爱华网kisslink红外感应器感受到无线客户端靠近了它,打开一个时间窗口让无线客户端接入,并将此客户端MAC地址加进白名单。
做了如下实验:
实验1:
1)用手靠近kisslink“认证面板”,指示灯会闪烁,且过会有提示音“哔”。猜测认证面板是红外感应器在起作用,与wifi技术无关。
2)此时附近有多个手机,任挑一部手机A,选择到kisslink的SSID,可连上。猜测kisslink此时已为附近所有无线客户端放行,应该没有什么特别认证技术。
3)手机A断开与kisslink的无线连接,再连接kisslink,可连接上,没有密码。猜测kisslink已把A的MAC加入到MAC地址过滤白名单。
实验2:
1)用手机A靠近kisslink,等它“认证”成功,即“哔”的一声后,拿远处另一个手机B连接kisslink,却能连上。(实验了几次,有时成功,有时失败)
其他实验还在摸索中。。。
----------------------------
(更新,增加实验)
Kisslink路由器会广播2个beacon,其情况如下表:
简称 | ssid | mac | 加密情况 |
ssid1 | KSLINK0062D8 | CC-10-A3-00-62-DA | 无 |
ssid2 | KSLINK0062D8 X | CC-10-A3-00-62-DB | WPA2-PSK |
Kisslink路由器会以间隔0.12s左右的高频率广播Probe Request帧,源MAC为CC-10-A3-00-62-D9。该帧有两个特殊点:
1.ssid字段中会填充特殊的英文字符“nanbaonanbao”(注:Kisslink路由的生产商即是北京囡宝(nan bao)科技有限公司):
2.携带Vendor IE字段,填充了私有协议内容:
因ssid的特殊性,仅有Kisslink路由器会回复Probe Response。因为环境中正好存在第二台Kisslink,因此抓到了Probe Response报文。Probe Response中携带的ssid是正常的ssid,并且也有特殊的地方:
1.携带Ap Channel Report IE,如下:
2.携带Neighbor Report IE,如下:
3. 携带VendorIE字段,填充了私有协议内容:
当灯不亮时,任何设备向Kisslink的ssid1对应mac地址发送Auth帧,均收不到回复。如下:
如果灯亮,此时任何设备均可关联上Kisslink的ssid1对应AP,没有距离的限制,实测距离2m依然可以关联。关联过程比较正常,没有看见特殊帧。
【拨号连接过程】:
当Kisslink开机启动20s以后,WAN口会进行接入方式的发包测试,如下:
先间隔2s进行9次PPPoE的探测,后面就是DHCP和PPPoE两种接入方式的循环探测:先5次间隔3s的DHCP探测,再3次间隔2秒的PPPoE探测。根据探测结果不同,设备接入Kisslink会有不同配置的提示。
如果WAN前端接入一个DHCP服务器,Kisslink会进行正常的DHCP交互,之后直接请求debug.kisslink.net的域名检测是否能连接Internet,如果DNS获取,就会认为联网成功。交互抓包如下:
如果WAN前端接入一个PPPoE服务器,Kisslink在收到PADO报文后,会在设备端提示打开浏览器配置路由器。当打开浏览器后Kisslink路由会进行DNS劫持,自动跳转到私有地址,并呈现以下界面:
同时抓包可见交互如下:
如果两种连接方式都未检测到,Kisslink路由会在设备端提示打开浏览器配置路由器。当打开浏览器后Kisslink路由会进行DNS劫持,自动跳转到私有地址,并呈现以下界面:
