驗證洪水攻擊的原理與應對方法
DOS攻擊作為一種目的為耗盡服務器資源的攻擊方式,其攻擊形式有很多種,除去上文曾經講過的關聯洪水攻擊外,本篇文章將依舊通過原理、表現以及應對措施三方面來講述DOS攻擊的另外一種形式,驗證洪水攻擊。
1.關于無線連接驗證
在無線網絡環境,無線客戶端都是需要通過一個驗證來實現連接無線接入點的。AP上的驗證可采用開放式密鑰驗證或者預共享密鑰驗證兩種方式。一個工作站可以同時與多個AP進行連接驗證,但在實際連接時,同一時刻一般還只是通過一個AP進行的。
2.驗證洪水攻擊原理
驗證洪水攻擊,國際上稱之為Authentication Flood Attack,全稱即身份驗證洪水攻擊,通常被簡稱為Auth攻擊,是無線網絡拒絕服務攻擊的一種形式。該攻擊目標主要針對那些處于通過驗證、和AP建立關聯的關聯客戶端,攻擊者將向AP發送大量偽造的身份驗證請求幀(偽造的身份驗證服務和狀態代碼),當收到大量偽造的身份驗證請求超過所能承受的能力時,AP將斷開其它無線服務連接。
一般來說,所有無線客戶端的連接請求會被AP記錄在連接表中。當連接數量超過AP所能提供的許可范圍,AP就會拒絕其它客戶端發起的連接請求。下圖為筆者繪制的身份驗證洪水攻擊原理圖,可看到攻擊者對整個無線網絡發送了偽造的身份驗證報文。
3.身份驗證攻擊實現及效果
為了開展驗證洪水攻擊,攻擊者會先使用一些看起來合法但其實是隨機生成的MAC地址來偽造工作站,然后,攻擊者就可以發送大量的虛假連接請求到AP。對AP進行持續且猛烈的虛假連接請求,最終會導致無線接入點的連接列表出現錯誤,合法用戶的正常連接亦會被破壞。
可以使用的工具有很多,比如在Linux下比較有名的MDK2/3,或者早一點的Void11等,在Windows下我們也可以使用aireplay-ng的其中一個參數配合實現。
4.驗證洪水攻擊應對方法
通過跟蹤客戶端的驗證情況和連接狀況可以幫助無線管理人員識別此類拒絕服務攻擊。也可通過在監測軟件上部署警報來實現預警機制,這樣當警報被觸發時,被攻擊影響的無線接入點和客戶端都會被記錄并重新識別。
另外,在企業AP上開啟MAC地址過濾并進行詳細的配置,對阻止攻擊者會起到一定作用。
【編輯推薦】
