802.11
More frag（1bit）
表示传输数据帧时是否还有后续帧没有传输完成
·值为1时表示有后续帧，可能是Data或Management帧类型。只有单播接受地址（类似与网卡的MAC地址 48位6个字节）的帧会被分段  如果是广播地址 直接广播出去了
Retry（1bit）
重传 传输去数据帧后 一段时间后 对方没有给出ACK响应 该数据帧丢失了
·值为1表示重传帧，可能是Data或Management帧类型。接收端进程使用此值防止帧重复  接受到一次 就不会接受后面的retry 直接丢弃掉
Power Mgmt（1 bit）
活动模式（0）  省电模式（1）  两种供电模式
放大组件 把系统二进制的电子脉冲放大发送  接受到很微弱的无线电波重新放大
·STA处于省电模式 向关联的AP发送值为1的帧（AP不使用  只有STA猜发送） 省电模式下STA不接受数据 把收到的数据发送它的Data帧由AP暂时缓存 AP向其发送唤醒数据帧 当被唤醒 主动向AP索要数据帧
More Data（1bit）
·当AP缓存了至少一个MSDU时，会向省电模式的STA发送值为1的帧 表示有数据要传输给STA 接受到此帧的STA唤醒并向AP发送PS-Poll帧（控制帧子类型） 取回由AP为其缓存的数据 
·也被用于AP有更多的广播/多播帧需要发送的情况
Protected Frame（1bit）
被保护的帧 为1时为 数据帧 或者是 管理帧
·可能是Data或Management帧类型 表示MSDU是否被加密
·用于表示PSK身份验证Frame#3帧
·数据载荷为空时 该字段值为0
Order（1bit）
·在非QoS帧的情况下 值为1 表示数据严格按照数序处理  通常为0
以上为Frame Control 侦控

Duration/ID（16bit）
·所有的Control帧都使用Duration/ID该字段 作用随Type（类型）/SubType（子类型）变化有所不同
·帧类型为PS Poll（type：1  SubType：10）时  表示STA关联的AID（客户端想与AP SSID连接  则关联该AP AP发送AID给STA（关联ID）） 当唤醒后 发送PS Poll帧索要数据时  该字段存放的就不是时间值了  而是AID
·其它情况下该字段作为一种载波侦听机制 表示接受下一帧之前需要保持的时间间隔 用于NAV（network allocation vector）计算 单位是微秒

接下来就是地址1 2 3 4 与ToDS FromDS密切相关
MAC Layer Adress
前面提到了四种 地址1 2 3 4 与ToDS FromDS密切相关  这里补充最后一种BSSID Basic service set ID  它是BSS的2层唯一标识 Infratructure模式中的BSSID就是AP的MAC地址 当AP支持多BSS时  会随机生成每个BSSID
在地址中夹有Sequence Control
·这个字段包含2个子字段 Sequence Number和Fragment Number
·Sequence Number是每个帧的编号 数值是0--4095 以1为步长递增 当帧被分段时 统一帧中不同分段的Sequence Number
·Fragment Number是被分段的帧用于标识分段位置顺序的编号 数值范围0--15 步长为1递增
MAC接受逻辑控制层的数据 超出MAC子层的存储范围 对其分段
以上为包头

数据段部分 
Frame Body（变长）
·数据字段 未加密的最大MSDU长度为2304字节（其中包含最大256字节的上层头信息和可被传递的数据2048字节） 不同的加密会增加一定内容长度
·Control帧不会有Data数据段（Frame Body内容）  它在头部就把所有信息都弄好了
·WEB：+8bytes->2312bytes
·TKIP（WPA1）：+20bytes
·CCMP（WPA2）：+16bytes
FCS（32bit）
·发送端对全部的MAC包头和Frame Body内容进行CRC计算 计算结果即为FCS（Frame Check Sequence）值 接受端进行同样的计算 结果一致时 则接收端向发送端返回ACK 否则丢弃帧（只对单播帧有效  当为广播帧或多播帧 即使接受FCS错误帧 也不会管 不会去校验 直接去看广播帧或多播帧）
·wireshark抓包时已经删除了FCS值

802.11（主要在MAC层）头部
DU 即数据单位 信息传输的最小数据集合
数据包传递过程逐层封装
SDU对下层而言 进行封装的一个单元/PDU对上层而言 上层已经把该层的协议包添加在一块了
MSDU对于MAC层->MIC->分帧->添加IV->加密->添加MAC头部（MAC进行添加处理  然后交给物理层 然后发送）->MPDU
MPDU/PSDU+物理头=PPDU->RF发射
MAC头部结构
包头30字节 侦控2字节 ：
protoco Version版本（2bit） 802.11协议版本 始终为0 1 2 3 没有关联AP时 经常是0  在包里面用二进制的
Type（2字节） 帧的类型 控制帧（1） 数据帧（2） 管理帧（之前有子类型 用4个帧 分成不同功能的子类型）（0）
SubType（4bit）
每个类型对应多个子类型 每个子类型的帧完成相应的功能
To DS/From DS（1/1bit）
标志帧的传输方向 数据在AP STATION传输方向
由MAC头中的4个Adress字段的不同定义
ToDS FromDS Address1   Address 2    Address 3     Address 4
0    0      DS目标地址 SA源地址     BSSID APMAC地址
0    1      DA         BSSID    SA       
1    0      BSSID      SA       DA
1    1      RA（Recipient）         TA       DA          SA
0x00：出现在IBSS环境中（可能是Managerment帧或者Control帧类型）；或者是STSL（STATION to STATION Link）中两个sta间通信，这种情况通信不通过AP
0x01：表示Data帧从AP向STA传递
0x02：表示Data帧从STA到AP传递
0x03：表示两个AP间通信，这是典型的WDS环境下AP间的通信，或者表示Mesh环境下MP间通信；只有此时才使用到Address4字段

RADIOTAP头部
抓取的无线包头的具体内容
无线通信基于广播的 所以不安全  因而都会使用无线加密技术
802.11帧发射和接受的事实标准，802.11依赖Radiotap完成通信过程
Linux系统在驱动和操作系统的API层中内建支持Radiotap
802.11帧发射之前，网卡驱动在802.11头前面Radiotap头，反之当网卡接收到无线帧时，网卡驱动通知802.11的MAC层，此帧前面添加Radiotap头 MAC层解析处理掉Radiotap头 然后去除掉 再分析里面的802.11信息
Radiotap为802.11帧传递额外信息，厂家可自定义，因此长度不固定
不破坏原始头结构（Radiotap的基本的包头结构），增加传递的信息

Radiotap头
一个beacon类型的数据包
分为 Header和data
Header revision 一个字节的revision 都为0  pad占位符也是0 两个加起来为16bit 以字节  length长度 标记前面多少位是Radiotap 后面为802.11
Present Falgs表示数据位的 1 or 0   32为掩码 分多块 如果Ext为true  MAC timetamp 接收数据时间戳等
Data Rate 速率 Channel信道 SSI Signal接受信号强度 Antenna用的什么天线发出数据包

扫面附近的AP
iw dev wlan2 scan 
扫描周围AP存在  每一个BSS开头都是一个AP 对应mac地址对应的AP  信道 beacon的频率 SSID 速率 加密算法等等
·无线信号强度为负值 为接受信号强度 不是发射 在空气中传输衰减很大 之前的算法 sigal是   小于1的 那么除以1为小数 取对数为负值 （0到-50为信号正常  -300信号中断）
可以用| grep 来筛选
iw dev wlan2 scan | grep SSID
iw dev wlan2 scan | egrep “DS\ Parameter\ set|SSID” 这个怎么说？ grep eprep fgrep 均可以使用正则表达式来过滤
iw dev wlan2 scan | egrep “ESSID|Channel”
添加删除监听端口 
设置成Monitor模式 iw dev wlan2 interface add wlan2mon type monitor（设置接口模式）（其中 这个监听网卡端口叫做wlan开头 必须）
但是 network-manager对无线monotor有干扰 先把这个关掉 Service stop  然后ifconfig -a 查看所有状态网卡 包括down 未启用的
ifconfig wlan2 up 启用该网卡
再次设置monitor
可以用wireshark（图形化） 或者 tcpdump（命令）（tcpdump -s 0 -i wlan2mon -p） 然后就可以抓包了 802.11的无线的包头
iw dev wlan2mon interface del
如果做无线的  放在启动文件 启动时自动执行
查看状态
service network-manager status 保证不活动状态
把service network-manager stop 添加到一个.bashrc 这是一个启动后自动执行的文件
启动后 up 网卡 然后增加新monotor网卡 可以查看一下 iwconfig 然后就可以开始无线渗透了 
无线协议栈 参考网站 https://www.kernel.org/doc/htmldocs//index.html
无线驱动
https://linuxwireless.org/en/users/Drivers/

Linux无线协议栈及配置命令
802.11协议栈（内核接口  用户调用命令）
9
查看网卡
ifconfig 查看网卡
iwconfig  专用查看无线网卡的 
支持leee802.11bgn等  ESSID Mode Access Point 连接的AP limit等
信道频率
iwlist wlan2 frequency 只查看信道频率
iw list 详细查看无线网卡的信息 支持加密 接口模式（AP IBSS MONITOR Manage等） 调频方式 速率 频率信道（以中心的频率为点 左右偏移确定范围） 等等

无线技术概念
分贝dB
测量无线信号强度
B：向Alexander Graham Bell（大部分声学设备发明者和理论奠基人） 致敬
dB：表示2个信号之间的差异比率，用于描述设备的信号设备信号强度
是一个相对值（差）
dBm：功率值与1mW进行比较dB的值结果
signal信号的工作毫瓦功率值  reference功率参考值（1mV）
每增加3dBm  功率增加约1倍
每增加10dBm  功率增加约10倍

天线
dBi：全向（发射信号在所有方向发射）无线辐射程度的增益（相对值）
增益是指信号功率强度增加了多少dB
相加得总和为dB   然后返为mV  很多

dBd：定向（指定范围收发信号）天线辐射强度增益值

全向天线
波形圈  甜甜圈
天线选择
增益越高 范围信号好 但高功耗 对周围环境信号干扰
增益过高的全向天线会变成定向天线
定向天线
双四边形
定向发送信号
功率相同时，比全向传输远
八木天线，引向反射天线
平面天线
扇形天线
常用于移动电话网络
网状天线
射束带宽更加集中 功率更强

Linux无线协议栈及配置命令

无线技术概念
分贝dB
测量无线信号强度
B：向Alexander Graham Bell（大部分声学设备发明者和理论奠基人） 致敬
dB：表示2个信号之间的差异比率，用于描述设备的信号设备信号强度
是一个相对值（差）
dBm：功率值与1mW进行比较dB的值结果
signal信号的工作毫瓦功率值  reference功率参考值（1mV）
每增加3dBm  功率增加约1倍
每增加10dBm  功率增加约10倍

天线
dBi：全向（发射信号在所有方向发射）无线辐射程度的增益（相对值）
增益是指信号功率强度增加了多少dB
相加得总和为dB   然后返为mV  很多

dBd：定向（指定范围收发信号）天线辐射强度增益值

全向天线
波形圈  甜甜圈
天线选择
增益越高 范围信号好 但高功耗 对周围环境信号干扰
增益过高的全向天线会变成定向天线
定向天线
双四边形
定向发送信号
功率相同时，比全向传输远
八木天线，引向反射天线
平面天线
扇形天线
常用于移动电话网络
网状天线
射束带宽更加集中 功率更强

Linux无线协议栈及配置命令

无线网硬件及基本概念（eth为有线 wlan为无线  映射物理机的无线网卡被虚拟机认为有线网卡）
无线网卡准备
物理机运行kali
虚拟机运行kali
外置USB无线网卡（虚拟机USB寻找映射网卡 ifconfig -a检测未启用的网卡接口）
TL-WN722N（ATHEROS芯片）
dmesg（显示系统硬件的变化记录）
iwconfig（有了网卡后  使用查看无线网卡）

无线网卡选择
台式机
USB无线网卡
PCMCIA（只支持802.11b  停产）
Cardbus
Express Cards
MiniPCI
MiniPCI Express
PCI接口卡
笔记本
USB接口 
无线网卡属性
发送功率：远程连接
接受灵敏性：适当降低灵敏度，接受效果更佳
ALfa Networks AWUS036H无线网卡
可以加天线
http://www.aircrack-ng.org/doku.php?id=compatibility_drivers#list_of_compatible_adapters（注意芯片与驱动）
放大发射功率

无线网络运行模式 无线网络架构
infrastructure
AP（无线路由器） 维护SSID（服务器标志符（无线的名称）） 不断向周围发送数据包（每秒发送Beacon）

Ad-Hoc
STA 维护SSID

Service Set Identifier
AP每秒广播发送Beacon
如果客户端连接后 也会想外宣告 SSID

infrastructure（STA通信是AP为中转站  发信息到AP再发送）
至少包括一个AP 和 一个STATION（客户端（终端设备）） 形成一个BSS（BSSＩＤ）
AP连接有线网络为DS（ＤＳＳＩＤ）（可以多个AP连接到有线网）
再大是ESS

Ad-Hoc
被称为IBSS
有两个STAs直接通信组成
也成为peer to peer
其中一个STA负责AP
通过beacon广播SSID（先定义一个SSID）
对其它STAs进行身份验证

WDS
与有线DS类似，只通过无线连接的多个AP组成的网络
Bridging——只有AP间彼此通信
Repeating——允许所有AP和STA进行通信

MONITOR MODE
monitor 不是一个真的无线模式
但是对无线至关重要
允许无线网卡没有任何筛选的抓包（802.11包头）（不然只抓以太网上网包）
与有线网络的混杂模式可以类比
适合网卡与驱动 不当monitor 也可injection（往外发包  注入包）

802.11b（增加补偿代码键CCK 增加传输速度）
到5.5 and 11 Mbit/s
按照信道传输 工作在2.4Ghz band
14个重叠信道 每个信道22Mhz带宽
避免相邻ap干扰  选用信道不重合
802.11a 同时发布  工作在5Ghz
2.4Ghz带宽（频宽） 干扰源多（微波  蓝牙 无线电话（这几个都用2.4Ghz））使用2.4Ghz的多
5Ghz有更多带宽空间  可容纳更多不重叠的信道
信号调制方法：OFDM正交频分复用技术
更高速率54Mbps  每个信道20Mhz带宽
变频 5.15-5.35Ghz室内   5.7-5.8Ghz室外
802.11g 在a/b上扩展
2.4Ghz频率  继承802.11a  兼容80.211b
信号调制方法 信道均可变
802.11n
兼容a b
多进多出通信技术
高传输速率  每个信道20/40Mhz带宽

无线渗透（局域网） 理论：
IEEE 指定标准的
分为不同的技术委员会 其中802委员会负责lan（局域网） man（城域网）标准的指定
标准：以太网（802.3）  令牌环网 无线局域网 网桥（802.1）

（wireless wlan（802.11））
无线分布于物理层 数据链路层 
标准：IEEE 802.11a/b/c/n/k/j等
日常使用 802.11（Legacy） 802.11a/b（wifi）/g/i/n
解析802.11
速率 1Mbps或2Mbps
红外线未实现  无线射频信号编码（调制） 普通在2.4Mpbs-2.48Mpbs 扩频技术  媒体访问方式 （CSMA/CA） 避免发送包冲突 侦听网络是否有人在发送数据包
RTS/CTS  先发一个包先请求 对其他网卡 请求自己发包  然后再发送结束包 表示用完了

实际数据传输量（传送速度）  c=b（频宽）+log2（底数）(1+s/n) （信噪比）