无线报文的简单分析

 

 

 

                                                      无线报文的简单分析

                              作者：杨孝卫

摘要：

     本文档在《无线关联的交互过程》基础上做简单的报文分析。了解无线关联过程中的一些相关报文分析。

关键字： Client 、 AP

 

802.11帧分为三个部分： 帧头（Mac header）、帧实体(body)、FCS域。分为MAC header、Frame Body和FCS。MAC header由4个字段构成，分别为：Frame Control、Duration ID、Address、Seq ctl。一般情况是Address仅只有目的地址、源地址和BSSID。

一、Frame Control（帧控制）

所有帧的开头均是长为两个字节的Frame Control（帧控制）字段，Frame Control字段包括以下子字段：Protocol、Type、Subtype、To DS、From DS、More fragments、More fragments、Retry、Power management、More data、Protected Frame。

下面分别来介绍每个字段：

 

Protocol 字段

Protocol（协议版本）字段由两位构成，用显示该帧所使用的MAC版本。 目前802.11 MAC只有一个版本，它的协议编号为0。

 

 

 

Type 与 Subtype 字段

Type（类型）与Subtype（子类型）字段用来指定使用的帧类型。为了提升可靠性，802.11 MAC内置了一些管理功能。如RTS/CTS操作与ACK（确认，acknowledgment）。802.11无线局域网的封包分为三种： 管理帧、控制帧和数据帧。

Type与Subtype字段的值与名称：

Management frame（管理帧：Type=00） a
0000	Association request（关联请求）
0001	Association response（关联响应）
0010	Reassociation request（重新关联请求）
0011	Reassociation response（重新关联响应）
0100	Probe request（探测请求）
0101	Probe response（探测响应）
1000	Beacon（信标）
1001	ATIM（通知传输指示消息）
1010	Disassociation（取消关联）
1011	Authentication（身份验证）
1100	Deauthentication（解除身份验证）
1101～1111	Reserved（保留，未使用）
Control frame（控制帧：Type=01） b
1010	Power Save（PS）- Poll（省电－轮询）
1011	RTS（请求发送）
1100	CTS（清除发送）
1101	ACK（确认）
1110	CF-End（无竞争周期结束）
1111	CF-End（无竞争周期结束）＋CF-ACK（无竞争周期确认）
Data frame（数据帧：Type=10） c
0000	Data（数据）
0001	Data+CF-ACK
0010	Data+CF-Poll
0011	Data+CF-ACK+CF-Poll
0100	Null data（无数据：未传送数据）
0101	CF-ACK（未传送数据）
0110	CF-Poll（未传送数据）
0111	Data+CF-ACK+CF-Poll
1000	Qos Data c
1000~1111	Reserved（保留，未使用）
1001	Qos Data + CF-ACK c
1010	Qos Data + CF-Poll c
1011	Qos Data + CF-ACK+ CF-Poll  c
1100	QoS Null（未传送数据） c
1101	QoS CF-ACK（未传送数据） c
1110	QoS CF-Poll（未传送数据） c
1111	QoS CF-ACK+ CF-Poll（未传送数据） c

注：

a: 管理帧的Subtype值0110～0111与1101～1111目前并未使用。

b：控制帧的Subtype值0000～1001目前并未使用。

实例如下：

To DS 与 From DS 位

这两个位用来指示帧的目的地是否为分布式系统（distribution system）。在基础结构型网络里，每个帧都会设定其中一个DS位。

To DS与From DS位所代表的意义

	To DS=0	To DS=1
From DS=0	所有管理与控制帧。IBSS里的数据帧（非基础结构型数据帧）	基础结构型网络里无线工作站所传送的数据帧
From DS=1	基础结构型网络里无线工作站所收到的数据帧	无线桥接器上的数据帧

实例如下：

 

 

 

 

 

More fragments 位

此位的功能类似IP的“more fragments“位。若较上层的封包经过MAC分段处理，除了最后一个片段，其他片段均会将此位设定为1。大型的数据帧以及某些管理帧可能需要加以分段，除此之外的其他帧则会将此位设定为0。

Retry 位

有时候可能需要重传帧。任何重传的帧会将此位设定为1以协助接收端剔除重复的帧。

Power management 位

此位用来指出发送端在完成当前的原子帧交换之后是否进入省电（power-save）模式，1代表工作站即时入省电模式，而0则代表工作站会一直保持在清醒状态。

More data 位

为了服务处于省电模式中的工作站，接入点会将这些从分布式系统接收来的帧加以缓存。接入点如果设定此位，即代表至少有一个帧等待给休眠中的工作站。

Protected Frame 位

相对于固定式网络，无线传送本质上就比较容易被拦截。如果帧受到链路层安全协议的保护，则此位会被设定为1，而且该帧会略有不同。之前的Protected Frame位被称为WEP位。

Order 位

帧与帧片段可依次传送，不过发送端与接收端的MAC必须付出额外的代价。一旦进行严格依序（strict ordering）传送，则此位会被设定为1，否则这个位必然为0。

下图为以上的对所列出的控制帧对应的位：

 

Duration/ID （持续时间）

指一个原子操作的一个过程所需的时间，单位为微秒。RTS帧会试图预约媒介使用权，供帧交换过程使用，因此RTS帧传送者必须计算RTS帧结束后还需要多少时间用于帧交换。在下图交互过程中，总共需要3个SIFS周期、1个CTS持续时间、最后的ACK加上传送第一个帧或帧片段所需要的时间。其单位为微秒。

 

 

 

Address 字段

     一个802.11帧最多包含4个地址（Address）字段。因随着帧类型的不同，这些字段的作用也有所差异。Address 1代表接收端，Address 2代表发送端，Address 3代表被接收端拿 来过滤的地址。地址本身的长度有48位。如果传送给实际媒介的第一个位为0，则该地址为单播（unicast），如果第一位为1，则该地址为组播（multicast），如果所有的位均为1，则该地址为广播（broadcast）。

二、管理帧的结构

802.11管理帧的基本结构如下图所示（图3），所有管理帧的MAC标头都一样，与帧的子类型无关。管理帧会使用信息元素（带有数字卷标的数据块）来与其它系统交换信息。

 

Frame Control前面已经讲过

计算持续时间

管理帧使用Duration（持续时间）字段的方式。

（1）           无竞争周期内所传送的任何帧均会将持续时间设为32768。

（2）           基于竞争的访问周期内利用DCF所传送的帧会通过Duration字段防止别人访问媒介，以确保原子帧交换(atomic frame exchanges)得以完成。

a、 如果是广播或组播帧（目的地址为组地址），则持续时间会设定为0。广播与组播帧无需得到确认，因此NAV无需防止别人访问媒介。

b、 如果不是最终片段，则持续时间会设为3个SIFS加上下一个片段及其确认所需要的微秒数。

c、 最终帧片段的持续时间会设定为一个响应加上一个SIFS所需要的时间。

帧主体

管理帧十分灵活。帧主体(frame body)中的大部分数据如果使用长度固定的字段，就称为固定字段(fixed field)；如果字段长度不定，就称为信息元素(information element)。所谓信息元素，是指长度不定的数据块(data block)。每个数据块均会标注类型编号和大小，各信息元素的数据字段元素都有特定的解释方式。

长度固定的管理帧组件

在管理帧中，可能出现的长度固定的字段有10种。长度固定的字段一般简称为字段(field)，以便与长度不定的信息元素有所区别。字段本身并无标头可与帧主体的其它部分进行区别。因为长充与次序固定，所以不需要以字段元标头来界定。

Authentication Algorithm Number 字段

Authentication Algorithm Number（身份验证算法编号）字段占用了2个字节，此字段代表关联发生之前，802.11层(802.11-level)的最初认证过程所使用的认证类型。此字段容许的值范围如下表。目前只定义了两种值，其它保留给未来版本使用。

值	意义
0	开放系统身份验证(Open System authentication)
1	共享密钥身份验证(Shared Key authentication)
2～65535	保留

 

如上图所知，Authentication Algorithm的值为0为Open System。

Authentication Transacition Sequence Number 字段

身份验证过程分好几个步骤，其中包含接入点所发出来的质询(challenge)以及试图关联的移动式工作站所做出的响应。此字段由两个字节构成，用以追踪身份验证的进度。此字段值介于1到65535之间，其值不可为0。在Shared key中1表示请求，2表示响应，3表示再请求，4表示响应。

Beacon interval 字段

每隔一段时间就会发出一个Beacon（信标）信号用来宣布802.11网络的存在。Beacon帧中除了包含BSS参数的信息，也包含接入点缓存帧的信息，因此移动式工作站要仔细聆听Beacon信号。此帧长度为16位，用来设定Beacon信号之间相隔多少时间单位。时间单位通常缩写为TU，代表1024微秒(microsecond)，相当于1毫秒(millisecond)。Beacon通常会被设定为100个时间单位，相当于每100毫秒，也就是0.1秒传送一次Beacon信号。

Capability Information 字段

长度为16位的Capability Information（性能信息）字段，传送Beacon信号的时候，它被用来通告网络具备何种性能。此字段应用于Beacon帧、Probe Response帧和Association帧。

ESS/IBSS （扩展服务集/ 独立基本服务集）

协调者所传送的 Beacon 帧及 Probe Response 帧中，ESS = 1, IBSS = 0。属于 IBSS 的工作站所传送的 Beacon 帧及Probe Response 帧中，ESS = 0, IBSS = 1。工作站为了侦测 ESSs 而传送的 Probe 帧中，ESS =1。工作站为了侦测 IBSSs 而传送的 Probe 帧中，IBSS =1。工作站如果想同时侦测所有存在的ESSs及IBSSs, 则可同时设定ESS =1, IBSS=1。

Privacy （保密性）

如果Privacy位设定为1，代表需要使用WEP以维持机密性。

Short Preamble （短前导码）

802.11b规范新增此字段是为了支持高速直接序列扩频物理层(high-rate DSSS PHY)。将之设定为1，代表此网络目前使用短前导码(short preamble)，0代表不使用此项。

PBCC （封包二进制回旋码）

802.11b 规范新增此字段是为了支持高速直接序列扩频物理层(high-rate DSSS PHY) 。将之设置为1 ，代表目前使用封包二进制回旋码(packet binary convolution coding)调制机制。0代表不使用此项。

Channel Agility （机动信道转换）

802.11b规范新增此字段是为了支持高速直接序列扩频物理层(high-rate DSSS PHY)。将之设置为1，代表此网络使用机动信道转换(Channel Agility)选项。0代表不使用此项。

 

Short Slot Time (802.11g)

   此位若设定为1，代表使用802.11所支持的较短时隙。

Listen interval （聆听间隔）字段

此字段存在于Association Request帧中。此字段是表示该工作站每隔多少个Beacon间隔会醒来一次。工作站休眠时间越多，AP暂存的资料量越大，反之亦然，如果休眠时间越长还会错失AP所发出的广播信息。如下图所示：

 

Association ID （关联标识符）字段

　　该字段存在于Association Response帧中。该字段长度为16位。

 

Reason Code（原因代码）字段

该字段存在于Deauthentication（解除身份验证）或Disassociation（取消关联）帧作为响应。其字段长度为16位。该字段表示为对方的做法有误。如图所示：

 

三、实例报文分析

１、 AP 与站点都配置为WPA 的情况下：

a、 首先查看AP发出的Beacon帧中，Privacy字段值为1表示为启用加密，则说明AP为加密模式。再查看Authentication帧中的Authentication Algorithm字段的值为Open System，则说明并非Shared加密模式，而是Open加密或WPA加密。

b、 查看站点向AP发起的Association Request帧中的Privacy字段，此字段的值为1则表示启用加密（说明AP与站点的加密方式一致）。如下图所示：

 

c、查看Vendor Specific字段中的值为WPA，unicast cipher suite: TKIP , auth key management suite 1:PSK等。再查看EAPOL Key帧的交互（六个EAPOL Key）。

２、             AP 与站点都配置为shared key ：

a、 与上面一样，首先查看Beacon 帧中的privacy 字段，再查看Authentication 帧中的Authentication Algorithm 字段的值为shared key。

b、 查看四个Authentication帧，第一个为认证请求帧，第二个帧中，会有一个challenge text字段。第三个帧中，会有一个WEP parameters字段，第四个字段为交互成功的帧。查看Authentication SEQ字段，根据其值便知在哪一个交互中，如果值为4则表示为Authentication Success。如下图所示：

 

 

　　

３、             AP 配置为none 模式，站点配置为sharedkey 模式：

a、 与上面一样，首先查看Beacon帧中的privacy字段，其值应为0，再查看Authentication帧中的Authentication Algorithm字段的值为shared key，再查看；Status code。由此看出AP与站点的配置不一致。

 

b、 查看四个Authentication帧，第一个为认证请求帧，第二个帧主体状态码提示出错信息。如下图所示：表示AP与站点的认证不一致。

以上内容对我们分析AP与站点连接时出现异常时非常有用，分析在哪里出现问题了。

 

 

 

参考文档：《 802.11 无线网络》

转载于:https://blog.51cto.com/huangxueqiang/677060