于芯片，如同无限的信号频道是802.11b，要是芯片不支持802.11b的话，是接收不到信号的。

无线主802.11：

 

802.11标准：
IEEE（institute of electrical and electronics engineers）
IEEE分为不同的技术委员会，其中802委员会负责lan、man标准的制定
：
以太网、令牌环网、无线局域网、网桥

（字母大写的就是标准，小写的都是在标准的基础上修改的）基本的完整标准，不是修改的：
802.11F、802.11T等

网络速度都是看每秒传输多少位（Mbit/s）来决定的。
Wi-Fi的认证标识仅是颁给802.11b的，1999年诞生。（频宽越大，传输速率越大）
无线电的频宽是有严格限制的，因为资源有限。

解释：像民用的就不能调频到军用的频宽上，厂家做了硬件限制，否则一旦侦听到了军用频宽就是窃取国家机密了。
（但是这个宽道肯定是被国家监控的，否则全世界都乱了。）
##扩频技术：把速率由原来的1、2Mbps提升到上百Mbps。频宽越大传输越快
媒体访问方式——>CSMA/CA，这种方式不能占用发送道，有一个在发送，另一个就不能在这个道发送避免了抢占数据发送的问题。为更好防止抢占，又引入了（RTS/CTS）方式，判断是否数据道空闲，发个请求询问、发个提示传输完毕。

实际的数据传输量（c）：c=b+log2(1+s/n)
b代表频宽，s/n代表性噪比，s代表信号强度，n代表噪声强度。

信道是有重叠的，只有三个完全不重叠的信道。
（这就是信号影响）1-14个信道，满足每个信道22MHz的话，肯定每个相邻是有重叠的。
要想不重叠，就只能夸信道选择，避免重叠影响。

802.11b是2.4GHz（2.4GHz – 2.485GHz）的宽带。这85MHz里面包含了太多的内容：微波、蓝牙都在这个频道，干扰太多。
802.11a是5GHz的带宽（设备价格问题未广泛使用）。有更多的宽带空间可容纳更多不重叠的信道。更改速率54Mbps，每个信道20MHz宽带。会变频：5.15-5.35 GHz室内，5.7-5.8 GHz室外。

//几乎与802.11b同时发布，只不过就是材料等等问题未广泛使用，现在才有好材料什么的开始使用，
802.11g是2.4GHz的宽带。OFDM信号调制方法、与802.11a速率相同、可全局降速 向后兼容802.11b，并切换为CCK信号调制方法、每个信道20/22MHz宽带，具有较好的自动变更能力。
802.11n是2.4或5GHz频率（再次提升能力）。300Mbps最高600Mbps、Multiple-Input Multiple-Output (MIMO)多进多出通信技术、多天线多无线电波独立收发信号、可使用40MHz信号宽带是数据传输速率翻倍、全802.11n设备网络中可以使用新报文格式使速率达到最大（一旦有802.11b设备信号进来它也会自动降速去兼容它）、每个信道20/40MHz宽带、更好的兼容性会自动降速去兼容其他设备。
 

无线网络运营模式：

SSID：服务级标识符（也是无线名）。
    AP每秒钟大约10次通过Beacon帧广播SSID（无线名）
    客户端连接到无线网络后也会宣告SSID
一：
Infrastructure（无线网络框架）：
一个框架至少一个AP和一个STATION形成一个BSS，AP连接有线网络，称为DS（基本服务级），连接到同一个DS的多个AP形成一个ESS（扩展服务级）。
ESSID类似于无线名，BSSID就是无线网卡连接到的MAC地址。

二：
AD-HOC（IBSS：Indepedent Basic Service Set）：
至少2个STAs直接通信组成（无AP，STAs代替AP一些工作），也称为peer to peer模式，其中一个STA负责AP工作，（通过beacon广播SSID，对其他STAs进行身份验证）。

三：
WDS：wireless distribution system（无线中继器）
与有线DS类似，只是通过无线连接的多个AP组成的网络
    Bridging——只有AP间彼此通信（网桥连接：AP1与AP2之间通信。终端发给AP1，AP1发给AP2，再由AP2发给另一个终端，需要经过AP之间的通信）
    Repeating——允许所有AP和STA进行通信（中继方式：所有之间都能连接，终端发给AP传给另一个终端）
//不能终端设备直接连接，否则就是AD-HOC模式
//少一堆网线。

四：
MONITOR MODE：
monitor不是一种真的无线模式
    但是对无线渗透至关重要
    允许无线网卡没有任何筛选的抓包（802.11包头）
    与有线网络的混杂模式可以类比
    适合的网卡和驱动不但可以monitor，更可以injection
 

技术概念：

分贝dB
    测量无线信号强度
B：向Alexander Graham Bell  致敬
    今天大部分声学设备的发明者和理论奠基人
dB：表示2个信号之间的差异比率，用于描述设备的信号强度
    是一个相对值
dBm：功率值与1mW进行比较的dB值结果
//dBpower=10*log(signal/reference)                10*log(100mW/1mW)=10*2=20dBm
dB是一个相对值，两点的功率差是dB。10dB对应对少mW是不确定的，所以就引入功率的值与1mW对比进行比较后的到dBm，而这个dBm就是具体的间接性的功率值之间的对比。

dBm       mW
0    1
10    10
15    32
17    50
20    100
23    200
27    512
30    1000
...     ...
公式：dBm=10*log(mW/1mW)
大概的规律：每增加3dBm，功率增加约1倍             
         每增加10dBm，功率增加10倍    大概的！！！——>太大概了。
不能通过dB值简单判断mW的值（相对值），dBm就比较清晰。

无线天线的区分：
dBi：全向无线辐射强度——>向着所有方向均匀发射。
dBd：定向天线辐射强度——>向着指定方向的范围内收发信号。
天线的作用就是把原有的基础上进行信号的增大，增大的能力称之为无线天线的增益，具体的增益大小增加多少个dB，增益的衡量单位就是dBi与dBd，
增加就是增加多少个dB出来。
相对值。
//其他功率的信号可能影响无线的信号，也可能造成增益，但增益多少是不知道的。
##########
dBi：
例子：300mW的无线路由器，添加一个9dBi的天线后功率如何变化（假设2dBi的电缆和接头耗损）
24.8dBi+9dBi-2dBi=31.8dBi
换算回mW功率
10^(31.8dBi/10)=10^3.18=1513mW
————>>>>>dBm功率相加等于mW功率相乘。
#########
dBd：
指定方向的范围内收发信号。——>也有特别小的范围内全范围信号增大，但这个范围可以忽略
天线增益越大信号传输距离越远
########
公式：G(dBi或dBd)=10lg(P1/P2)
单位为dBi或者dBd，两者的区别是参考基准不同，前者的参考基准是全方向性天线（在空间各个方向辐射特性相同的天线），后者的参考基准是偶极子天线（可以简单理解为双向天线）。
/
为什么有dBi与dBd？
因为，企业使用全方位的信号增大，信号在空气中是漫无边际的，增益越大传的越远，很有可能造成安全威胁，被黑客渗透入侵；使用定向的增大能有效控制，安全有所保障；全向增大只是为民众娱乐。
&&&&&&&&&&
既然有mW来表示为什么还要引入dB这个单位？
接收信号时无线信号转变为高频电子脉冲，反之发射信号时高频电子脉冲转换为无线电波，这些过程功率往往还产生上万倍的变化，使用W、mW来计数非常不便，而dBm单位通过对功率的对数计算，使用一个较小的数值既可以比较直观的表达功率的变化，因此无线和声学系统都采用了dB这个单位
//原理：主要是功率的变化是比较大的，越大的数值表示功率变化除了不方便还有就是不准确，将其大数值按比例缩小，进行比较是很有作用的。
//比较直观的，简单一句话就是间接对比。

无线信号的波形：
全向天线：
波形图类似于：甜甜圈
虽然信号什么的发射接收的好。但：
天线的选择的误区：
    增益越高越好
        高耗能
        对周围环境的信号干扰（手机通信什么的）——>频带带宽是有限制的
国家对无线信号发射的强度是有控制的，要是没有控制，每个人都可以建立自己的基站了。
//基站的建立基础就是：增益大、发射接收信号强度大等。
//伪基站：就是未经国家允许建立基站，通过伪基站发射信号，给别人手机什么的发送信息实时诈骗、窃取等等非法手段。
//军方有自己的频宽，国家规定不能调过去，一方面是硬件被厂家限制，一方面是国家监控是国家机密，调过去就违法。
—重点———>>>>>增益过高的全向天线会变成定线天线。

定向天线
    双四边形
    定向发送信号
    功率相同时，比全向天线传输距离更远（方向正确的情况下）
    //功率相同，距离就比较远，毕竟是压缩了范围。
例子：有：
八木天线也叫引向反射天线、
平面天线、
扇形天线：常用于移动电话网络、3到4个扇形无线联合使用可实现全向信号覆盖、90度扇形天线、
120度扇形天线、
网状天线：射束宽带更加集中  功率更强。
####比较2.4GHz与5GHz之间，5GHz的集中性更好，更好的定向，更远的距离。
//移动网络与无线局域网络之间只是通过调频、调道等方式有所差别之后形成的，两种之间就是调节的内容不一样，然后移动网络通过基站覆盖全国实现4G等的信号传输。

 

 

头、帧分析：

radiotap：

长度不是固定的。厂家会自己自定义额外信息。不破坏原始头结构，增加传递的信息。
分为Header与data：
Revision（8bit）：值始终为0
Pad（8bit）：未使用，只作为字段强制对其的占位，值为0
Length（16bit）：整个radiotap头长度（可变），作用是确定802.11头的开始位置，Header与data加
Present flags（32bit）：
        Data段的掩码
        Ext（1、0）表示可扩展，1是有，再接一32bit的present。扩展的就是厂家自定义的
        MAC不能理解的头部直接忽略

control frame：

控制帧是一些通知设备开始、停止传输或连接失败等情况的短消息。
帧的类型都是01，主要介绍：Reserved、PS-Poll、RTS、CTS、ACK（与渗透有关的包）

ACK：（Acklogment）
接收端正确接收数据后向发送端返回ACK确认，未返回就要重传。
每个单播帧需要ACK立刻确认（提高效率）
    广播帧和组播帧不需要确认
尽快响应：
    由硬件完成、非驱动层
T/S：1/13     帧的类型是1，子类型是13            一般格式是（0x001d）共14个字节
bytes：14
         2                         2                        6                         4
Frame control    Duration        Receiver Address              FCS(Frame check sequence)
//FCS是校验数据，检查发送的数据帧是否被破坏，破坏的就不接受（仅限单播帧，广播帧和组播帧除外），wireshark中有些被抓的已经被过滤。但是实时抓包有些情况下FCS不会过滤。
//ACK主要根据T/S来区分。

PS-POLL：（为1的时候是省电）
T/S：1/10
RF（无线）系统的方法器
    主要耗电的组件
    发射前放大信号，接收并放大还原信号
省电模式
    关闭信号发射器节省电源耗电（几乎完全关闭）    
AID——Association ID   （关联ID）
STA省电模式唤醒（得到AID后）
    数据发送至AP（AP缓存数据包）
    通过Beacon发送TIM（traffic indication map）
        其中包含AID
    STA对比AID后唤醒网卡
传输过程：
    STA发送PS-Poll帧，请求从AP缓存中取回数据
        每个帧都需要ACK确认
        ACK确认后从缓存中删除数据帧
        传输过程中STA保持唤醒状态
        传输结束后STA恢复省电状态
//More data为1的时候，表示之后还有帧，
包结构：
AP接收PS-Poll帧时
    立刻响应
    延迟响应——>AP比较繁忙的时候，会过几个原子周期后才会发来数据。
        简单响应帧一下
AID：关联ID
BSSID：STA正关联的AP地址
TA：发送此帧的STA地址
bytes                   2              2                   6                6                4
           Frame Control         AID           BSSID(RA)        TA            FCS
        <——————————————————>       MAC Header
//PS-Poll由AID确定身份。

RTS/CTS（request transfer/）
RTS/CTS是CSMA/CA方法的一种补充手段
    降低冲突产生的可能性
    正式通信之前通过请求应答机制，确信通信介质的可用性。
    并锁定传输介质和预约通信时间    //拒绝其他传输请求
    只有在传输长帧时使用，传输短帧时不会使用
        驱动接口提供阈值的自定义           //通过编程设置阈值
        大于阈值的帧被视为长帧，反之则视为短帧
Node 1 发送Request to Send包给Node 2       //说要发数据了RTS 
如果未发生冲突，Node2返回Clear to Send给Node 1       //说可以发了CTS
Node 1 传输数据          //传输  Data
数据正常接收，Node2返回ACK，否则Node 1什么也不会收到  ACK
//一个原子周期的传输过程

有线网络介质访问方式：CSMA/CD
无线网络介质访问方法：CSMA/CA
避免隐藏节点的出现
    //因为CTS的锁定存在，隐藏节点（两台机器向同一机发送数据时，不知道对方的存在）均收到RTS/CTS响应，避免传输数据造成冲突。
#############
RTS帧长度为20Bits
bytes         2                        2                       6                                      6                    4
       Frame control        Duration           Receiver Address     Transmitter Address      FCS

CTS帧长度为14Bists
bytes           2                 2                            6                               4
        Frame control     Duration         Receiver Address                 FCS

//主要是AP和STA起作用，receiver发给的是AP的地址，Data中才有数据，传输数据是会被锁定时间的，时间耗尽，传输数据结束。

management frame：

MANAGEMENT FRAME
管理帧传的数据不是人传的数据，是机器之间沟通用的数据。
管理帧的作用：用于协商和控制STA与AP之间的关系。
管理帧的类型是0  子类型16中（0-15）
0-15（某一些）：
0：关联请求
1：关联响应
2：重关联请求
3：重关联响应
4：探测请求
5：探测响应
6：测量
8：Beacon帧
10：解除关联关系
11：认证
12：解除认证
...
_______________________________________________________________________________________________
Beacon帧：
beacon frames
AP发送的广播帧，通告无线网络的存在（BSSID）
发包频率：标准的
    102.4ms（可变）
    时间单位1024 microseconds微秒（60秒）     //可改
SSID网络名（隐藏ESSID名，为安全）
    隐藏AP不发SSID广播 ————>对黑客是不完全的，浅显的隐藏,
        隐藏了SSID，但是SSID长度和数据是隐藏不了的。

IBSSI Status
    0：infrastructure
    1：ad-hoc
Privicy为1的话：
    WEP或WPA加密
ESSID
    名称、长度
速率
    802.11g（1-----54Mbit）
    可以通过抓到的数据包的Rates速率，判断是802.11b还是802.11g等，不同型号速率支持度不同
信道，DS：
    11
TIM：客户端进入省电，AP会缓存数据，Beacon会通过TIM通知STA有数据。
不同厂家的Beacon帧是大体上是一样的，总有不一样的，是厂家自定义的。速率什么的。
协议标准中，必须要的每个厂家都会有，剩下可选的，厂家会自定义。
————————————————————————————————————————

——————————————————————————————
PROBE REQUEST FRAMES        //STA主动发送的帧
probe帧
用于STA扫描现有AP
    发现连接过的AP
    发现未连接的AP
//probe帧是主动去扫AP，确认AP。

PROBE RESPONSE FRAMES    //AP发出来的帧
发现连接过得AP时，速率和ESSID相同的AP响应。
//即连接过得AP，有保存记录的AP，响应ESSID连接。

###这就是连接连接过的ESSID，自动连接的全过程
probe帧的作用
——————————————————————————————

————————————————————————————————————————
AUTHENTICATION FRAMES帧（身份认证）：
发现有AP，要去连接，发送身份认证信息，AP接收信息，才会开始关联。（如ESSID密码）
Frame Body拆分全解析：
Authentication Algorithm身份认证类型
    0：开放系统身份验证
    1：共享秘钥身份验证
身份认证有多个帧交换过程组成
Authentication Seq
    每次身份验证过程Seq唯一
    1-65535        //依次增长 的
Challenge text
    只有共享秘钥才有这个字段
    无共享秘钥就只有前三个字段，有秘钥才有Challenge text字段
Status Code
    成功/失败       //结果
//每个AUTHENTICATION FRAMES帧，发出、接收都会有一个ACK包确认（单播帧）

ASSOCIATION/REASSOCIATION FRAMES
身份验证成功后，STA执行关联操作，加入无线网络
    $$$$Association Request    //验证请求
    //body：
        Capability Information（2）
        Listen Interval（2）——————>时间周期
        SSID（Variable）
        Supported rates（Variable）
    $$$$Reassociation Request
    //body：
        Capability Information（2）
        Listen Interval（2）
        Source Address（6）
        SSID（Variable）
        Supported rates（Variable）    
    $$$$Association Response
    AP对STA的关联请求的响应
    状态码：关联成功/失败
    //body：
        Capability Information（2）
        Status code（2）
        Association ID（AID）（6）
        Supported rates（Variable）
————————————————————————————————————————

————————————————————————————————————————
DISASSOCIATION/DEAUTHENTICATION————>解除关联
由AP发出
    //body：
        Reason code（2）          解除关联的原因——>有很多
例子：
//Deauthentication Leaving这个原因（Deauthenticated because sending STA is leaving IBSS or ESS）
：黑客攻击连接的AP，使其断开连接，然后当他再次身份认证的时候，黑客截取下身份认证过程，把这些过程拿去密码破解、跑字典、暴力破解。

一个AP上连接太多STA，容易拥挤连不上。
等等原因。
————————————————————————————————————————

————————————————————————————————————————
ATIM FRAMES
只在ad-hoc网络下使用————>>>>>>>没有AP模式下（有STA代替AP功能）
    STA使用此帧通知接收者其有缓存的数据要发送
Header：24
         2                       2                         6                           6                    6                        2
Frame control       Duration   Destination Address       Source Address  BSS ID      Sequence Control

FCS：4
————————————————————————————————————————

 

Date frame：

传数据的：
DATA FRAMES
数据帧的类型是：2（10）
子类型：0-15
只关心与安全有关的数据帧：
0：Data
4：Null Function（No Data）

————————————————————————————————————————
Data frame
传输用户的数据：
    Data Frame
空数据帧
    Null Data frame
    只包含MAC头和FCS
    STA用于声明自己将要进入省电模式
————————————————————————————————————————