1

私はpcapでacスニファを書いています(私自身が記録した.capストリームで)。802.1X認証を伝送するeapパケットを検出する必要がありますが、他のパケットと区別する方法がわかりません。wiresharkを使用すると、LLCレイヤー(値888e)のフィールドのように見えますが、llcが存在するかどうかを確認する方法がわかりません。

これがeapパケットの例です

  000018006e48000000169e09a000cd8103000000000000000802d50074f06d40a6a3000cf635dfab000cf635dfab90a6aaaa03000000888e0103005f02008a001000000000000000cbd5c0958cc32b7b3ae762c43b41436059e54cb48f224d35718613838d9640644d0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000

どうもありがとう!

4

1 に答える 1

2

正確には、イーサネットでは、EAP-over-LAN(EAPOL)パケットのイーサネットタイプフィールドは0x888e(IEEE標準802.1X-2004のセクション7.2「IEEE802.3/Ethernetで使用するEAPOLMPDUフォーマット」による)であり、 802.11などのIEEE802.2LLCを使用するネットワークでは、EAPOLパケットのLLCヘッダーのDSAPは0xAAであり、SNAPを示し、その後にOUIが0x000000のSNAPヘッダーが続きます(「プロトコルIDはイーサネットタイプ」を意味します)。およびプロトコルIDは0x888eです(これはEAPOLのイーサネットタイプ値であるため)。

したがって、802.11上のパケットの場合、(管理フレームまたは制御フレームではなく)データフレームを確認し、802.11ヘッダーに続く802.2 LLCヘッダー(すべての802.11データフレームには802.2 LLCヘッダーがあります)を確認してから、DSAPを確認します。 0xAAであり、それが表示された場合は、802.2ヘッダーに続くSNAPヘッダーで、0x000000のOUIと0x888eのプロトコルIDを確認してください。

于 2012-05-14T18:28:08.263 に答える