pcap 라이브러리를 사용하여 eap pakets (802.1X auth)를 감지하십시오.

Question

pcap (내 기록 된 .cap 스트림)에 c 스니퍼를 쓰고 있습니다. 802.1X 인증을 수행하는 eap 패킷을 감지해야하지만 다른 패킷과 구별하는 방법을 모르겠습니다. wireshark를 사용하면 LLC 계층 (값 888e)의 필드 인 것처럼 보이지만, llc가 있는지 여부를 찾는 방법을 모르겠습니다.

여기

000018006e48000000169e09a000cd8103000000000000000802d50074f06d40a6a3000cf635dfab000cf635dfab90a6aaaa03000000888e0103005f02008a001000000000000000cbd5c0958cc32b7b3ae762c43b41436059e54cb48f224d35718613838d9640644d0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 

덕분에 많은 EAP 패킷의 예입니다!

Answer 1

EAP-over-LAN (EAPOL) 패킷의 이더넷 유형 필드는 0x888e입니다 (7.2 "IEEE 802.3/이더넷과 함께 사용하기위한 EAPOL MPDU 형식"IEEE 표준 802.1X- 2004) 및 802.11과 같은 IEEE 802.2 LLC를 사용하는 네트워크에서 EAPOL 패킷의 LLC 헤더는 SNAP을 나타내는 0xAA의 DSAP를 가지며 OUI가 0x000000 인 SNAP 헤더가 뒤 따른다 ("프로토콜 ID는 이더넷 유형 ") 및 프로토콜 ID 0x888e (EAPOL의 이더넷 유형 값)입니다.

따라서 802.11 패킷의 경우 관리 또는 제어 프레임이 아닌 데이터 프레임을 확인한 다음 802.11 헤더 (모든 802.11 데이터 프레임에는 802.2 LLC 헤더가 있음)에 이어 802.2 LLC 헤더를 확인한 다음 0xAA의 DSAP를 확인하고, OUI가 0x000000이고 프로토콜 ID가 0x888e 인 경우 802.2 헤더 다음의 SNAP 헤더를 확인하십시오.