取消驗證洪水攻擊的原理與應對措施
取消驗證洪水攻擊與洪水驗證攻擊一樣,都是無線網絡拒絕服務攻擊的一種形式。作為DOS攻擊途徑的一種,取消驗證洪水攻擊的破壞性是毋庸置疑的。我們曾經介紹了關聯洪水攻擊以及驗證洪水攻擊。本篇文章將通過原理、步驟以及表現介紹取消驗證洪水攻擊,繼而引出防范措施。
1.取消驗證洪水攻擊原理及步驟
取消驗證洪水攻擊,國際上稱之為De-authenticationFloodAttack,全稱即取消身份驗證洪水攻擊或驗證阻斷洪水攻擊,通常被簡稱為Deauth攻擊,是無線網絡拒絕服務攻擊的一種形式,它旨在通過欺騙從AP到客戶端單播地址的取消身份驗證幀來將客戶端轉為未關聯的/未認證的狀態。對于目前廣泛使用的無線客戶端適配器工具來說,這種形式的攻擊在打斷客戶端無線服務方面非常有效和快捷。一般來說,在攻擊者發送另一個取消身份驗證幀之前,客戶站會重新關聯和認證以再次獲取服務。攻擊者反復欺騙取消身份驗證幀才能使所有客戶端持續拒絕服務。
需要說明的是,De-authenticationBroadcastAttack即取消身份驗證廣播攻擊和De-authenticationFloodAttack即取消身份驗證洪水攻擊原理基本一致,只是在發送程度及使用工具上有所區別,但前者很多時候用于配合進行無線中間人攻擊,而后者常用于純粹的無線D.O.S,所以很多不夠清楚的無線安全資料上會將兩者放在一起提及。
取消身份驗證洪水攻擊具體步驟如下:
攻擊者先通過掃描工具識別出預攻擊目標(無線接入點和所有已連接的無線客戶端)。
通過偽造無線接入點和無線客戶端來將含有de-authentication幀注入到正常無線網絡通信。
此時,無線客戶端會認為所有數據包均來自無線接入點。
在將指定無線客戶端“踢出”無線網絡后,攻擊者可以對其他客戶端進行同樣的攻擊,并可以持續進行以確保這些客戶端無法連接AP。
盡管客戶端會嘗試再次連接AP,但由于攻擊者的持續攻擊,將會很快被斷開。
下圖為筆者繪制的取消身份驗證洪水攻擊原理圖,可看到攻擊者對整個無線網絡發送了偽造的取消身份驗證報文。
2..取消驗證洪水攻擊表現形式及效果
攻擊者通過發送de-authentication取消驗證數據包文,達到中斷已連接無線客戶端正常無線通信的目的,并在持續大量發送此類報文基礎上,使得無線網絡一直處于癱瘓狀態。下面我們來看看相關工具及效果。
可以使用的工具有很多,比如在Linux下比較有名的MDK2/3,或者早一點的Void11等,在Windows下我們也可以使用aireplay-ng的其中一個參數配合實現。
3..取消驗證洪水攻擊應對方法
保持定時監控無線網絡的連接狀態,當出現大量的Deauthentication請求,并且每個請求只存在很短時間就消失時,應該立即開始使用Omnopeek等工具進行無線檢測其來源如MAC等。對于大型企業用戶,可以使用一些專業網絡工具配合來實現。
【編輯推薦】
