简单分析校园网802.1x认证协议

Min · 发表于 2012.8.25 20:29:50

抓包工具http://www.wireshark.org/

开始之前可以到这里了解一下总的流程

http://apt-blog.net/details_about_802_1x_in_campus_authentication_1

开始认证, 客户端发送EAPOL-START包,内容如下：

0000 01 80 c2 00 00 03 70 71 bc 12 ba 69 88 8e 01 01 ......pq ...i....
0010 00 00

复制代码

1-6字节为802.1x标准的多播地址。7-12字节为本机MAC地址。13-14字节为数据帧类型，这里为0x888e。第15字节为Version字段。第16字节为Type字段，这里为1表示认证开始。17-18字节为Length字段，这里为0，因为这个包还没有包含EAP信息。

==============================================================

交换机回应一个EAP Request, Identity包,要求验证身份：

0000 70 71 bc 12 ba 69 00 d0 d0 fd 03 98 88 8e 01 00 pq...i.. ........
0010 00 05 01 04 00 05 01 00 00 0b 01 59 37 29 69 8b ........ ...Y7)i.
0020 9b 95 18 4f 5f 12 d7 50 ad d8 a4 b4 22 f8 b3 79 ...O_..P ...."..y
0030 b2 a5 59 d6 10 24 c3 75 f5 1c a4 b9 9b 12 af 8d ..Y..$.u ........

复制代码

交换机向客服端发送EAP-Request Identity消息，请求验证身份。看到了70 71 bc 12 ba 69是我电脑的MAC地址。00 d0 d0 fd 03 98为中兴交换机的MAC地址。后面接着的几个和前面说的一样。从19字节开始为EAP信息，第19字节为Code字段，这里为1表示Request；第20字节为Id字段，表示EAP消息序号，该消息的Id为4；第21-22字节为Length字段，它表示EAP消息的长度，和802.1XAuthentication的Length字段代表相同的语意。这个消息长度为5字节，所以此处值为5；第23字节为Type字段，表示EAP消息的类型，该消息Type值为1，表示Identity。

====================================================

客服端发送EAP Response, Identity包,内容如下：

0000 01 80 c2 00 00 03 70 71 bc 12 ba 69 88 8e 01 00 ......pq ...i....
0010 00 14 02 04 00 14 01 7a 6a 6c 61 6e 7a 73 6a 67 .......
0020 32 31 30 36 32 30

复制代码

第19字节的Code字段值为2表示Response；第20字节为Id字段值为4，对应EAP-Request Identity的Id，表示对Id为1的Request的回应；第21-22字节的Length字段值为20（16进制的14为20）；第23字节的Type字段值仍为1，表示Identity;从24字节到最后为16进制ASCII码的身份信息，也就是UserName。

=========================================

交换机发送 EAP-Request MD5-Challenge包，内容如下：

0000 70 71 bc 12 ba 69 00 d0 d0 fd 03 98 88 8e 01 00 pq...i.. ........
0010 00 20 01 05 00 20 04 10 49 b7 77 75 33 ab eb 5e . ... .. I.wu3..^
0020 a8 68 03 84 ca 02 22 a2 7a 74 65 2d 73 77 69 74 .h....". zte-swit
0030 63 68 bb d9 21 b9 c8 b1 60 e6 4b a4 16 a4 28 06 ch..!... `.K...(.

复制代码

交换机收到了EAP-Response Identity消息后，得到了本机的身份信息，接着向本机发出EAP-Request MD5-Challenge，挑战例如密码之类的认证信息。
第20字节为Id字段值为5；第21-22字节的Length字段值为32；第23字节的Type字段值为4，表示MD5-Challenge；第24字节是Value-Size字段，表示Value字段的长度。此处值为16，可以估计Value也是使用MD5生成；第25-40字节为Value字段内容，此处值为49 b7 77 75 33 ab eb 5e a8 68 03 84 ca 02 22 a2。后面的7a:74:65:2d:73:77:69:74:63:68为EAP-MD5 Extra Data，不知道有什么用。

=========================================================
客户端发送EAP-Response MD5-Challenge包。内容如下：

0000 01 80 c2 00 00 03 70 71 bc 12 ba 69 88 8e 01 00 ......pq ...i....
0010 00 25 02 05 00 25 04 10 09 b3 4c 81 d4 a6 6c f1 .%...%.. ..L...l.
0020 f0 67 12 ed 81 b4 41 c2 7a 6a 6c 61 6e 7a 73 6a .g....A. zjlanzsj
0030 67 32 31 30 36 32 30 g210620

复制代码

第20字节为Id字段值为5，对应Request；第21-22字节的Length字段值为31；第23字节的Type字段值仍为4；第24字节的Value-Size字段值仍为16，因为MD5算法得到的结果长度为16个字节；第25-40字节为Value字段内容，此处值为09:b3:4c:81:d4:a6:6c:f1:f0:67:12:ed:81:b4:41:c2，这里是密码经过MD5算法处理后的值。 7a6a6c616e7a736a67323130363230，内容为16进制ASCII码表示的用户身份，UserName。

===================================
认证成功，EAP-Success

0000 70 71 bc 12 ba 69 00 d0 d0 fd 03 98 88 8e 01 00 pq...i.. ........
0010 00 2a 03 05 00 2a 01 24 03 1f 68 74 74 70 3a 2f .*...*.$ ..http:/
0020 2f 31 37 32 2e 31 36 2e 30 2e 34 36 2f 61 75 74 /172.16. 0.46/aut
0030 6f 75 70 64 61 74 65 2f 2c 04 01 01 eb 02 fc dc oupdate/ ,.......

复制代码

验证者收到请求者回应的EAP-Response MD5-Challenge消息后，将该消息重新封装如RADIUS数据包，发送给后面的认证服务器。认证服务器确认用户名/密码正确后，发送EAP-Success，认证者再将该消息重新封装发送给请求者，表明认证已经通过，进入授权状态，可以请求DHCP分配IP地址了。
EAP-Success消息很简单。第19字节的Code字段值为3表示Success；第20字节为Id字段值仍然为5，表明是之前Id为5的Challenge的结果；第21-22字节的Length字段值为42。

==============================================
接下来是保持在线状态，从这里开始是中兴和华为认证较大不同的地方。前面的过程基本相同。这也可以解释之前有人在Linux下用华为h3c的linux版本为什么会过几分钟就掉线了，因为两者保持在线状态的方式不同。

华为h3c的：交换机会定期发送EAP-Request Identity消息给客户端，客户端要在一定时间内回应EAP-Response Identity，以保持在线状态。

中兴的：服务器每隔一些时间发来EAPOL Key，内容如下

而我们要回应两个EAPOL Key包

其中, 这两个包中的key都是使用收到的EAPOL Key包中的Key IV 进行rc4运算得到.
而Key Signature 是用来校验的,即把从version开始到结束为止的包内容(Key Signature填充0)进行hmac—md5运算的结果.

这里有华为的分析，认证过程基本相同：http://sunblog.72pines.com/h3c-8021x-analysis-captured/