EAP协议分析.pptVIP

EAP协议分析 崔富明 EAP协议 使用可扩展的身份验证协议。是Extensible Authentication Protocol的缩写 EAPOL协议 EAPOL就是(EAP OVER LAN )基于局域网的扩展认证协议。 EAPOL是基于802.1X网络访问认证技术发展而来的 802.1x认证的EAP协议（总体流程） Supplicant主机? ?? ?? ?? ?? ?? ?服务器?-----------? ?? ?? ?? ?? ???-------------?? ? |------------------------------| 主机向服务器（多播或广播地址）发送EAPOL-Start?? ? | 1.??EAPOL-Start? ?? ?? ?? ?? ?|?? ? |? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? |?? ? |------------------------------| 要求验证身份的请求?? ? | 2. EAP-REQUEST-Identity? ?? ? |?? ? |? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? |?? ? |------------------------------| 回应(用户名)?? ? | 3. EAP-RESPONSE-Identity? ?? ?|?? ? |? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? |?? ? |------------------------------| 要求验证密码的MD5校验值(随机加密字Challenge)?? ? | 4. EAP-REQUEST-MD5_Challenge??|?? ? |? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? |?? ? |------------------------------| 回应（使用Challenge加密口令）?? ? | 5. EAP-RESPONSE-MD5_Challenge |?? ? |? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? |?? ? |------------------------------| EAP-Success（判断正确性）?? ? | 6.? ?? ? EAP-Success? ?? ?? ? |?? ? |? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? |?在任何时候服务器发来EAP-Failure数据包，都表示整个认证过程终止。 锐捷认证过程分析 抓包分析 第一帧 用户打开 802.1x锐捷客户端程序，输入用户名和口令，发起连接请求。此时客户端程序发出 EAPOL-Start 请求认证的报文给接入设备，开始认证过程。 第二帧 接入设备向客户端发送 EAP-Request / Identity? 报文，要求客户端发送用户名； 第三帧 客户端回应一个 EAP-Response / Identity 给接入设备，其中包括用户名； 回应包 第四帧 接入设备通过 EAP-Request / MD5-Challenge 发送给客户端，要求客户端进行认证； 第五帧 客户端收到 EAP-Request/MD5-Challenge 报文后，将密码和 Challenge 做 MD5 算法后的 Challenged-Password，在 EAP-Response / MD5-Challenge 回应给接入设备； 第六帧 接入设备转发给认证服务器给客户端的成功/失败报文，如果是成功报文，则携带协商参数，以及用户的相关业务属性给用户授权 ； After 认证成功 第一步：向DHCP服务器请求动态分配IP地址（DHCP），以广播形式发送请求数据包（包内含客户端主机MAC地址）； 第二步：DHCP服务器接收到请求数据后，将动态分配好的可用IP地址以ICMP报文形式返还给客户端主机（包内含已经分配好的可用IP）； 第三步：客户端将本机的IP地址调整为动态分配得到的IP地址，此后此主机能正常与外界通信。 实现用别人的号上网 获得与学号对应的IP地址 利用软件查询IP及MAC 修改本机MAC地址 1.在注册表中修改 2.在本地连接中的属性里面修改 认证成功后