Miloš Ilić BKS domaći 2

1. Koji su SSID-evi bežičnih pristupnih tačaka koje imaju najviše Beacon okvira u ovom snimku saobradaja? -Primenom filtera wlan.fc.type_subtype==8 dobijamo sve beacon frejmove od svih AP. Primenom (wlan.fc.type_subtype==8) and (wlan_mgt.ssid=="30 Munroe St") dobijamo samo za access point sa ssid “30 Munroe St” koliko je beacon frejmova poslao. Tako isto uradimo I za ostale SSID-ove I na osnovu toga dobijamo da je rezultat sledeci:

Najvise beacon okvira ima 30 Munroe St (718), zatim ide linksys12 (25), pa linksys_SES_24086 (7)

2. Koji je vremenski interval za slanje Beacon okvira kod linksys_ses_24086 AP? A kod 30 Munroe St AP?

linksys_SES_24086wlan_mgt.ssid eq "linksys_SES_24086"Dobijem da je Beacon interval 0,102400 sekunde.

Za 30 Munroe St vreme odašiljanja beacon frejma je 0,102400 s. filter wlan_mgt.ssid eq "30 Munroe St"

3. Koja je izvorišna MAC adresa (u heksadecimalnom obliku) Beacon okvira od 30 Munroe St AP.

Izvorišna MAC adresa od 30 Munroe St je 00:16:b6:f7:1d:51

4. Koja je odredišna MAC adresa (u heksadecimalnom obliku) Beacon okvira od 30 Munroe St AP. odredisna adresa je: ff:ff:ff:ff:ff:ff dokaz slika iznad, u delu destination address

5. Koji je MAC BSS identifikator (u heksadecimalnom obliku) za Beacon okvire od 30 Munroe St AP.

00:16:b6:f7:1d:51, isto kao I mac adresa.

6. Koje brzine prenosa podataka podržava 30 Munroe St AP? Podržane brzine 1(B), 2(B), 5,5(B), 11(B) Mb/sExtended Supported rates 6(B), 9, 12(B), 18, 24(B), 36, 48, 54 Mb/s

7. Pronadi 802.11 okvir koji sadrži prvi SYN TCP segment za prvu TCP sesiju (u kojoj se preuzima alice.txt fajl). U kom vremenskom trenutku je poslat TCP SYN? Koje su vrednosti MAC adresa u tom 802.11 okviru? Koja MAC adresa odgovara bežičnom klijentu (u heksadecimalnom obliku)? Koja MAC adresa pripada AP? Koja MAC adresa pripada DG? Koja je IP adesa hosta koji šalje ovaj TCP segment? Koja je odredišna IP adresa? Kom uređaju pripada destinaciopna IP adresa?

filter tcp.flags.syn prikazuje sve syn segmente.Tcp syn je poslatu u trenutku 24,811093 frejm je 474.BSS id je 00:16:b6:f7:1d:51. MAC adresa pošiljaoca je 00:13:02:d1:b6:4f. MAC adresa odredišta je 00:16:b6:f4:eb:a8, to je i prvi hop-ruter.

IP adresa pošiljaoca je 192.168.1.109 wireless PC. IP Adresa primaoca 128.199.245.12

8. Pronadi 802.11 okvir koji sadrži SYN-ACK segment ove TCP sesije. U kom vremenskom trenutku je primljen TCP SYN-ACK segment? Koje su vrednosti MAC adresa u tom 802.11 okviru? Koja MAC adresa odgovara bežičnom klijentu (u heksadecimalnom obliku)? Koja MAC adresa pripada AP? Koja MAC adresa pripada DG? Koja je IP adesa hosta koji šalje ovaj TCPsegment? Koja je odredišna IP adresa? Kom uređaju pripada destinaciopna IP adresa?

TCP SYNACK je primljen u frejmu 476, vremenski trebutak 24.827751MAC adresa pošiljaoca je 00:16:b6:f4:eb:a8(klijent). MAC adresa primaoca je 91:2a:b0:49:b6:4f. MAC adresa AP 00:16:b6:f7:1d:51.

IP hosta 128.119.245.12, odredisna ip 192.168.1.109.

9. Koje dve informacije je poslao bežični klijent (odmah nakon t=49) kako bi raskinuo vezu sa 30 Munroe St AP? (IP i MAC informacija). Koji okvir smo očekivali da de se videti kod ove akcije raskidanja veze, ali se nije video?

t = 49.583615 poslat je DHCP od strane klijenta sa ip adrese 192.168.1.109 DHCP serveru da bi najavio svoj odlazak. t=49.609617 klijent šalje Deauthentication

Mogao je da se očekuje paket koji sadrži disassociate , nema ga primenom filtera wlan.fc.type_subtype eq 12.

10. Nadi AUTHENTICATION okvire poslate od strane bežičnog klijenta ka AP, i obratno. Kada je prvi AUTHENTICATION okvir poslat od strane bežičnog klijenta (sa MAC adresom Cisco_Li_f5:ba:bb) ka linksys_ses_24086 AP. Vremenski period oko t=49.

Filterom wlan.fc.type_subtype eq 11 dobijem sve frejmove koji sadrže Authentication ima ih 19,Prvi AUTHENTICATION ovir sa hosta na AP poslat je u intervalu t = 49.638857

11. Kakvu vrstu autentifikacije potražuje klijent, otvorenu ili koristedi ključ?

Klijent želi da autentikacija bude otvorena. U Authentication Algorithm stoji Open System.

12. Da li se vidi AUTHENTICATION REPLY okvir od strane linksys_ses_24086 AP? (wlan.addr eq Cisco-Li_f5:ba:bb) and (wlan.fc.type_subtype eq 11)

Nije poslat nijedan frejm authentication sa Linksys_SES_24086.

13. Sada treba ustanoviti šta se dešava kada klijent odustane od povezivanja na linksys_ses_24086 AP i ponovo započne uspostavu veze ka 30 Munroe St AP. Potražiti AUTHENTICATION okvire poslate od strane klijenta ka AP, i obratno. Koja su vremena kada je klijent posalo AUTHENTICATION okvire ka 30 Munroe St AP, i kada je AP poslao AUTHENTICATION REPLY okvir (korstiti filter wlan.fc.subtype == 11and wlan.fc.type == 0 and wlan.addr == IntelCor_d1:b6:4f)

(wlan.fc.type_subtype eq 11) and (wlan.addr eq IntelCor_d1:b6:4f)Prikazuju se frejmovi koje je klijent slao da se poveže (wlan.addr eq Cisco-Li_f7:1d:51) and (wlan.fc.type_subtype eq 11)

U vremenskom trenutku t = 63.168087 Authentication frejm poslat sa 00:13:02:d1:b6:4f klijenta na Cisco 00:16:b7:f7:1d:51.U vremenskom trenutku t =63.169071 Authentication frejm je poslat kao odgovor od BSS ka Klijentu

14. Nastavidemo posmatranje asocijacije bežičnog klijenta sa 30 Munroe St AP koja se odigrava posle t=63,0. U koje vreme je klijent poslao ASSOCIATE REQUEST ka 30 Munroe St AP? Kada je poslat odgovarajudi ASSOCIATE REPLY?

wlan.fc.subtype < 2 and wlan.fc.type == 0 and wlan.addr == IntelCor_d1:b6:4f

ASSOCIATE REQUESTU vremenskom intervalu t = 63.169910 ASSOCIATE REQUEST

ASSOCIATE RESPONSEU vremenskom intervalu t = 63.192101 ASSOCIATE RESPONSE je poslat kao odgovor.

15. Koje brzine prenosa podataka klijent želi da koristi? A koje brzine AP? U ASSOCIATION REQUEST frejmu brzine prenosa (supported bit rates) Supported rates: 1.0(B) 2.0(B) 5.5(B) 11.0(B) 6.0(B) 9.0 12.0(B) 18.0 [Mbit/sec] Extended Supported rates: 24.0(B) 36.0 48.0 54.0 [Mbit/sec]

Iste brzine su i u ASSOSIATION RESPONSE . (koji se odnosi na AP)

16. Pronađite PROBE REQUEST i PROBE RESPONSE (kao dogovor na REQUEST) okvire koji su snimljeni nakon t=2,0 sekundi. Kada Kada su poslati ovi okviri, i koje su MAC adrese pošiljaoca, primaoca i AP-a. Koja je namena ovih okvira?

wlan.fc.type_subtype eq 4 izlistava probe request okvire

U vremenskom intervalu t = 2.297613 poslat je PROBE REQUEST sa 00:12:f0:1f:57:13 na broadcast, : ff:ff:ff:ff:ff:ff adresu, BSSID je takodje broadcast adresa.

wlan.fc.type_subtype eq 5 izlistava probe response okvire

U vremenskom intervalu t = 2.300697 poslat je PROBE RESPONSE sa 00:16:b6:f7:1d:51, na destinaciju 00:12:f0:1f:57:13 , BSSID je 00:16:b6:f7:1d:51.

Probe Request se koristi za aktivno traženje AP, Probe Response se salje od strane AP u kom se salje zahtev