英语原文共 8 页
不可见却可知:易失性存储器中附近设备的无线传输痕迹
摘要:IEEE802.11无线设备可以将其痕迹存留在附近无线设备的易失性存储器中。虽然这些设备需要处于彼此的无线电范围之内,但他们不需要连接到同一网络——或者根本不需连接网络。痕迹以全线型框架的形式出现,一种以太网中的残留信号。我们测试了可以从这些残留框架中提取的信息类型,并探索了这些痕迹发展和持续的条件。它们的可用性取决于外部环境因素(以太网中的信号类型)和内部环境因素(设备wifi栈的配置和细节)。为了隔离其中的一些因素,我们在各种环境和配置中创建了内存转储。通过对转储的分析使我们进一步认识了决定痕迹产生和衰减的条件。结果显示它们在有限数量的真实环境中可用。我们总结了对这些信号分类和保存的实用建议。
关键词:网络取证;wifi探针请求;wifi信标;IEEE802.11;网络雕刻;存储分析
介绍
由这个简单实验引起的我们对wifi残留痕迹处理的兴趣,我们可以通过对这次初步实验的描述来最好地介绍这次调查的主题。
将一个配备无线网络功能的智能手机带到一个无线接入点的范围,RAM很容易被覆盖。这个智能手机先前已经连接了其他网络,但它从未连接过此特定接入点。这部手机如它本身一样仅仅只是路过。在转储接入点的内存时,我们惊讶地发现,尽管它们之间除了在彼此附近没有其他任何关系,手机之前连接到的网络名称却可以在内存转储中找到。对转储仔细的检查显示,这些名称嵌入在探测请求帧的线性格式中,一种在IEEE802.11标准中定义的格式。因此,似乎框架已按网络顺序逐字结束于接入点的物理内存之中。
对于智能手机用户而言,这一发现是非常出乎意料的,他们肯定会好奇为什么他们家的网络名称可以在上班途中偶然经过的接入点的存储器中找到。从工程学角度来看,这种现象并不那么令人惊讶-数据链接框架可能需要在某个地方进行缓存,然后才能确定它应该被丢弃或取消链接。这种现象对一些数字取证的研究人员来说可能也不会感到意外。2011年,Beverly,Garfinkel和Cardwell解释了相关现象(Beverly等,2011)。他们的工作涉及恢复内存中长期终止的网络数据,他们发现这些数据极大地反对了他们(和我们的)直觉:“【hellip;】出于性能原因,以太网和/或IP协议中的某些部分将在硬件中处理,而不会暴露给操作系统”。由于他们的目标是提取IP和MAC地址,他们会继续开发一种雕刻生成技术,利用地址在上下文中出现的模式统计特性。与正常的内存分析相比结果更加出色。像我们一样,他们的努力表明除了通过遍历内存快照的某些“当前”状态的操作系统所能达到的信息之外还有其他信息。
从更普遍的取证角度看来,保留探测请求帧的现象对于这种类型的轨迹有高度潜在的价值-正是因为导致其出现的无线电传输是无意的和无处不在的,并且与犯罪活动的性质无关。因此任何可以找到无线设备的犯罪现场都可能包含这种数字线索,无论这种犯罪本身是否和数字犯罪有关系,在这方面,这些痕迹就像是数字版的个人气味一样无法忽视。
我们对这种新型跟踪的研究目标有两个:识别可以使用恢复的无线帧发现的信息类型,并确定是否存在这些无线帧可用于恢复的真实环境。后者几乎不是给定的 - 从高级功能的角度来看,没有理由长时间保持它们(或根本不依赖于帧内容)。
802.11管理框架中的取证伪像
调查执法的目标通常是识别一个人(“何人”),他或她所在的特定位置(“何处”),最好还能知道特定的时间(“何时”)。我们将证明这三个目标如何与802.11管理帧类型中存在的信息相联系:由接入点(AP)发送的信标帧,以及由wifi设备(STA)发送的广播探测请求帧。
预备知识
为了能够讨论802.11,我们需要建立一些共识。在本文中,我们将参考但不重复2007年1184页IEEE802.11规范中定义的帧格式。为了快速帮助理解我们研究相关的标准部分的要点,我们对标准中我们认为特别重要的部分提出了一些看法。
sect;5.2.3分配系统(DS)概念
802.11的核心概念是“基础服务集”(BSS),其在基础设施网络中是由接入点(AP)服务的一组站(STA)。可以连接多个BSS以形成扩展服务集(ESS),但是在普通的国内情况下,ESS仅由一个BSS,一个AP和一些STA组成。最终,SSID标识ESS,并且最终用户将其视为“网络名称”。SSID不用于寻址目的(ESS不是逻辑上可寻址的; SSID是标识符而不是地址)并且仅存在于有限数量的分组中。
sect;7.1.3.3地址字段
帧最多可包含四个地址。本节解释了它们的含义。基本服务集可通过BSSID寻址。在公共“基础设施”网络中,该地址等于AP的无线接口的MAC地址。在没有AP的“ad-hoc”网络中 - IBSS不要与#39;基础设施#39;BSS混淆-情况并非如往常一样 。
sect;11.1.2维护同步
本节介绍“定时同步功能”,它是我们将在信标帧中遇到的时间戳字段的基础。TSF是具有mu;s分辨率的定时器,其值存储在64位宽的字段中。有趣的是,这导致了惊人的循环时间,接近585,000年。在IBSS中,它用于协调跨越IBSS的信标帧的生成的机制。该计时器之前还在协调原始1997年802.11标准中启用的跳频机制中发挥了作用。
sect;11.1.3获取同步,扫描
本节介绍了电台如何找到用户称之为“网络”的ESS及其BSS。它描述了一个站点静静地监听信标帧的被动方法,以及发送探测请求帧的主动方法。它没有描述为什么一个电台更喜欢其中一个,但它提出了一个问题:为什么我们已经拥有可以简单收听的信标帧时有探测请求帧?
显然,需要一个探测请求来查找某个“隐藏”网络,该网络不会在其信标中广播其SSID。不太明显的事实是,主动扫描可能是首选的,因为它可以节省功率 - 它很快就会完成,因为探测器响应通常在几十毫秒内完成,而信标间隔因此所需的通道停留时间可以是几秒。由于在不期望进一步的流量时天线电路可以断电,因此节能可能是显着的。主动扫描的第二个好处是,通过接收探测响应,不仅确定设备可以听到AP,还确定AP可以听到设备。
sect;11.2电源管理
本节介绍电源管理。STA可以在AP休眠片刻时向AP发送信号以缓冲发往其的数据包。这意味着即使在STA关联时,也不一定持续监听。
为了保持可读性,我们将避免在本文的其余部分中过度使用首字母缩略词,而不是在正式术语中使用口语术语。除非另有说明,否则我们将继续处于简单基础架构模式网络的环境中,该网络仅包含一个基本服务集 ; 一个接入点和零个或多个相关的站点。
信标框架
信标帧由接入点发送,以通告他们正在管理的服务集的名称和特征。让我们假设我们在配备wifi的设备的内存中找到了一些信标帧。通过检查其领域,我们将能够了解何处和何时。
信标:传输的位置
我们知道通过BSSID(MAC地址)和SSID(网络名称)字段发送信标的接入点的身份。要接收信标帧,设备必须位于接入点的范围内。如果接入点是犯罪现场的一部分,我们显然已经知道它的位置。如果我们然后在设备的存储器中找到接入点的信标帧之一,则设备很可能已经接近接入点。但是,如果信标帧发起的接入点的位置对我们来说不知道怎么办?为了找到设备的位置,我们需要将接入点的身份与地理位置相关联。因此,在智能手机地理定位的背景下,我们并非没有选择:有许多地理定位数据库产生坐标给出BSSID或SSID。但是,许多可自由访问的数据库仅在给定两个或多个彼此非常接近的身份时才回答查询。这是为了阻止围绕特定接入点的尝试; 它保护了接入点所有者的一些隐私。但是,Wigle 数据库是可以使用一个BSSID或SSID自由查询的数据库。
也可以使用单个BSSID查询Apple的数据库。Apple不提供公共API,但可以使用用于访问它的协议的描述。
信标:传输时间
信标帧的特征在于时间戳ts 1,其对应于设备在接入点附近的时间t的接入点定时器的状态。我们知道定时器以1 MHz运行,但我们不知道该定时器何时启动。因此,为了得到t,我们需要从相同的接入点捕获第二个信标,包含第二个时间戳ts 2。如果我们注意时间trsquo;(在因为一些历元微秒)我们已捕获的第二信标,我们可以推导出t使用下面的公式:
t = trsquo; - ( ts2 -ts1 )
但是,如果计时器已在t和trsquo;之间重置,该怎么办?在那种情况下,ts 2表示与我们感兴趣的计时器不同的计时器运行。这些定时器复位在某种程度上是可检测的。琐碎的情况是ts 2 lt; ts 1 ; 因为我们知道我们在ts 1之后的某个时间点捕获了ts 2,所以前者应该大于后者。更难以检测定时器已重置的情况,但是ts 2已经过了足够的时间超过ts 1。如果ts 1是低值,则这是真实的可能性。
探测请求帧
当wifi设备主动扫描网络时,发送探测请求帧。由于网络的标识符是SSID而不是BSSID,因此帧被寻址到广播BSSID。它们可用于探测通配符SSID(零长度SSID),但也可用于探测特定网络。在这种情况下,框架将包含该网络的名称。消费者设备通常保留他们先前连接到的网络列表,并将定期扫描这些网络。
假设我们在配备wifi的设备的内存中找到了一些探测请求帧。我们可以从中提取哪些信息?
探测请求:设备标识
通过发件人地址字段显示设备的标识。这是无线设备的MAC地址。MAC地址的前三个八位字节构成供应商前缀。供应商前缀是集中管理的,其中许多都是公开列出的。使用前缀我们可以在一定程度上决定设备的品牌。当在给定站点恢复探测请求时,携带wifi设备的人可以基于他或她的设备的身份链接到该站点。即使设备本身及其载体不可用,也提取信息如果设备标识出现在多个站点,则可能具有战术用途。在犯罪现场的背景下,这有助于确定看似孤立的事件确实是相关的。
探测请求:先前的网络
可以通过SSID字段显示设备先前连接到的网络的名称。与上述地理定位数据库相结合,这可以提供对设备下落的深入了解,特别是如果可以恢复产生多个网络名称的多个探测请求帧。重叠的网络名称集也可以用于建立多个设备标识之间的关系- 但是这需要考虑到一些网络名称太常见而不能指示关系的事实。通过智能手机探测器揭示社会关系的作者(Barbera等,2013)提供了一种调整网络名称普及关系强度的技术。
通过搜索签名来恢复帧
两种帧类型都具有易于识别的特征。这使得使用正则表达式在原始内存转储中搜索它们变得特别容易。信标帧以0x80 00 00 00开始,接着是广播地址(6times;0xFF),发送方MAC地址和BSSID。由于后两者在基础结构网络中是相同的,因此Python语法中的正则表达式可以表示为:
brsquo;\x80\x00\x00\x00(\xff){6}(.{6})\\2rsquo;
探测请求帧具有类似的规律:它们以0x40开始,然后是0x00或0x10,具体取决于是否启用了省电功能,然后是0x00 00,广播地址,发送器MAC地址和BSS广播地址(6times;0xFF)。作为Python正则表达式,它变为:
brsquo;\x40(\x00|\x10)\x00\x00(\xff){6}(.{6})\\2rsquo;
接收路径:驱动程序 - 固件交互
框架通过什么机制进入主存?为了得到一般的操作模型,我们检查了Linux(3.12.2)内核中的#39;iwlwifi#39;驱动程序源代码。drivers / net / wireless / iwlwifi / pcie / rx.c文件包含解释机制的注释。注意接口卡在某种程度上独立于主机运行。它有自己的处理器,并具有执行其固件的独立环境。
驱动程序(位于内核空间中)和固件(在设备处理器上运行)交换消息包、命令、命令结果。当它们放在主机物理内存的区域中两者都可以访问。驱动程序为循环簿记缓冲区分配内核内存,为该内存区域设置DMA,并将该区域的总线地址交给设备固件。固件知道如何使用这些簿记条目; 它是此特定系列器件的驱动程序 - 固件接口的一部分。簿记缓冲区中的每个插槽都描述了一个消息缓冲区 - 这些缓冲区又由驱动程序在主机内存中分配,并且是启用DMA的。保留簿记缓冲区中的条目的两个索引(同样,在共享存储器中)。#39;READ#39;索引由固件管理,并指向固件不希望驱动程序读取的第一个插槽(固件可能正在写入相关的存储器)。
固件可以将传入的数据包放在主机RAM中的簿记缓冲区中的插槽所描述的地址,注意不要使用驱动程序尚未读取的插槽。它更新READ索引并触发中断请求。此时,驱动程序唤醒并查询READ索引以检查要处理的插槽。在处理数据包时,驱动程序使用新的,可能是新分配的内存缓冲区地址更新读取时隙,并提升WRITE索引。
间接层允许驱动程序缓冲比簿记结构中描述的更多的数据包。它还支持零拷贝机制; 通过传递指针而不是数据包,接收到的数据包被传递到内核网络堆栈的较高部分。这意味着我们如此感兴趣的数据包可能位于已经安排了DMA传输的任何物理存储器位置 - 并且驱动程序可能不再对它们进行引用。另一方面,iwlwifi驱动程序会回收任何不需要传递的消息缓冲区。因此,框架及其对它们的引用最终会在很大程度上取决于运行时环境。因此,虽然这种特定驱动程序的自下而上的静态分析有助于理解原因我们有时会在RAM中找到残留的wifi数据包,它不允许我们对何时可以预期它们进行一般预测。因此,我们将采用经验方法来找出痕迹可以在哪些情况下发展和持续存在。
决定保留和衰减的因素
实验方法
少数无线设备以各种模式配置,并一次一个地提交给精细控制的无线电流量:探测请求帧,信标帧和数据帧。在暴露之后或暴露期间,转存设备的RAM并分析先前发射的帧的痕迹。
实验的设计如下:将发射器
资料编号:[3652]
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
