6.1 w800 wifi多热点广告机
Wifi多热点广告机其原理为构造并发送Beacon帧以伪造任意WiFi热点。
阶段一:基本原理
首先需要搞清楚的是,手机、电脑等支持WiFi的设备,是如何得知周围无线热点的存在的?无线热点(通常就是无线路由器)会周期性地向外发送Beacon帧,中文名为信标帧。信标帧一个最重要的作用就是宣示无线网络的存在(但不仅仅这个作用)。
信标帧里面包含了该无线热点的一些基本信息,比如ESSID(也就是常说的网络名称,比如上图中的“1.此广告位招租”)、BSSID(接入点的MAC地址)、加密方式(比如开放无密码、WEP加密或者WPA/WPA2加密)、支持的传输速率等等。
当无线设备接收到信标帧之后,就能得知周围这个接入点的存在。那么,如果我能够构造一个Beacon帧并且发送出去,那么无线设备收到以后也一样会认为存在这么一个热点。那么当我构造很多个Beacon帧,每个帧都宣示一个接入点,并且周期性地发送这些帧,那么无线设备就会以为周边存在很多个接入点。
这就是伪造任意WiFi热点的基本原理。
阶段二:熟悉Beacon帧格式
那么接下来的目标就很明晰了——构造Beacon帧。要构造Beacon帧,就得知道一个Beacon帧的格式。而在给出Beacon帧的格式之前,需要先说明一下802.11管理帧的通用格式:
格式中每一个字段上面的数字是指该字段占用的字节数,比如Frame Control占用2字节,Destination Address占用6字节等等。
一、Frame Control,中文名为帧控制字段,占2个字节,各个位的定义如下:
(1)Protocol字段由两位构成,用以显示该帧所使用的版本号。目前802.11只有一个版本,编号为0。所以Protocol的值是00。
(2)Type字段由两位构成,Sub type字段由4位构成。802.11帧共有三种类型的帧,分别是管理帧、控制帧与数据帧。而每种类型又分为多种子类型。Beacon帧的Type字段值为00(管理帧),而Sub type字段值为1000。
(3)To DS位与From DS位用来指示帧的目的地是否为分布式系统,定义如下:
由于Beacon帧属于管理帧,所以To DS与From DS都是0。
(4)Mor Fragments位,类似于IP分包的more fragments位。因为802.11帧对负载有长度限制,所以当上层传入很大的数据时,需要分段传送。Beacon帧不需要分段,所以该位为0。
(5)Retry位。有时需要重传帧,任何重传的帧都要将此位置为1,否则为0。Beacon帧不存在重传的情况,所以该位为0。
(6)Power Management位。很多无线设备是以电池供电的,比如手机。当没有数据流量时,关闭无线发射器可以延长电池的使用时间。如果无线设备要把该位置为1,那么就意味着这个帧(或者这次数据交换)传送完成之后,无线设备将进入省电模式。由于接入点是不 允许进入省电模式的,所以Beacon帧的该位为0。
(7)More data位。为了服务处于省电模式中的无线设备,接入点会将那些要传给无线设备的帧加以缓存。如果无线设备从省电模式中醒来之后,收到一个帧中发现该位置1,说明接入点还有更多的缓存的数据要发送给无线设备。如果只是为了伪造Beacon帧的话,那么这一位一直为0即可。
(8)Protected Frame位如果被置为1的话,则说明该帧是受到链路层安全协议的保护的,比如WEP和WPA/WPA2。Beacon管理帧是不需要加密的,所以为0。
(9)Order位如果被置位,那么就表明帧进入了严格依次传送模式,不过发送端与接收端必须付出额外的代价。Beacon帧的该位为0。
由此可得,我们构造的Beacon帧的Frame Control字段为0×80 0×00(按图中的顺序就是00000001,00000000,考虑高位在后,那么就是二进制的10000000,00000000,即0×80 0×00)。
二、Duration字段在802.11帧中用来预约媒介占用时间。简单来说就是,每一个帧都会通过Duration字段来告知所有的无线设备:“我还要占用媒介多长时间!”。Duration字段保障了一系列原子操作不被打断,当然,前提是大家都遵守802.11协议~而Beacon帧属于广播,没有后续数据交互,所以其Duration为0,即0×00 0×00。
三、Destination Address即为目的地址,为接收端的MAC地址。由于Beacon帧是广播帧,所以目的地址就是广播地址,即FF:FF:FF:FF:FF:FF。
四、Source Address即为源地址,为发送端的MAC地址。发送端地址通常就是接入点的MAC地址,但是也有例外,比如中间加了一个中继器,那么发送端的MAC地址就是中继器的地址了。
五、BSSID就是接入点的MAC地址了。
六、Seq-ID(Sequence Control)字段中文名为顺序控制字段,它的低4位是分段编号,而高12位为顺序编号。帧片段之间的差异在于分段编号。第一个片段的编号为0,其后每个片段的分段编号依次加以,而它们的顺序编号相同。除了最后一个分段,所有分段的More data位都置位。由于Beacon帧通常不分段,所以低4位为0000,高12位为顺序编号。
七、Frame body即为帧主体。如果该帧是数据帧,那么帧主题就是数据的有效载荷,如果是管理帧,那么通常是各种信息元素(将在下面讲解)。
八、FCS,中文名帧校验序列,通常就是循环冗余校验码CRC。
阶段三:熟悉Beacon帧主体Frame Body
从上面的分析中可以看出,最重要的内容还是包含在Frame body中。管理帧的Frame body有若干信息元素构成。信息元素有固定长度的信息元素与可变长度的信息元素构成。固定长度的信息元素占用的字节数固定,比如Timestamp固定占用8字节。而可变长度的信息元素占用的字节数不确定,比如Beacon帧中表示网络名称的ESSID。信息元素也可分为必选信息元素与可选信息元素,既然我们只是要构造一个符合条件的,那么就从简处理,构造最简的Frame body即可,那么只需要包含必选的四个信息元素即可:Timestamp、Beacon interval、Capability info和SSID。
一、Timestamp,占用8字节的时间戳可用来同步BSS中的无线设备。BSS的主定时器会定期传送目前已运行的微秒数。当计数器达到最大值时就会从0开始计数。对于长64位、可计数超过58万年的计数器,要从头开始计数,呵呵。
二、Beacon interval,占用2字节,用来设定Beacon信号之间相隔多少时间单位。时间单位通常缩写为TU,代表1024微秒。Beacon interval通常会被设定为100个TU,大约每0.1秒发送一次Beacon信号。
三、Capability info共16位,用来告知网络具备何种性能。每一个位各自代表一个标记,对应到网络所具备的某种特殊功能。工作站会使用这些通告数据来判断自己是否支持该BSS所有的功能。未实现性能通告中所有功能的工作站就无法加入该BSS。各位的定义如下(引用自《802.11无线网络权威指南 第二版》):
(1)ESS置位则表示该网络是一个扩展服务集的基本结构型,也就是接入点通常创建的网络。IBSS与ESS互斥,如果IBSS置位,则该网络是独立基本服务器网络,也就是常说的无线网卡直连。
(2)CF-Pollable与CF-Poll request为无竞争-轮询位,表示与省电模式相关的功能。工作站从省电模式醒来之后,可以向工作站轮询是否有缓存的帧。Poll即轮询的意思。对于接入点而言,这两位的组合代表的含义如下表:
(3)Privacy,保密性。如果将Privacy位设定为0,并且接下来没有WPA信息元素,那么该无线网络即为开放无密码。如果将该为设定为1,代表需要使用WEP以维持机密性。
(4)Short Preamble,短前导码,802.11b规范新增此字段是为了支持高速直接序列扩频物理层。设定为1,代表此网络目前使用短前导码。0代表不使用此选型,并且在该BSS中禁止使用短前导码。802.11g规定使用短前导码,因此在依据802.11g标准所构建的网络中,此字段必须为1。
(5)PBCC,封包二进制回旋码,802.11b规范新增此字段是为了支持高速直接序列扩频物理层。设定为1,代表此网络目前使用封包二进制回旋码调制机制,0代表不使用此选项并且在该BSS中禁止使用封包二进制回旋码。
(6)Channel Agility,机动信道转换,此字段加入802.11b规范是为了支持高速直接序列扩频物理层。设定为1,代表此网络使用机动信道转换选项,0代表不使用此选项并且在该BSS中禁止使用机动信道转换。
(7)Short Slot Time,该选项是802.11g规范新增的,设定为1代表使用较短的时隙。
(8)DSSS-OFDM,该选项是802.11g规范新增的,设定为1代表使用DSSS-OFDM帧构造。
如果我们要构造一个最简的Beacon帧,Capability info字段可以设为0×01 0×00,如果要变成WEP加密的,那么就可以设为0×11 0×00,当然,很多选项选不选无所谓。
四、SSID,服务集标识符,是一个可变长的信息元素,也就是通常说的网络名称。可变长的信息元素的通用格式为:
而SSID的Element ID是0。有些文档将SSID视为网络名称,因为网管人员通常以字符串来指定SSID。其实,SSID不过是由字节所形成的字符串,用来标示所属网络的BSSID。有些产品要求此字符串必须是以null(即0)结尾的ASCII字符串,虽然标准对此并无特别规范。SSID的长度介于0至32个字节之间。假如要伪造的热点的名词为“hello”,那么这个元素就应该为0,5,’h’,’e’,’l’,’l’,’o’。
阶段四:编写代码构造Beacon帧
由此,我们已经弄清了一个最简Beacon帧的每个细节,除了最后的校验码FCS。让我们来总结一下最后的Beacon帧的样子吧~举个例子,我想伪造一个开放的、名为”hello,carrot!”的、接入点MAC地址为ec:17:2f:2d:b6:b8的接入点,那么最简的Beacon帧应该这样:
具体协议实现可查看程序源码:
uint8_t wifipkt[128] = { 0x80, 0x00, 0x00, 0x00,
/4/0xff, 0xff, 0xff, 0xff, 0xff, 0xff,
/10/0x01, 0x02, 0x03, 0x04, 0x05, 0x06,
/16/0x01, 0x02, 0x03, 0x04, 0x05, 0x06,
/22/0xc0, 0x6c,
/24/0x83, 0x51, 0xf7, 0x8f, 0x0f, 0x00, 0x00, 0x00,
/32/0x56, 0x00,
/34/0x01, 0x04,
/* SSID /
/36*/0x00
};
uint8_t pktsuffix[] = {
0x01, 0x08, 0x82, 0x84,
0x8b, 0x96, 0x24, 0x30, 0x48, 0x6c, 0x03, 0x01,
0x04
};
void beacon_spam_init()
{
//close station mode
if (tls_wifi_get_listen_mode() != 0)
{
tls_wifi_set_listen_mode(0);
}
//set to station mode
uint8_t wmode;
int ret = tls_param_get(TLS_PARAM_ID_WPROTOCOL, (void *) &wmode, (bool) 0);
if (ret != 0)
{
printf("tls_param_get ERROR !
");
}
if (wmode != IEEE80211_MODE_INFRA)
{
wmode = IEEE80211_MODE_INFRA;
ret = tls_param_set(TLS_PARAM_ID_WPROTOCOL, (void *) &wmode, (bool) 0);
}
//get chip mac
uint8_t *mac = NULL;
mac = wpa_supplicant_get_mac();
if (mac != NULL)
{
if ((mac[0] != 0xff) && (mac[0] != 0x00))
{
memcpy(mac_temp, mac, 6);
srand(mac_temp[5]);
mac_temp[4] = rand()/256;
}
else
{
printf("tls_get_mac_addr: %02x%02x%02x%02x%02x%02x ! !
", mac[0], mac[1], mac[2], mac[3], mac[4], mac[5]);
}
}
else
{
printf("tls_get_mac_addr err !
");
}
}
static void beacon_spam_handle(void *ptmr, void *parg)
{
static uint8_t rnd = 0;
uint8_t i = 0;
wifipkt[10] = wifipkt[16] = mac_temp[0];
wifipkt[11] = wifipkt[17] = mac_temp[1];
wifipkt[12] = wifipkt[18] = mac_temp[2];
wifipkt[13] = wifipkt[19] = mac_temp[3];
wifipkt[14] = wifipkt[20] = mac_temp[4];
wifipkt[15] = wifipkt[21] = rnd + 0x10;
// printf("rnd: %d
", rnd);
// printf("MAC: %02X%02X%02X%02X%02X%02X
", wifipkt[10], wifipkt[11], wifipkt[12], wifipkt[13], wifipkt[14], wifipkt[15]);
count = 37;
wifipkt[count++] = strlen(ssids[rnd]);
for (i = 0; i < strlen(ssids[rnd]); i++)
{
wifipkt[count++] = ssids[rnd][i];
}
for (i = 0; i < sizeof(pktsuffix); i++)
{
wifipkt[count++] = pktsuffix[i];
}
channel = channel_list[rnd];
tls_wifi_change_chanel(channel - 1);
wifipkt[count - 1] = channel;
int ret = tls_wifi_send_data(NULL, wifipkt, count, NULL);
if (ret != 0)
{
printf("send err : %d
", ret);
}
if (++rnd >= maxssids)
rnd = 0;
}
程序编译并下载到开发板运行,可以搜素到开发板产生的热点:
