無線連接驗(yàn)證及客戶端狀態(tài)的方法解析

1 關(guān)于無線連接驗(yàn)證及客戶端狀態(tài)

1.關(guān)于無線連接驗(yàn)證

先來回顧前面提及的無線網(wǎng)絡(luò)環(huán)境，無線客戶端都是需要通過一個(gè)驗(yàn)證來實(shí)現(xiàn)連接無線接 入點(diǎn)的。AP上的驗(yàn)證可采用開放式密鑰驗(yàn)證或者預(yù)共享密鑰驗(yàn)證兩種方式。一個(gè)工作站可以同 時(shí)與多個(gè)AP進(jìn)行連接驗(yàn)證，但在實(shí)際連接時(shí)，同一時(shí)刻一般還只是通過一個(gè)AP進(jìn)行的。圖 8-14所示為使用密碼來進(jìn)行連接驗(yàn)證。

2.關(guān)于無線客戶端狀態(tài)

IEEE 802.11定義了一種客戶端狀態(tài)機(jī)制，用于跟蹤工作站舟份驗(yàn)證和關(guān)聯(lián)狀態(tài)。無線 客戶端和AP基于IEEE標(biāo)準(zhǔn)實(shí)現(xiàn)這種狀態(tài)機(jī)制，如圖8-15所示。成功關(guān)聯(lián)的客戶端停留在 狀態(tài)3，才能進(jìn)行無線通信。處于狀態(tài)1和狀態(tài)2的客戶端在通過身份驗(yàn)證和關(guān)聯(lián)前無法參 與WLAN數(shù)據(jù)通信過程。

在圖8-15中，無線客戶端根據(jù)它們的關(guān)聯(lián)和認(rèn)證狀態(tài)，可以為3種狀態(tài)中的任意一種。

了解下述內(nèi)容對理解無線D.O.S攻擊有著很大作用，為方便更多讀者理解，這里制作了 圖8-15的對應(yīng)列表，請大家結(jié)合表8-1的內(nèi)容對照查看。

 

 

明白了上述的內(nèi)容，下面就來學(xué)習(xí)實(shí)際的攻擊是怎樣實(shí)現(xiàn)的。

2 Auth Flood攻擊

驗(yàn)證洪水攻擊，國際上稱之為Authentication Flood Attack，全稱即身份驗(yàn)證洪水攻擊， 通常被簡稱為Auth D.O.S攻擊，是無線網(wǎng)絡(luò)拒絕服務(wù)攻擊的一種形式。該攻擊目標(biāo)主要針 對那些處于通過驗(yàn)證、和AP建立關(guān)聯(lián)的關(guān)聯(lián)客戶端，攻擊者將向AP發(fā)送大量偽造的身份 驗(yàn)證請求幀(偽造的身份驗(yàn)證服務(wù)和狀態(tài)代碼)，當(dāng)收到大量偽造的身份驗(yàn)證請求超過所能 承受的能力時(shí)，AP將斷開其他無線服務(wù)連接。

一般來說，所有無線客戶端的連接請求會被AP記錄在連接表中，當(dāng)連接數(shù)量超過AP 所能提供的許可范圍時(shí)，AP就會拒絕其他客戶端發(fā)起的連接請求。為方便大家理解，圖8-16 所示是身份驗(yàn)證洪水攻擊原理圖，可以看到攻擊者對整個(gè)無線網(wǎng)絡(luò)發(fā)送了偽造的身份驗(yàn)證 報(bào)文。

 

 

1.身份驗(yàn)證攻擊實(shí)現(xiàn)及效果

為了開展驗(yàn)證洪水攻擊，攻擊者會先使用一些看起來合法但其實(shí)是隨機(jī)生成的MAC地 址來偽造工作站，然后，攻擊者就可以發(fā)送大量的虛假連接請求到AP。對AP進(jìn)行持續(xù)且 猛烈的虛假連接請求，最終會導(dǎo)致無線接入點(diǎn)的連接列表出現(xiàn)錯(cuò)誤，合法用戶的正常連接也 會被破壞。

可以使用的工具有很多，比如在Linux下比較有名的MDK2/3，或者早一點(diǎn)的Voidll 等。那么，在開始攻擊之前，一般會先使用Airodump-ng查看當(dāng)前無線網(wǎng)絡(luò)狀況。如圖8-17 所示，這是在正常情況下探測到的無線接入點(diǎn)和已經(jīng)連接的無線客戶端。

 

 

具體攻擊可以使用MDK3工具實(shí)現(xiàn)，該軟件可以通過無線網(wǎng)卡發(fā)射隨機(jī)偽造的AP信號， 并可根據(jù)需要設(shè)定偽造AP的工作頻道，下面就以Ubuntu環(huán)境為例進(jìn)行演示。一般設(shè)定為 預(yù)干擾目標(biāo)AP的同一頻道。

具體命令如下：

 

 

參數(shù)解釋：

● 網(wǎng)卡：此處用于輸入當(dāng)前的網(wǎng)卡名稱，這里就是mon0。

● a：Authentication D.O.S模式，即驗(yàn)證洪水攻擊模式。

● .a：攻擊指定的AP，此處需要輸入AP的MAC地址，這里就是基于圖8—17所探測到的SSID為Belkin的AP。

● .s：發(fā)送數(shù)據(jù)包速率，但并不精確，這里為200，實(shí)際發(fā)包速率會保存在150～250個(gè)包/秒，可以不使用該參數(shù)。

按【Enter]鍵后就能看到MDK3偽造了大量不存在的無線客戶端SSID與AP進(jìn)行連接， 而且也出現(xiàn)了很多顯示為AP responding或者AP seems to beNVULNERABLE的提示。圖 8-18所示為對SSID為Belkin的AP進(jìn)行Auth D.O.S攻擊。

 

圖8-18

 

圖8-19所示為向SSID為Belkin、頻道為1的無線接入點(diǎn)正常通信進(jìn)行Auth D.O.S攻擊。 可以看到，在使用Airodump-ng監(jiān)測界面的下方，瞬間出現(xiàn)了大量的偽造客戶端，且連接對 象均為“OO:1C:DF:60:C1:94”。此時(shí)的合法無線客戶端雖然不是所有的都受到影響，但已經(jīng) 出現(xiàn)了不穩(wěn)定的情況。

 

 

同樣地，使用前面介紹過的圖形化工具也可以實(shí)現(xiàn)， Java圖形化版本Charon的工作界面，該 工具通過事先監(jiān)測到的無線客戶端 MAC，可對指定無線客戶端進(jìn)行定點(diǎn)攻 擊。在圖8-22中可以看到該攻擊工具偽 造了大量不存在的客戶端MAC來對目標(biāo) AP進(jìn)行連接驗(yàn)證。由于工具一樣，只是加 了個(gè)圖形界面，所以這里不再贅述。

 

 

2.身份驗(yàn)證攻擊典型數(shù)據(jù)報(bào)文分析

在察覺到網(wǎng)絡(luò)不穩(wěn)定時(shí)，應(yīng)該立即著 手捕獲數(shù)據(jù)包并進(jìn)行分析，這樣是可以迅 速識別出Auth D.O.S攻擊的。 圖8-23所示為在Auth D.O.S攻擊開始后，無線網(wǎng)絡(luò)出現(xiàn)不穩(wěn)定狀況時(shí)，使用Wireshark 抓包的結(jié)果分析，可以看到有大量連續(xù)的802.11 Authentication數(shù)據(jù)報(bào)文提示出現(xiàn)。

 

圖8-23

 

雙擊打開圖8-23中的任意一個(gè)802.11 Auth數(shù)據(jù)包，可以看到圖8-24所示的數(shù)據(jù)包結(jié)構(gòu) 詳細(xì)說明，包括類型、協(xié)議版本、時(shí)間、發(fā)送源MAC、目標(biāo)MAC等。按照有線網(wǎng)絡(luò)D.O.S 攻擊的經(jīng)驗(yàn)，管理員貌似可通過抓包來識別和記錄攻擊者主機(jī)的無線網(wǎng)卡MAC，不過遺憾 的是，單純靠這樣來識別Auth攻擊者是不太可行的，正如大家所見，這些無線客戶端MAC 都是偽造的。

 

 

除了Wireshark之外，也可以使用OmniPeek進(jìn)行無線網(wǎng)絡(luò)數(shù)據(jù)包的截取和分析。當(dāng)遭 遇到強(qiáng)烈的Auth D.O.S攻擊時(shí)，已經(jīng)連接的無線客戶端會明顯受到影響，出現(xiàn)斷網(wǎng)頻繁、 反復(fù)重新驗(yàn)證無法通過等情況。當(dāng)網(wǎng)絡(luò)中出現(xiàn)此類情況時(shí)，無線網(wǎng)絡(luò)的管理員、安全人員應(yīng) 引起足夠的重視，并迅速進(jìn)行響應(yīng)和處理。

8,3.3 Deauth Flood攻擊

取消驗(yàn)證洪水攻擊，國際上稱之為De-authentication Flood Attack，全稱即取消身份驗(yàn)證 洪水攻擊或驗(yàn)證阻斷洪水攻擊，通常被簡稱為Deauth攻擊，是無線網(wǎng)絡(luò)拒絕服務(wù)攻擊的一 種形式，它旨在通過欺騙從AP到客戶端單播地址的取消身份驗(yàn)證幀來將客戶端轉(zhuǎn)為未關(guān)聯(lián)/ 未認(rèn)證的狀態(tài)。對于目前廣泛使用的無線客戶端遁配器工具來說，這種形式的攻擊在打斷客 戶端無線服務(wù)方面非常有效和快捷。一般來說，在攻擊者發(fā)送另一個(gè)取消身份驗(yàn)證幀之前， 客戶端會重新關(guān)聯(lián)和認(rèn)證以再次獲取服務(wù)。攻擊者反復(fù)欺騙取消身份驗(yàn)證幀才能使所有客戶 端持續(xù)拒絕服務(wù)。

為了方便讀者理解，繪制了一張取消身份驗(yàn)證洪水攻擊原理圖，大家可以好好理解一下， 在圖8-25中可看到攻擊者為了將所有已連接的無線客戶端“踢下線”，對整個(gè)無線網(wǎng)絡(luò)發(fā)送 了偽造的取消身份驗(yàn)證報(bào)文。

 

 

1.取消身份驗(yàn)證攻擊實(shí)現(xiàn)及效果

無線黑客通過發(fā)送Deauthentication取消驗(yàn)證數(shù)據(jù)包文，達(dá)到中斷已連接的合法無線客 戶端正常通信的目的，并在長時(shí)間持續(xù)大量發(fā)送此類報(bào)文的基礎(chǔ)上，使得無線網(wǎng)絡(luò)一直處于 癱瘓狀態(tài)。下面來看看相關(guān)工具及效果。

可以使用的工具有很多，比如在Linux下比較有名的MDK2/3，或者早一點(diǎn)的Voidll 等，也可以使用Aireplay-ng的其中一個(gè)參數(shù)一0配合實(shí)現(xiàn)。圖8-26所示為Aireplay-ng的參 數(shù)說明，可以看到deauth參數(shù)就是用于發(fā)送Deauth數(shù)據(jù)報(bào)文的，該參數(shù)也可以使用一0參 數(shù)替代。

 

 

同樣地，在開始攻擊之前，一般會先使用Airodump-ng查看當(dāng)前無線網(wǎng)絡(luò)狀況。如 圖8-27所示，這是在正常情況下探測到的SSID為TP-LINk的無線接入點(diǎn)和已經(jīng)連接到該 AP的無線客戶端。

 

圖8-27

 

接下來，Deauth攻擊可以使用MDK3工具實(shí)現(xiàn)，具體命令如下：

 

 

參數(shù)解釋：

●網(wǎng)卡：此處用于輸入當(dāng)前昀網(wǎng)卡名稱，這里就是mon0。

●d：Deauthentication/Disassociation攻擊模式，即支持取消驗(yàn)證洪水攻擊模式和后面

要講到的取消關(guān)聯(lián)洪水攻擊模式，這兩個(gè)模式由于表現(xiàn)很相近，所以被歸在一起。

●-c: num針對的無線網(wǎng)絡(luò)工作頻道，這里選擇為1。

●-w: file白名單模式，w就是whitelist mode的簡寫，即后跟文件中包含AP的MAC會在攻擊中回避。

●-b：file黑名單模式，b就是blacklist mode的簡寫，即后跟預(yù)攻擊目標(biāo)AP的MAC

列表，這個(gè)在對付大量處于不同頻道的目標(biāo)時(shí)使用。

按【Enter]鍵后就能看到MDK3開始向大量已經(jīng)連接的無線客戶端與AP進(jìn)行強(qiáng)制斷 開連接攻擊，如圖8-28所示，這里面出現(xiàn)的很多MAC都是圖8-28所示的當(dāng)前已經(jīng)連接的 合法客戶端MAC，而MDK3正試圖對SSID為Belkin的AP和客戶端發(fā)送Deauth數(shù)據(jù)包來 強(qiáng)制斷開它們。

 

 

攻擊發(fā)包速率并不會維持在某個(gè)固定數(shù)值，而是根據(jù)網(wǎng)卡性能等情況維持在15~100個(gè)包/秒這樣一個(gè)范圍。如圖8-29所示，遭到Deauth攻擊后無線客戶端出現(xiàn)斷線情況。

 

 

2取消身份驗(yàn)證攻擊典型數(shù)據(jù)報(bào)文分析

在察覺到網(wǎng)絡(luò)不穩(wěn)定時(shí)，和前面已經(jīng)強(qiáng)調(diào)的一樣，大家應(yīng)該立即著手捕獲數(shù)據(jù)包并進(jìn)行分析，這樣可以便于迅速判斷攻擊類型，圖8-30所示為無線網(wǎng)絡(luò)在遭到Deauth攻擊出現(xiàn)不穩(wěn)定狀態(tài)時(shí)，使用Wireshark抓包的結(jié)果分析�？梢钥吹接写罅窟B續(xù)的包含802.11Deauthentication標(biāo)識的數(shù)據(jù)報(bào)文出現(xiàn)。

 

 

需要注意的是，伴隨著Deauthentication數(shù)據(jù)包的出現(xiàn)，隨之出現(xiàn)的就是大量的 Disassociation數(shù)據(jù)包，這是因?yàn)橄热∠��?yàn)證，自然就會出現(xiàn)取消連接，也就是斷開連接的 情況。

4 Association Flood攻擊

說完了取消驗(yàn)證洪水攻擊，再來看看關(guān)聯(lián)洪水攻擊。首先在無線路由器或者接入 點(diǎn)內(nèi)置一個(gè)列表即“連接狀態(tài)表”，里面可顯示出所有與該AP建立連接的無線客戶端 狀態(tài)。

關(guān)聯(lián)洪水攻擊，國際上稱之為Association Flood Attack，通常被簡稱為Asso攻擊， 是無線網(wǎng)絡(luò)拒絕服務(wù)攻擊的一種形式。它試圖通過利用大量模仿和偽造的無線客戶端 關(guān)聯(lián)來填充AP的客戶端關(guān)聯(lián)表，從而達(dá)到淹沒AP的目的。

也就是說，由于開放身份驗(yàn)證(空身份驗(yàn)證)允許任何客戶端通過身份驗(yàn)證后關(guān)聯(lián)。利 用這種漏洞AP擊者可以通過創(chuàng)建多個(gè)到達(dá)已連接或已關(guān)聯(lián)的奄￡耋季篙很多客戶8-31從 而淹沒目標(biāo)AP的客戶端關(guān)聯(lián)表，同樣為方便廣大讀者理解，可以 面繪制的圖8.31。 可以看到，當(dāng)客戶端關(guān)聯(lián)表溢出后，合法無線客戶端將無法再關(guān)聯(lián)，于是就形成了拒絕服務(wù) 攻擊。

 

 

1.關(guān)聯(lián)洪水攻擊實(shí)現(xiàn)及效果

一旦無線路由器/接入點(diǎn)的連接列表遭到泛洪攻擊，接入點(diǎn)將不再允許更多的連接， 并會因此拒絕合法用戶的連接請求�？梢允褂玫墓ぞ哂泻芏�，比如在Linux下比較有名 的MDK2/3和Voidll等。關(guān)于MDK3的具體命令，大家可以參考上面Auth攻擊所用的 具體參數(shù)。 當(dāng)然，還有一種可能是攻擊者集合了大量的無線網(wǎng)卡，或者是改裝的集合大量無線網(wǎng)卡 芯片的捆綁式發(fā)射機(jī)(類似于常說的“短信群發(fā)器”)，如果進(jìn)行大規(guī)模連接攻擊，對于目前 廣泛使用的無線接入設(shè)備，也將是很有效果的。

當(dāng)無線網(wǎng)絡(luò)遭受到此類攻擊時(shí)，可以使用Airodump-ng來對當(dāng)前無線網(wǎng)絡(luò)進(jìn)行監(jiān)測和分 析，看到圖8-20所示的情形，遭到洪泛攻擊的接入點(diǎn)網(wǎng)絡(luò)數(shù)據(jù)，出現(xiàn)了大量無法驗(yàn)證的無 線客戶端MAC及請求。

2.關(guān)聯(lián)洪水攻擊典型數(shù)據(jù)報(bào)文分析

在察覺到網(wǎng)絡(luò)不穩(wěn)定或出現(xiàn)異常時(shí)，應(yīng)立即著手捕獲數(shù)據(jù)包并進(jìn)行分析。圖8-33所示 為使用Wireshark分析捕獲的遭到泛洪攻擊的無線網(wǎng)絡(luò)數(shù)據(jù)，可以看到出現(xiàn)了大量無法驗(yàn)證 的無線客戶端。

 

 

8.3.5 Disassociation Flood攻擊

Disassociation Flood Attack(取消關(guān)聯(lián)洪水攻擊)的攻擊方式和Deauthentication Flood Attack表現(xiàn)很相似，但是發(fā)送數(shù)據(jù)包類型卻有本質(zhì)的不同。它通過欺騙從AP到客戶端的取 消關(guān)聯(lián)幀來強(qiáng)制客戶端成為圖8-1所示的未關(guān)聯(lián)/未認(rèn)證的狀態(tài)(狀態(tài)2)。一般來說，在攻 擊者發(fā)送另一個(gè)取消關(guān)聯(lián)幀之前，客戶端會重新關(guān)聯(lián)以再玖獲取服務(wù)。攻擊者反復(fù)欺騙取消 關(guān)聯(lián)幀才能使客戶端持續(xù)拒絕服務(wù)。

需要強(qiáng)調(diào)的是，Disassociation Broadcast Attack(取消關(guān)聯(lián)廣播攻擊)和Disassociation Flood Attack(取消關(guān)聯(lián)洪水攻擊)原理基本一致，只是在發(fā)送程度及使用工具上有所區(qū)別， 但前者很多時(shí)候用于配合進(jìn)行無線中間人攻擊，而后者常用于目標(biāo)確定的點(diǎn)對點(diǎn)無線D.O.S， 比如破壞或干擾指定機(jī)構(gòu)或部門的無線接入點(diǎn)等。

1.取消關(guān)聯(lián)洪水攻擊實(shí)現(xiàn)及效果

關(guān)于取消關(guān)聯(lián)洪水攻擊的實(shí)現(xiàn)步驟，請大家參照表8-2。

 

表8-2

 

正如前面講Deauth攻擊時(shí)提到的，伴隨著Deauthentication數(shù)據(jù)包的出現(xiàn)，隨之出現(xiàn)的 就是大量的Disassociation數(shù)據(jù)包，這是因?yàn)橄热∠��?yàn)證，自然就會出現(xiàn)取消連接，也就是 斷開連接的情況。

2.取消關(guān)聯(lián)洪水攻擊典型數(shù)據(jù)報(bào)文分析

在察覺到無線網(wǎng)絡(luò)不穩(wěn)定且客戶端頻繁出現(xiàn)掉線情況時(shí)，則有可能是遭到了Disassociate 攻擊，應(yīng)立即著手捕獲數(shù)據(jù)包并進(jìn)行分析。圖8-33所示為無線網(wǎng)絡(luò)在出現(xiàn)不穩(wěn)定且客戶端 經(jīng)常掉線狀況時(shí)，使用Wireshark孤包的結(jié)果分析，可以看到有大量連續(xù)的包含802.11 Disassociate標(biāo)識的數(shù)據(jù)報(bào)文出現(xiàn)。

從圖8-33可以看出，發(fā)送Disassociate數(shù)據(jù)包的來源為廣播，而目的地址則是AP，就 是說從外界傳來試圖中斷外界與該AP連接的報(bào)文。

 

圖8-33

 

8.3.6 RF Jamming攻擊

如果說前面幾種D.0.S攻擊是主要基于無線通信過程及協(xié)議的，那么RF干擾攻擊就是 完全不同的…種攻擊方式了。

RF干擾攻擊，國際上稱之為RF Jamming Attack，在個(gè)別老外寫的文章中有時(shí)也稱之為 RF Disruption Attack，該攻擊是通過發(fā)出干擾射頻達(dá)到破壞正常無線通信的目的。其中，RF 全稱為Radio Frequency，即射頻，主要包括無線信號發(fā)射機(jī)及收信機(jī)等。在通信領(lǐng)域，關(guān)于 無線信號干擾和抗干擾對策一直是主要研究方向之一。

這個(gè)其實(shí)很好理解，這類工具大家也可能都見過或者聽說過，就好比說考試中報(bào)紙上提 及的那個(gè)“手機(jī)信號屏蔽器”就是類似的東西，圖8-34所示為目前正在使用的手機(jī)干擾機(jī)， 只要一打開，就可以保證半徑為幾十或者幾百米之內(nèi)所有的手機(jī)無法連接基站，原理完全一 樣，只不過“手機(jī)信號屏蔽器”的覆蓋頻率只涉及了GSM或者CDMA工作頻段。

圖8-35所示為大功率GSM/CDMA/3G/GPS信號多功能干擾機(jī)。

 

圖8-34 圖8-35

 

同樣地，為了幫助大家理解此類攻擊的原理，繪制了一幅無線R_F干擾攻擊原理圖以供 參考，如圖8-36所示。

 

 

由于目前普遍使用的無線網(wǎng)絡(luò)都工作在2.4GHz頻帶范圍，此頻帶范圍包含802.llb、 802.llg、802.lln、藍(lán)牙等，具體如表8-3所示，所以針對此頻帶進(jìn)行干擾將會有效地破壞 正常的無線通信，導(dǎo)致傳輸數(shù)據(jù)丟失、網(wǎng)絡(luò)中斷、信號不穩(wěn)定等情況出現(xiàn)。

 

表8-3

 

可能面對的射頻干擾攻擊

當(dāng)無線黑客使用射頻干擾攻擊來對公司或者家庭無線網(wǎng)絡(luò)進(jìn)行攻擊時(shí)，無線路由器或無 線AP將會出現(xiàn)較為明顯的性能下降，而當(dāng)遇到針對2.4GHz整個(gè)頻段的阻塞干擾時(shí)，整個(gè) 無線網(wǎng)絡(luò)中的AP及無線路由器甚至都將不能正常工作。

當(dāng)然，很多時(shí)候也許很難遇到此類攻擊，但是當(dāng)存在很多用戶在無線網(wǎng)絡(luò)中使用同頻率 的射頻設(shè)備，如微波、無繩電話及藍(lán)牙設(shè)備等，這些工作在2.4GHz或者5.2GHz波段的設(shè) 備會對無線網(wǎng)絡(luò)產(chǎn)生干擾噪聲及信號阻塞，嚴(yán)重甚至?xí)��?dǎo)致無線局域網(wǎng)服務(wù)的癱瘓。這個(gè)大 家應(yīng)該多注意些，可不要把無線設(shè)備放得離微波爐太近。

一些專業(yè)的工縣及設(shè)備會幫助找到干擾源，圖8-37所示為檢測到的無線基站實(shí)時(shí)信號 狀態(tài)，可以看到有多個(gè)基站通信服務(wù)處于失去響應(yīng)狀態(tài)，而這有可能是干擾所致。

圖8-38所示為無線電管理機(jī)構(gòu)相關(guān)技術(shù)人員，正在檢測非法信號來源。不過圖中的設(shè) 備是用來檢測非法無線電信號的，對于現(xiàn)在所說的基于2.4GHz的無線信號，應(yīng)該更換其他 的設(shè)備才能夠?qū)崿F(xiàn)。

 

圖8-37 圖8-38