3. 無線區網監聽系統架構
3.1 無線區網監聽雛型系統架構
圖 5: 無線區網監聽雛型系統架構
本研究無線區網監聽雛形系統之架構如圖 5 所示。其包含使用者介面、無線 封包處理和無線封包截聽三個模組。此架構將結合現行工具來達成無線區網封包 擷取和 WEP 破解之功能。各模組內容如下:
(1) 無線封包截聽模組(WinPcap / LibPcap Module)
Pcap 是封包擷取函式庫,WinPcap 是一個針對 Win32 平台上封包擷取和網 路分析的架構,它的主要功能就是讓網路卡所收到的封包能夠傳至系統中,讓系 統知悉這個封包的完整架構以及內容。利用 WinPcap 的核心:網路封包過濾器 (Netgroup Packet Filter,NPF)處理網路上傳輸的封包,並且提供可擷取(Capture)、
發送(Injection)和分析性能(Analysis Capabilities),此模組負責截聽收集無線封 包,再提供至無線封包處理模組進行解封裝。
(2) 無線封包處理模組(Packet Processing Module) 1. Decapsulation 元件
解封裝模組所支援解析的協定包含第二層 802.11 (含 LLC SNAP 封裝) 協定
的解封裝處理單元;第三層 IPv4 協定的解封裝處理單元;第四層 TCP 與 UDP 協定的解封裝處理單元。
本系統內部以通訊協定描述子(Protocol Descriptor)資料結構表示封包的封 裝資訊,而封裝資訊包括通訊協定類別、起始位址與長度。解封裝模組以解封裝 處理單元建置表示封包封裝結構的通訊協定描述子串列資料結構。
封裝處理單元資料結構如下:
typedef struct 80211ProtocolDesc {
unsigned int type;/* Header type,i.e IEEE802_11*/
unsigned int len;/* Header length */
unsigned int bytesoffset;/* Start offset*/
80211ProtocolDescriptor *next; /* Next header */
} *80211ProtocolDescr , **80211ProtocolDescr;
圖 6 為解封裝(Decapsulation)元件對 IPv4 封包的解封裝流程。首先解封裝模 組由 WinPcap / LibPcap 模組取得 IPv4 封包 (如(1)),並由 802.11 處理單元開始 進行解封裝處理。802.11 處理單元建構 80211 通訊描述子結點(如(a)) ,並經由 802.11 Type 標頭欄位得知其上層為 IPv4 格式,然後將封包交由 IPv4 處理單元 ( 如 (2)) 。 IPv4 處 理 單 元 建 構 IPv4 通 訊 描 述 子 結 點 ( 如 (b)) , 並 經 由 IPv4 NextHeader 標頭欄位得知其上層為 TCP 格式,然後將封包交由 TCP 處理單元 (如(3))。TCP 處理單元建構 TCP 通訊描述子結點(如(c)),然後將封包捨去前端 所有通訊協定標頭以取得 TCP 酬載(Payload),並加上 TCP 酬載通訊描述子結點 (如(d)),如此完成通訊描述子串列資料結構的建置。最後通訊描述子串列資料結 構將存放於記憶體緩衝區中提供使用者介面模組進行後續的分析處理(如(4))。
圖 6: 解封裝處理元件
2. WEP Crack 元件
利用現有工具 Aircrack-ng 實作功能達成破解 WEP 金鑰,WEP Cracker 定 期從 Memory Buffer 或封包暫存磁碟檔案取得 WEP IV,在評估加密長度所需要 的 WEP IV 量達到後,WEP Crack 並進行破解運算,並輸出至 Application Viewer 元件,Application Viewer 內含一個 WEP 金鑰與 Access Point 對照表。或輸入已 破解之 WEP IV 可提供 WinPcap/LibPcap 模組進行截聽。
(3) 使用者介面模組(User Interface Module)
User Interface Module
Configuration
Dispatcher 元件以詢問方式檢查到記憶體緩衝區內是否有新收集的封包,並 從記憶體緩衝區取出新收集的封包。Dispatcher 元件會將封包傳送至 Packet Viewer 元件與 Application Viewer 進行封包應用層分析檢視之工作。
2. Packet Viewer 元件
Packet Viewer 元件首先將封包儲存成暫存檔,然後以現行軟體 Wireshark 封 包分析器對暫存檔解析。最後將 Wireshark 封包分析器的協定解析輸出與封包的 第二層、第三層、第四層通訊協定標頭傳到 GUI 元件並與 Application Viewer 元 件分享解析資訊(如(b))。
3. Application Viewer 元件
Application Viewer 元件將 Packet Viewer 元件解析出的資訊取出應用層資 料,並針對應用層協定封包進行應用層的重組還原。協定重組分析將於 4.4 章詳
細描述,將 Payload 分析並還原成 HTTP、FTP、SMTP/POP3、MSN 等協定。並 將應用層資料,存入資料庫中(如(d))。並由 WebGUI 讀取資料庫中,應用層協定 的監聽資料。
Application Viewer 亦接受 WEP Crack 的輸入,並使用 Hash dictionary 資料 結構記錄金鑰與 AP、時間的對照表,如表 5。
表 5: Application Viewer 記錄表
AP BSSID ESSID Timestamp Key Encrption
00:14:6C:04:57:9B 2007/6/14 11:22:34
AE:66:5C:FD:24:E3:92:A 9:14:39:D4:27:4B
WEP (684002 IVs)
Application Viewer 元件首先解析應用層的通訊協定來判斷封包是否為 HTTP、SMTP、POP3、MSN 協定。例如:封包為 HTTP 協定,Application Viewer 元件根據封包中的 Sequence number 與 Acknowledge 標頭欄位將封包以 HTTP Session 分類並重組,並更新 HTTP 對話的 HTTP 封包計數器。最後將 HTTP 資 訊結果傳到資料庫中。
4. 資料庫
資料庫接受 Application Viewer 的 SQL 輸入,將應用層資料轉存至資料庫。
以下列表 6~12 為無線封包監聽資料庫之資料綱要,依通訊協定之特性進行欄位 的記錄,可對照資料庫設計。
表 6 為 WEP 金鑰管理之資料表。
表 6: WEP 金鑰管理
AP BSSID ESSID Timestamp Key Encrption
00:14:6C:04:57:9B 2007/6/14 11:22:34
AE:66:5C:FD:24:E3:92:A 9:14:39:D4:27:4B
WEP (684002 IVs)
表 7 記錄 POP3 清單每封所寄出 email 的基本資訊,包括收信日期、時間、
[email protected] [email protected] NONE test Test… Test.doc
表 8 記錄 SMTP 清單每封所寄出 email 的基本資訊,包括收信日期、時間、
[email protected] [email protected] NONE test Test… Test.doc
FTP 清單可記錄使用者每筆上/下傳的檔案記錄,包括日期時間、使用者帳
anaon 541234 上傳 ftp.cvs.com Upload.php
Website 記錄共有 2 個部分:
• 網頁記錄 [ HTTP ]
HTTP 網頁清單可記錄瀏覽網頁之網址、時間和使用 IP,如表 10 所示。
表 10: HTTP 網頁記錄
IP 時間日期 URL
192.168.0.1 2007-04-01 13:34:45 www.tomcat.com.tw
• 網頁內容記錄 [ HTTP ( Dynamic ) ]
在網頁內容記錄的資料中,系統會記錄網頁內容的文字部分,並將非文字部 分加以過濾處理,以減少硬碟空間使用,如表 11 所示。
表 11: HTTP 內容記錄
IP 時間日期 URL 離線瀏覽
192.168.0.1 2007-04-01 13:34:45 www.tomcat.com.tw /flash/index.htm
MSN 清單可記錄使用者每筆交談記錄,包括對談日期時間、發話者帳號、
收話者帳號、交談內容 、交談筆數,如表 12 所示。
表 12:MSN 內容記錄
IP 時間日期 發話帳號 收話帳號 交談
內容 交談 筆數 192.168.0.2 2007-04-01
13:34:45
[email protected] [email protected] 會議 延期
5
5. Configuration 元件
使用者透過 GUI 可以設定無線封包監聽之篩選(Filter)條件,此 Configuration 元件會傳遞指令於 Dispatcher 元件使符合使用者監聽需求之封包將傳送至 Packet Viewer 元件與 Application Viwer 於 GUI 進行封包應用層分析檢視之工作。