Советы по использованию airodump-ng

Какие значения полей отображаются в airodump-ng.

 

Airodump-ng отображает список обнаруженных точек доступа, а так же список подключенных станций. Вот пример скриншота:

Пример использования airodump-ng
Dante

 

Первая строка отображает текущий канал, прошедшее время работы, текущую дату, а так же при необходимости WPA/WPA2 handshake если оно было обнаружено. В приведенном выше примере надпись “WPA handshake: 00:14:6C:7E:40:80” указывает что WPA/WPA2 handshake было успешно захвачено для BSSID.

 

В приведенном выше примере скорость клиента “36-24” значит:

 

Первое число показывает последнюю скорость передачи данных от точки доступа (BSSID) к клиенту (STATION). В данном случае 36 мегабит в секунду.

 

Второе число показывает последнюю скорость передачи данных от клиента (STATION) к точке доступа (BSSID). В данном случае 24 мегабита в секунду.

 

Эти скорости могут потенциально изменяться с каждой передачей пакетов. Это просто отображение последней скорости.

 

Эти показатели отображаются когда клиент и точка доступа привязаны к одному каналу, скорость же передачи отображается как часть клиентов перечисленных ниже.

 

Примечание: APs необходимо более одного пакета, для того чтобы появится на экране. APs с одного пакета не отображается.

 

Поле Описание
BSSID MAC-адрес точки доступа. Если в клиентском разделе BSSID отображается ”(not associated)” (не связанный), это значит что клиент не связан с точкой доступа. В этом состоянии он ищет точку доступа для подключения
PWR Уровень сигнала карты. Хоть значение во многом зависит от драйвера, но чем Вы становитесь ближе к точке доступа или станции тем выше становится уровень сигнала. Если же BSSID PWR равен -1, значит драйвер не поддерживает отчетность уровня сигнала. В том же случае если PWR равен -1 для некоторых станций, это значит что пакеты пришли от точки доступа, но клиент находится вне зоны передачи вашей карты. То есть это значит что Вы слышите лишь половину сообщения. Если же все клиенты имеют PWR -1, значит драйвер не поддерживает отчетность уровня сигнала
RXQ Показывает качество пакетов полученных за последние 10 секунд, измеряемое в процентах. Смотрите ниже примечание для более подробного объяснения
Beacons Объявленное количество пакетов, переданное точке доступа. Каждая точка доступа, посылает около десяти маяков в секунду при низкой скорости (1M), поэтому они могут подбираться очень далеко
# Data Количество захваченных пакетов, включая пакеты передачи данных
#/s Количество пакетов данных за последние 10 секунд
CH Номер канала, взятый из пакетов маяка.Примечание: временами пакеты из других каналов захватываются даже в том случае если airodump-ng выставлен не перепрыгивать на другие каналы, это происходит из-за радиопомех
MB Максимальная скорость поддерживаемая точкой доступа. Если MB = 11 то это 802.11b, если MB = 22 это 802.11b+ и более высокая 802.11g. Если же точка выше 54MB то это указывает на короткую преамбулу и тоже поддерживается. Отображение «e» со следующими значениями же скорости, указывает что сеть имеет включенный QoS.
ENC Показывает алгоритм шифрования который используется. OPN = нет шифрования, «WEP»? = WEP либо выше( не достаточно данных для более точного выбора между WEP и WPA/WPA2), WEP(Без знака вопроса) указывает что шифрование статическое или динамическое WEP, WPA и WPA2 если присутствует TKIP или CCMP
CIPHER Шифр обнаружен. Один из CCMP, WRAP, TKIP, WEP, WEP40, или WEP104. Не обязательно, но TKIP обычно используется с WPA и CCMP обычно используется с WPA2. WEP40 отображается когда индекс ключа больше 0. В стандартном состоянии индекс может быть 0-3 для 40 бит и должен быть 0 для 104 бит.
AUTH Протокол аутентификации используется. Один из MGT (WPA/WPA2 использует отдельный сервер аутентификации), SKA (общий ключ для WEP), PSK (предварительный ключ для WPA/WPA2), либо же OPN ( открытая сеть для WEP)
ESSID Показывает имя беспроводной сети. Так называемый «SSID» который может быть пустым в том случае если у «SSID» активировано сокрытие. В таком случае airodump-ng будет стараться восстановить «SSID» из тестовых ответов и ассоциированных запросов
STATION MAC-адрес каждой связанной станции или станции поиска точки доступа, для соединения с ней. Клиенты в настоящее время не связанные с точкой доступа показываются BSSID ”(not associated)” не связанный.
Lost Количество потерянных пакетов за последние 10 секунд на основе порядкового номера. Смотрите примечание ниже для более подробного объяснения
Packets Количество пакетов данных отправленных клиентом
Probes ESSIDs зондирующегося клиента. К этим клиентам сети пытаются подключится если они в данный момент не подключены

 

Примечания:

 

Расширенное объяснение RXQ:

 

Это измерения по всем управляющим и переданным пакетам данных. Принятые пакеты содержат порядковый номер, который добавляется к отправке точки доступа. RXQ =100 значит что все пакеты были получены из точки доступа в числовой последовательности, и нет пропавших пакетов. Это подсказка которая позволяет Вам читать больше информации из данного значения. Предположим у Вас есть все 100 процентов RXQ и все 10(или сколько там было передано зависит от частоты маяков в секунду) получены. Теперь вдруг RXQ падает ниже 90, но Вы все еще захватываете все отправленные маяки. Так Вы знаете что точка доступа посылает пакеты для клиента, на Вы не можете услышать клиент ни отправить пакеты к клиенту, и Вам необходимо стать физически ближе к точке доступа. То есть подойти к ней ближе. Было бы совсем иное дело если бы Вы, получили 11MB картой для мониторинга и перехвата пакетов(например prism2.5), значит у Вас очень хорошая позиция относительно точки доступа. Точка доступа установлена в 54MBit, и RXQ снова падает, так Вы узнаете что по крайней мере один клиент 54MBit подключен к точке доступа.

 

RXQ колонка будет отображаться лишь в том случае если Вы находитесь на одном канале и настроены не переключаться на другие каналы.

 

Расширенное объяснение Lost:

 

Это означает потерянные пакеты приходящие от клиента. Для того чтобы определить количество потерянных пакетов, существуют последовательные поля, где выводится каждый не управляемый пакет, так Вы можете вычесть предпоследний порядковый номер из последнего и Вы узнаете сколько пакетов потеряли.

 

Возможные причины потери пакетов:

 

1. Вы можете отправить (в том случае если Вы отправляете) и одновременно слушать, поэтому каждый раз Вы не сможете услышать передаваемые пакеты в этом интервале.

2. Вы можете терять пакеты из-за слишком высокой мощности передатчика, в том случае если Вы находитесь слишком близко к точке доступа.

3. Может быть слишком много шума на текущем канале.(Другие точки доступа, микроволновая печь, блютуз и тд.)

 

Для того чтобы свести к минимуму количество потерянных пакетов, Вы можете улучшить своё физическое положение, тип используемой антенны, канал, скорость передачи данных и/или скорость инъекции.

 

Другие части руководства airodump-ng смотрите здесь

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *