無線連接驗證及客戶端狀態的方法解析

1 關于無線連接驗證及客戶端狀態

1.關于無線連接驗證

先來回顧前面提及的無線網絡環境，無線客戶端都是需要通過一個驗證來實現連接無線接 入點的。AP上的驗證可采用開放式密鑰驗證或者預共享密鑰驗證兩種方式。一個工作站可以同 時與多個AP進行連接驗證，但在實際連接時，同一時刻一般還只是通過一個AP進行的。圖 8-14所示為使用密碼來進行連接驗證。

2.關于無線客戶端狀態

IEEE 802.11定義了一種客戶端狀態機制，用于跟蹤工作站舟份驗證和關聯狀態。無線 客戶端和AP基于IEEE標準實現這種狀態機制，如圖8-15所示。成功關聯的客戶端停留在 狀態3，才能進行無線通信。處于狀態1和狀態2的客戶端在通過身份驗證和關聯前無法參 與WLAN數據通信過程。

在圖8-15中，無線客戶端根據它們的關聯和認證狀態，可以為3種狀態中的任意一種。

了解下述內容對理解無線D.O.S攻擊有著很大作用，為方便更多讀者理解，這里制作了 圖8-15的對應列表，請大家結合表8-1的內容對照查看。

 

 

明白了上述的內容，下面就來學習實際的攻擊是怎樣實現的。

2 Auth Flood攻擊

驗證洪水攻擊，國際上稱之為Authentication Flood Attack，全稱即身份驗證洪水攻擊， 通常被簡稱為Auth D.O.S攻擊，是無線網絡拒絕服務攻擊的一種形式。該攻擊目標主要針 對那些處于通過驗證、和AP建立關聯的關聯客戶端，攻擊者將向AP發送大量偽造的身份 驗證請求幀(偽造的身份驗證服務和狀態代碼)，當收到大量偽造的身份驗證請求超過所能 承受的能力時，AP將斷開其他無線服務連接。

一般來說，所有無線客戶端的連接請求會被AP記錄在連接表中，當連接數量超過AP 所能提供的許可范圍時，AP就會拒絕其他客戶端發起的連接請求。為方便大家理解，圖8-16 所示是身份驗證洪水攻擊原理圖，可以看到攻擊者對整個無線網絡發送了偽造的身份驗證 報文。

 

 

1.身份驗證攻擊實現及效果

為了開展驗證洪水攻擊，攻擊者會先使用一些看起來合法但其實是隨機生成的MAC地 址來偽造工作站，然后，攻擊者就可以發送大量的虛假連接請求到AP。對AP進行持續且 猛烈的虛假連接請求，最終會導致無線接入點的連接列表出現錯誤，合法用戶的正常連接也 會被破壞。

可以使用的工具有很多，比如在Linux下比較有名的MDK2/3，或者早一點的Voidll 等。那么，在開始攻擊之前，一般會先使用Airodump-ng查看當前無線網絡狀況。如圖8-17 所示，這是在正常情況下探測到的無線接入點和已經連接的無線客戶端。

 

 

具體攻擊可以使用MDK3工具實現，該軟件可以通過無線網卡發射隨機偽造的AP信號， 并可根據需要設定偽造AP的工作頻道，下面就以Ubuntu環境為例進行演示。一般設定為 預干擾目標AP的同一頻道。

具體命令如下：

 

 

參數解釋：

● 網卡：此處用于輸入當前的網卡名稱，這里就是mon0。

● a：Authentication D.O.S模式，即驗證洪水攻擊模式。

● .a：攻擊指定的AP，此處需要輸入AP的MAC地址，這里就是基于圖8—17所探測到的SSID為Belkin的AP。

● .s：發送數據包速率，但并不精確，這里為200，實際發包速率會保存在150～250個包/秒，可以不使用該參數。

按【Enter]鍵后就能看到MDK3偽造了大量不存在的無線客戶端SSID與AP進行連接， 而且也出現了很多顯示為AP responding或者AP seems to beNVULNERABLE的提示。圖 8-18所示為對SSID為Belkin的AP進行Auth D.O.S攻擊。

 

圖8-18

 

圖8-19所示為向SSID為Belkin、頻道為1的無線接入點正常通信進行Auth D.O.S攻擊。 可以看到，在使用Airodump-ng監測界面的下方，瞬間出現了大量的偽造客戶端，且連接對 象均為“OO:1C:DF:60:C1:94”。此時的合法無線客戶端雖然不是所有的都受到影響，但已經 出現了不穩定的情況。

 

 

同樣地，使用前面介紹過的圖形化工具也可以實現， Java圖形化版本Charon的工作界面，該 工具通過事先監測到的無線客戶端 MAC，可對指定無線客戶端進行定點攻 擊。在圖8-22中可以看到該攻擊工具偽 造了大量不存在的客戶端MAC來對目標 AP進行連接驗證。由于工具一樣，只是加 了個圖形界面，所以這里不再贅述。

 

 

2.身份驗證攻擊典型數據報文分析

在察覺到網絡不穩定時，應該立即著 手捕獲數據包并進行分析，這樣是可以迅 速識別出Auth D.O.S攻擊的。 圖8-23所示為在Auth D.O.S攻擊開始后，無線網絡出現不穩定狀況時，使用Wireshark 抓包的結果分析，可以看到有大量連續的802.11 Authentication數據報文提示出現。

 

圖8-23

 

雙擊打開圖8-23中的任意一個802.11 Auth數據包，可以看到圖8-24所示的數據包結構 詳細說明，包括類型、協議版本、時間、發送源MAC、目標MAC等。按照有線網絡D.O.S 攻擊的經驗，管理員貌似可通過抓包來識別和記錄攻擊者主機的無線網卡MAC，不過遺憾 的是，單純靠這樣來識別Auth攻擊者是不太可行的，正如大家所見，這些無線客戶端MAC 都是偽造的。

 

 

除了Wireshark之外，也可以使用OmniPeek進行無線網絡數據包的截取和分析。當遭 遇到強烈的Auth D.O.S攻擊時，已經連接的無線客戶端會明顯受到影響，出現斷網頻繁、 反復重新驗證無法通過等情況。當網絡中出現此類情況時，無線網絡的管理員、安全人員應 引起足夠的重視，并迅速進行響應和處理。

8,3.3 Deauth Flood攻擊

取消驗證洪水攻擊，國際上稱之為De-authentication Flood Attack，全稱即取消身份驗證 洪水攻擊或驗證阻斷洪水攻擊，通常被簡稱為Deauth攻擊，是無線網絡拒絕服務攻擊的一 種形式，它旨在通過欺騙從AP到客戶端單播地址的取消身份驗證幀來將客戶端轉為未關聯/ 未認證的狀態。對于目前廣泛使用的無線客戶端遁配器工具來說，這種形式的攻擊在打斷客 戶端無線服務方面非常有效和快捷。一般來說，在攻擊者發送另一個取消身份驗證幀之前， 客戶端會重新關聯和認證以再次獲取服務。攻擊者反復欺騙取消身份驗證幀才能使所有客戶 端持續拒絕服務。

為了方便讀者理解，繪制了一張取消身份驗證洪水攻擊原理圖，大家可以好好理解一下， 在圖8-25中可看到攻擊者為了將所有已連接的無線客戶端“踢下線”，對整個無線網絡發送 了偽造的取消身份驗證報文。

 

 

1.取消身份驗證攻擊實現及效果

無線黑客通過發送Deauthentication取消驗證數據包文，達到中斷已連接的合法無線客 戶端正常通信的目的，并在長時間持續大量發送此類報文的基礎上，使得無線網絡一直處于 癱瘓狀態。下面來看看相關工具及效果。

可以使用的工具有很多，比如在Linux下比較有名的MDK2/3，或者早一點的Voidll 等，也可以使用Aireplay-ng的其中一個參數一0配合實現。圖8-26所示為Aireplay-ng的參 數說明，可以看到deauth參數就是用于發送Deauth數據報文的，該參數也可以使用一0參 數替代。

 

 

同樣地，在開始攻擊之前，一般會先使用Airodump-ng查看當前無線網絡狀況。如 圖8-27所示，這是在正常情況下探測到的SSID為TP-LINk的無線接入點和已經連接到該 AP的無線客戶端。

 

圖8-27

 

接下來，Deauth攻擊可以使用MDK3工具實現，具體命令如下：

 

 

參數解釋：

●網卡：此處用于輸入當前昀網卡名稱，這里就是mon0。

●d：Deauthentication/Disassociation攻擊模式，即支持取消驗證洪水攻擊模式和后面

要講到的取消關聯洪水攻擊模式，這兩個模式由于表現很相近，所以被歸在一起。

●-c: num針對的無線網絡工作頻道，這里選擇為1。

●-w: file白名單模式，w就是whitelist mode的簡寫，即后跟文件中包含AP的MAC會在攻擊中回避。

●-b：file黑名單模式，b就是blacklist mode的簡寫，即后跟預攻擊目標AP的MAC

列表，這個在對付大量處于不同頻道的目標時使用。

按【Enter]鍵后就能看到MDK3開始向大量已經連接的無線客戶端與AP進行強制斷 開連接攻擊，如圖8-28所示，這里面出現的很多MAC都是圖8-28所示的當前已經連接的 合法客戶端MAC，而MDK3正試圖對SSID為Belkin的AP和客戶端發送Deauth數據包來 強制斷開它們。

 

 

攻擊發包速率并不會維持在某個固定數值，而是根據網卡性能等情況維持在15~100個包/秒這樣一個范圍。如圖8-29所示，遭到Deauth攻擊后無線客戶端出現斷線情況。

 

 

2取消身份驗證攻擊典型數據報文分析

在察覺到網絡不穩定時，和前面已經強調的一樣，大家應該立即著手捕獲數據包并進行分析，這樣可以便于迅速判斷攻擊類型，圖8-30所示為無線網絡在遭到Deauth攻擊出現不穩定狀態時，使用Wireshark抓包的結果分析。可以看到有大量連續的包含802.11Deauthentication標識的數據報文出現。

 

 

需要注意的是，伴隨著Deauthentication數據包的出現，隨之出現的就是大量的 Disassociation數據包，這是因為先取消驗證，自然就會出現取消連接，也就是斷開連接的 情況。

4 Association Flood攻擊

說完了取消驗證洪水攻擊，再來看看關聯洪水攻擊。首先在無線路由器或者接入 點內置一個列表即“連接狀態表”，里面可顯示出所有與該AP建立連接的無線客戶端 狀態。

關聯洪水攻擊，國際上稱之為Association Flood Attack，通常被簡稱為Asso攻擊， 是無線網絡拒絕服務攻擊的一種形式。它試圖通過利用大量模仿和偽造的無線客戶端 關聯來填充AP的客戶端關聯表，從而達到淹沒AP的目的。

也就是說，由于開放身份驗證(空身份驗證)允許任何客戶端通過身份驗證后關聯。利 用這種漏洞AP擊者可以通過創建多個到達已連接或已關聯的奄￡耋季篙很多客戶8-31從 而淹沒目標AP的客戶端關聯表，同樣為方便廣大讀者理解，可以 面繪制的圖8.31。 可以看到，當客戶端關聯表溢出后，合法無線客戶端將無法再關聯，于是就形成了拒絕服務 攻擊。

 

 

1.關聯洪水攻擊實現及效果

一旦無線路由器/接入點的連接列表遭到泛洪攻擊，接入點將不再允許更多的連接， 并會因此拒絕合法用戶的連接請求。可以使用的工具有很多，比如在Linux下比較有名 的MDK2/3和Voidll等。關于MDK3的具體命令，大家可以參考上面Auth攻擊所用的 具體參數。 當然，還有一種可能是攻擊者集合了大量的無線網卡，或者是改裝的集合大量無線網卡 芯片的捆綁式發射機(類似于常說的“短信群發器”)，如果進行大規模連接攻擊，對于目前 廣泛使用的無線接入設備，也將是很有效果的。

當無線網絡遭受到此類攻擊時，可以使用Airodump-ng來對當前無線網絡進行監測和分 析，看到圖8-20所示的情形，遭到洪泛攻擊的接入點網絡數據，出現了大量無法驗證的無 線客戶端MAC及請求。

2.關聯洪水攻擊典型數據報文分析

在察覺到網絡不穩定或出現異常時，應立即著手捕獲數據包并進行分析。圖8-33所示 為使用Wireshark分析捕獲的遭到泛洪攻擊的無線網絡數據，可以看到出現了大量無法驗證 的無線客戶端。

 

 

8.3.5 Disassociation Flood攻擊

Disassociation Flood Attack(取消關聯洪水攻擊)的攻擊方式和Deauthentication Flood Attack表現很相似，但是發送數據包類型卻有本質的不同。它通過欺騙從AP到客戶端的取 消關聯幀來強制客戶端成為圖8-1所示的未關聯/未認證的狀態(狀態2)。一般來說，在攻 擊者發送另一個取消關聯幀之前，客戶端會重新關聯以再玖獲取服務。攻擊者反復欺騙取消 關聯幀才能使客戶端持續拒絕服務。

需要強調的是，Disassociation Broadcast Attack(取消關聯廣播攻擊)和Disassociation Flood Attack(取消關聯洪水攻擊)原理基本一致，只是在發送程度及使用工具上有所區別， 但前者很多時候用于配合進行無線中間人攻擊，而后者常用于目標確定的點對點無線D.O.S， 比如破壞或干擾指定機構或部門的無線接入點等。

1.取消關聯洪水攻擊實現及效果

關于取消關聯洪水攻擊的實現步驟，請大家參照表8-2。

 

表8-2

 

正如前面講Deauth攻擊時提到的，伴隨著Deauthentication數據包的出現，隨之出現的 就是大量的Disassociation數據包，這是因為先取消驗證，自然就會出現取消連接，也就是 斷開連接的情況。

2.取消關聯洪水攻擊典型數據報文分析

在察覺到無線網絡不穩定且客戶端頻繁出現掉線情況時，則有可能是遭到了Disassociate 攻擊，應立即著手捕獲數據包并進行分析。圖8-33所示為無線網絡在出現不穩定且客戶端 經常掉線狀況時，使用Wireshark孤包的結果分析，可以看到有大量連續的包含802.11 Disassociate標識的數據報文出現。

從圖8-33可以看出，發送Disassociate數據包的來源為廣播，而目的地址則是AP，就 是說從外界傳來試圖中斷外界與該AP連接的報文。

 

圖8-33

 

8.3.6 RF Jamming攻擊

如果說前面幾種D.0.S攻擊是主要基于無線通信過程及協議的，那么RF干擾攻擊就是 完全不同的…種攻擊方式了。

RF干擾攻擊，國際上稱之為RF Jamming Attack，在個別老外寫的文章中有時也稱之為 RF Disruption Attack，該攻擊是通過發出干擾射頻達到破壞正常無線通信的目的。其中，RF 全稱為Radio Frequency，即射頻，主要包括無線信號發射機及收信機等。在通信領域，關于 無線信號干擾和抗干擾對策一直是主要研究方向之一。

這個其實很好理解，這類工具大家也可能都見過或者聽說過，就好比說考試中報紙上提 及的那個“手機信號屏蔽器”就是類似的東西，圖8-34所示為目前正在使用的手機干擾機， 只要一打開，就可以保證半徑為幾十或者幾百米之內所有的手機無法連接基站，原理完全一 樣，只不過“手機信號屏蔽器”的覆蓋頻率只涉及了GSM或者CDMA工作頻段。

圖8-35所示為大功率GSM/CDMA/3G/GPS信號多功能干擾機。

 

圖8-34 圖8-35

 

同樣地，為了幫助大家理解此類攻擊的原理，繪制了一幅無線R_F干擾攻擊原理圖以供 參考，如圖8-36所示。

 

 

由于目前普遍使用的無線網絡都工作在2.4GHz頻帶范圍，此頻帶范圍包含802.llb、 802.llg、802.lln、藍牙等，具體如表8-3所示，所以針對此頻帶進行干擾將會有效地破壞 正常的無線通信，導致傳輸數據丟失、網絡中斷、信號不穩定等情況出現。

 

表8-3

 

可能面對的射頻干擾攻擊

當無線黑客使用射頻干擾攻擊來對公司或者家庭無線網絡進行攻擊時，無線路由器或無 線AP將會出現較為明顯的性能下降，而當遇到針對2.4GHz整個頻段的阻塞干擾時，整個 無線網絡中的AP及無線路由器甚至都將不能正常工作。

當然，很多時候也許很難遇到此類攻擊，但是當存在很多用戶在無線網絡中使用同頻率 的射頻設備，如微波、無繩電話及藍牙設備等，這些工作在2.4GHz或者5.2GHz波段的設 備會對無線網絡產生干擾噪聲及信號阻塞，嚴重甚至會導致無線局域網服務的癱瘓。這個大 家應該多注意些，可不要把無線設備放得離微波爐太近。

一些專業的工縣及設備會幫助找到干擾源，圖8-37所示為檢測到的無線基站實時信號 狀態，可以看到有多個基站通信服務處于失去響應狀態，而這有可能是干擾所致。

圖8-38所示為無線電管理機構相關技術人員，正在檢測非法信號來源。不過圖中的設 備是用來檢測非法無線電信號的，對于現在所說的基于2.4GHz的無線信號，應該更換其他 的設備才能夠實現。

 

圖8-37 圖8-38