МИНИСТЕРСТВО НАУКИ И ВЫСШЕГО ОБРАЗОВАНИЯ

РОССИЙСКОЙ ФЕДЕРАЦИИ
ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО
ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
НИУ МИЭТ
Кафедра: ТКС

Отчет по дисциплине: Сетевое программирование

тема: Описание канального уровня и методик прослушивания канала связи в
сетях Wi-Fi.

Выполнил: группы ИКТ-21М Насруллоев С.Ш.

Проверил: Муратчаев С. С.

Москва 2020
 СОДЕРЖАНИЕ

Введение..................................................................................................................... 3

Глава 1. Описание канального уровня.....................................................................5

1.2 Обнаружение ошибок..........................................................................................5

1.3 Управление потоком и множественный доступ................................................6

1.4 Существует два типа процесса управления потоком:.......................................6

Глава 2. Методы прослушивания канала связи в WiFi сетях.................................8

2.1. Захват пакетов беспроводной локальной сети в режиме монитора с

помощью iw.............................................................................................................8

2.2 Начало работы с iw..............................................................................................8

2.3 Захват в режиме монитора..................................................................................9

2.4. Анализ захваченного трафика с помощью Wireshark....................................10

Использованные источники....................................................................................17
 ВВЕДЕНИЕ
В настоящее время очень популярными стали открытые сети Wi-Fi для

подключения к которым не требуется пароль. Они есть в метро, в торговых

центрах, ресторанах, спортивных залах, в отелях, в частных больницах и

поликлиниках, в апартаментах и кондоминиумах — их можно найти практически

везде, где собирается довольно много людей.

При использовании открытой Wi-Fi сетью нужно хорошо понимать, что:

1) все данные передаются радиоволнами, то есть в отличие от провода, к

которому далеко не каждый может получить доступ, радиоволны могут

перехватываться кем угодно, кто находится в диапазоне досягаемости

2) в открытых сетях данные не зашифрованы.

С первым пунктом, думаю, всё понятно: если кто-то с компьютером и Wi-Fi

картой находится достаточно близкой, то он может захватывать и сохранять весь

трафик, передаваемый между беспроводной ТД и всеми её клиентами.

Что касается второго пункта, то нужно пояснить по поводу шифрования

передаваемых данных. Например, если вы открываете какой-либо сайт, который

использует протокол HTTPS (то есть безопасный протокол), то передаваемые

данные на этот сайт и с этого сайта к вам зашифрованы. Даже сайты, которые

используют HTTPS, могут непроизвольно выдавать данные. Если вы открываете

сайт работающий по протоколу HTTP, то все передаваемые данные: какие

страницы вы посетили, какие комментарии оставили, какие cookies получил ваш

веб-браузер — эти данные передаются в незашифрованном виде. Так вот, если вы

подключены к Wi-Fi ТД которая требует ввод пароля, то передаваемый трафик

шифруется ещё раз. То есть даже если вы открываете сайт на протоколе HTTPS, то

передаваемый трафик шифруется два раза (первый раз при передаче от веб-

браузера до веб-сервера и в обратном направлении, второй раз при передаче от

вашего устройства и до Точки Доступа, а также в обратном направлении). А если

3
вы открываете сайт на протоколе HTTP, то передаваемый трафик шифруется

только один раз (только при передаче от вашего устройства до Точки Доступа и

обратно). Но открытые точки доступа не шифруют трафик. Из этого следует: если

вы используете открытую точку доступа и открываете сайт, работающий на

протоколе HTTP, значит ваши данные передаются в открытом виде, и кто угодно

рядом с вами может их захватить и сохранить. Если вы открываете сайт на

протоколе HTTPS, то эти данные зашифрованы, тем не менее, всё равно видно,

какие именно сайты вы открывали (хотя не видно, какие именно страницы и что вы

вводили, например, какие оставили комментарии).

4
 Глава 1. Описание канального уровня
Канальный уровень, так называемый уровень передачи данных – это второй
уровень эталонной модели OSI, основная функция которого заключается в
обнаружение ошибок и объединение битов данных в фреймы. Объединяя
необработанные данные в байты и дальше в фреймы и передает пакет данных на
сетевой уровень нужного хоста. В конечном пункте назначения уровень канала
передачи данных принимает сигнал, декодирует его в кадры и передает
аппаратному обеспечению.
Спецификация IEEE 802 разделяет этот уровень на 2 подуровня. MAC
(Media Access Control, или Medium Access Control) регулирует доступ к
разделяемой физической среде, LLC (Logical Link Control) обеспечивает
обслуживание сетевого уровня.
MAC-адрес: уровень канала передачи данных контролирует физическую
адресную систему, называемую MAC-адресом для сетей, и обрабатывает доступ
различных сетевых компонентов к физическому носителю.
Адрес управления доступом к мультимедиа - это уникальный адрес
устройства, и каждое устройство или компонент в сети имеет MAC-адрес, на
основании которого мы можем однозначно идентифицировать устройство сети.
Это уникальный 12-значный адрес.
Пример MAC-адреса - 3C-95-09-9C-21-G1 (имеющий 6 октетов, где первые 3
представляют OUI, следующие три представляют NIC). Он также может быть
известен как физический адрес. Структура MAC-адреса определяется организацией
IEEE, поскольку она глобально принята всеми фирмами.
LLC: (Logical Link Control) уровень управления логической связью канала
передачи данных, который отвечает за управление потоком и контроль ошибок,
которые обеспечивают безошибочную и точную передачу данных между узлами
сети. Уровень LLC управляет синхронизацией кадров, управлением потоком и
проверкой ошибок.
1.2 Обнаружение ошибок.
На этом уровне выполняется только обнаружение ошибок, а не коррекция
ошибок. Коррекция ошибок производится на транспортном уровне.

5
 Иногда сигналы данных сталкиваются с некоторыми нежелательными
сигналами, известными как биты ошибок. Чтобы справиться с ошибками, этот слой
выполняет обнаружение ошибок. Циклическая проверка избыточности (CRC) и
контрольная сумма-это немногие эффективные методы проверки ошибок.
1.3 Управление потоком и множественный доступ.
Данные, которые передаются в виде кадра между отправителем и
получателем по средам передачи на этом уровне, должны передаваться и
приниматься с одинаковой скоростью. Когда кадр передается по носителю с более
высокой скоростью, чем рабочая скорость приемника, то данные, которые будут
приняты на приемном узле, будут потеряны из-за несоответствия скорости.
Для преодоления такого рода проблем канальный уровень выполняет
механизм управления потоком.
1.4 Существует два типа процесса управления потоком:
Остановить и дождаться контроля потока: В этом механизме он толкает
отправителя после передачи данных остановиться и подождать с конца приемника,
чтобы получить подтверждение кадра, принятого на конце приемника. Второй кадр
данных передается по носителю только после получения первого подтверждения, и
процесс продолжается.
Раздвижное окно: В этом процессе и отправитель, и получатель будут
решать количество кадров, после которых подтверждение должно быть обменено.
Этот процесс экономит время, так как в процессе управления потоком
используется меньше ресурсов.
Этот уровень также предусматривает предоставление доступа к нескольким
устройствам для передачи данных через один и тот же носитель без столкновения с
помощью использования CSMA / CD протоколы множественного
доступа/обнаружения столкновений (carrier sense multiple access / collision
detection).
Синхронизация: Оба устройства, между которыми происходит обмен
данными, должны быть синхронизированы друг с другом на обоих концах, чтобы
передача данных могла происходить плавно.
Коммутаторы второго уровня: Коммутаторы второго уровня- это
устройства, которые передают данные на следующий уровень на основе
6
физического адреса (MAC-адреса) машины. Сначала он собирает MAC-адрес
устройства на порту, на котором должен быть получен кадр, а затем узнает
назначение MAC-адреса из адресной таблицы и направляет кадр к назначению
следующего уровня. Если адрес хоста назначения не указан, то он просто передает
фрейм данных на все порты, кроме того, с которого он узнал адрес источника.
Мосты: Мосты-это двухпортовое устройство, которое работает на
канальном уровне передачи данных и используется для подключения двух
локальных сетей. В дополнение к этому он ведет себя как ретранслятор с
дополнительной функцией фильтрации нежелательных данных путем изучения
MAC-адреса и пересылки его дальше к узлу назначения. Он используется для
подключения сетей, работающих по одному и тому же протоколу.

7
 Глава 2. Методы прослушивания канала связи в WiFi сетях.
Прослушивание трафика в локальных сетях производится с помощью
специальных программ – снифферов (sniffers). Эта программа отлавливает пакеты,
которые приходят на сетевой интерфейс компьютера, и позволяет
проанализировать их.
Ввиду того, что некоторые сетевые приложения передают данные в
текстовом формате (HTTP, FTP, SMTP, POP3 и т.д.), с помощью сниффера можно
узнать полезную, а иногда и конфиденциальную информацию (например, имена
пользователей и пароли). Перехват имен и паролей создает большую опасность, так
как пользователи часто применяют один и тот же логин и пароль для множества
ресурсов и приложений.
2.1. Захват пакетов беспроводной локальной сети в режиме монитора с
помощью iw.
Команда iw предназначена для замены iwconfig, но iw кажется гораздо более
мощным для просмотра/настройки беспроводной информации.
2.2 Начало работы с iw
Во-первых, имейте в виду, что iw различает аппаратные устройства
беспроводной локальной сети (физический уровень, называемый phy) и сетевой
интерфейс, настроенный для использования этого оборудования (например , wlan0,

подобный интерфейсу Ethernet eth0). Чтобы просмотреть список устройств и

интерфейсы для каждого устройства:

$ iw dev
phy#0
Interface wlan0
ifindex 3
type managed

В моем случае (и, скорее всего, для большинства типичных компьютеров)

аппаратное обеспечение естьphy0, А мой сетевой интерфейс есть wlan0. Вы
можете увидеть подробную информацию об аппаратном обеспечении с помощью:

$ iw phy phy0 info

Wiphy phy0

8
 Band 1:
Capabilities: 0x172
HT20/HT40
...
Supported interface modes:
* IBSS
* managed
* AP
* AP/VLAN
* WDS
* monitor
* mesh point
software interface modes (can always be added):
* AP/VLAN
* monitor
...

Важным для следующего шага является то, что

поддерживаемые/программные режимы интерфейса должны включать запись для
"монитора", то есть ваше оборудование поддерживает режим монитора. Если нет
записи "монитор", то вы не сможете захватить данные других людей, используя
следующие шаги.
2.3 Захват в режиме монитора
Если ваше аппаратное устройство поддерживает режим монитора, то вы
должны добавить вызываемый интерфейс монитора mon0.

$ sudo iw phy phy0 interface add mon0 type monitor

Вы можете проверить, что он добавлен:

$ iw dev
phy#0
Interface mon0
ifindex 4
type monitor
Interface wlan0
ifindex 3
type managed

Мы будем захватывать с mon0помощью интерфейса, так что вы можете

удалить обычный wlan0интерфейс:

$ sudo iw dev wlan0 del

Теперь включите mon0интерфейс с помощьюifconfig:

9
$ sudo ifconfig mon0 up

Перед захватом укажите частоту беспроводной локальной сети, которую вы

хотите захватить. Вы должны выбрать частоту, основанную на каналах,
используемых соседними точками доступа. Частота задается в Мгц, например,
канал 6 равен 2437.

Рисунок 1. 2.4 GHz Wi-Fi каналы (802.11 b, g WLAN)

$ sudo iw dev mon0 set freq 2437

Чтобы проверить, что ваш интерфейс находится в режиме монитора и

использует правильную частоту, вы можете использовать iwconfig:

$ iwconfig mon0
mon0 IEEE 802.11bgn Mode:Monitor Frequency:2.437 GHz Tx-Power=20 dBm
Retry long limit:7 RTS thr:off Fragment thr:off
Power Management:on

Теперь вы можете захватить, например, с помощью tcpdump:

$ sudo tcpdump -i mon0 -n -w RN 9 PRO.cap

Ctrl-C, чтобы остановить захват, а затем просмотр с помощью Wireshark. 

2.4. Анализ захваченного трафика с помощью Wireshark.

После захвата пакетов будет создан файл с расширением .cap (например RN
9 PRO.cap)
Анализируем данные с помошью Wireshark.
Откройте файл с захваченными данными в Wireshark.

10
 Для выделения разных данных нам понадобятся фильтры Wireshark. Здесь я
покажу пример использования только некоторых фильтров, рекомендуется изучить
большую подборку полезных фильтров Wireshark здесь.
Для оценки качества захвата, можно начать с фильтров, которые выводят
результаты анализа TCP протокола.
Например:
1 tcp.analysis.duplicate_ack_num == 1

Этот фильтр выводит информацию о фреймах с флагом ACK, которые

являются дублями. Большое количество таких фреймов может говорить о
проблемах связи между Клиентом и Точкой Доступа.

11
 Фильтр показа фреймов для которых не захвачен предыдущий сегмент:

1 tcp.analysis.ack_lost_segment

Для показа фреймов, которые являются ретрансмиссией (отправляются

повторно):
1 tcp.analysis.retransmission

Большое количество таких фреймов может говорить о том, что между

Клиентом и ТД плохая связь и им часто приходится отправлять повторно одни и те
же данные.

12
 С помощью фильтра arp можно увидеть трафик — с его помощью удобно
анализировать, сколько всего устройств в данный момент подключено к локальной
сети, какие у них IP адреса и какие MAC адреса. Зная MAC адрес устройства
можно узнать его производителя.
1 arp

С помощью фильтра
1 dns
можно увидеть все отправленные DNS запросы.

13
 Благодаря этим запросам можно узнать, какие сайты посещали пользователи
(даже если эти сайты используют HTTPS!), а также к каким онлайн сервисам были
сделаны запросы.
Например, на рисунке выше можно увидеть mobile-gtalk.l.google.com. – это
мобильный Google Ассистент.

Для фильтрации HTTP трафика вводим:

1 http

Здесь тоже Google Ассистент.

С помощью фильтра
1 http.cookie
можно увидеть HTTP запросы, в которых передавались кукиз.

14
 Для поиска любых переданных изображений:
1 http.content_type contains "image"

Для поиска определённых видов изображений:

1 http.content_type contains "gif"
2 http.content_type contains "jpeg"
3 http.content_type contains "png"
Для поиска файлов определённого типа:
1 http.content_type contains "text"
2 http.content_type contains "xml"
3 http.content_type contains "html"
4 http.content_type contains "json"
5 http.content_type contains "javascript"
6 http.content_type contains "x-www-form-urlencode"
7 http.content_type contains "compressed"
8 http.content_type contains "application"

Поиска в Wireshark запросов на получения файлов определённого типа.

Например, для поиска переданных ZIP архивов:
1 http.request.uri contains "zip"

Вместо http.request.uri для большей точности можно использовать фильтры

http.request.uri.path или http.request.uri.query, например, для поиска запросов на
скачивание файлов JPG (ссылки на картинки):
1 http.request.uri.path contains "jpg"
15
 Фильтр, который показывает только данные, переданные методом POST:
1 http.request.method == "POST"

Фильтр, который показывает только данные, переданные методом GET:

1 http.request.method == "GET"
Поиск запросов к определённому сайту (хосту):
1 http.host == "<URL>"
Поиск запросов к определённому сайту по части имени:
1 http.host contains "здесь.частичное.имя"

16
 ИСПОЛЬЗОВАННЫЕ ИСТОЧНИКИ:

1. Канальный уровень - https://ru.wikipedia.org/wiki/Канальный_уровень

2. The 7 Layers Of The OSI Model - https://www.webopedia.com/reference/osi-layers/
3. 7 Layers Of The OSI Model (A Complete Guide),Last Updated:December 21, 2020-
https://www.softwaretestinghelp.com/osi-model-layers/
4. OSI Model: The 7 Layers of Network Architecture - https://www.bmc.com/blogs/osi-
model-7-layers/
5. Перехват трафика в сетях WiFi – https.hackware.rup=7441
6. Прослушивание сетевого трафика
-https://vuzlit.ru/980867/proslushivanie_setevogo_trafika
7. Прослушивание сети sniffing - https://megalektsii.ru/s21157t1.html
8. Как провести перехват и скрытый анализ WiFi трафика без подключения к
роутеру - https://networkguru.ru/perekhvat-i-analiz-wifi-trafika/
9. Capturing Wireless LAN Packets in Monitor Mode with iw
-https://sandilands.info/sgordon/capturing-wifi-in-monitor-mode-with-iw
10. Прослушивание сетевого графика - https://www.delphiplus.org/zashchita-ot-
khakerov-korporativnykh-setei/proslushivanie-setevogo-grafika.html
11. Взлом wifi и прослушка трафика -
https://ru.stackoverflow.com/questions/515907/Взлом-wifi-и-прослушка-трафика
12. A hacker intercepted your WiFi traffic, stole your contacts, passwords, & financial
data - https://hackernoon.com/a-hacker-intercepted-your-wifi-traffic-stole-your-
contacts-passwords-financial-data-heres-how-4fc0df9ff152
13. How To Decrypt 802. 11 - The Wireshark Wiki -
https://wiki.wireshark.org/HowToDecrypt802.11

17