無線DOS攻擊的常用方法

 無線D.O.S攻擊的常用方法
    關於無線攻擊有多種方法，本節主要說明常用的方法。

1  關於無線連接驗證及客戶端狀態
    1．關於無線連接驗證
    先來回顧前面提及的無線網絡環境，無線客戶端都是需要通過一個驗證來實現連接無線接 入點的。AP上的驗證可采用開放式密鑰驗證或者預共享密鑰驗證兩種方式。一個工作站可以同 時與多個AP進行連接驗證，但在實際連接時，同一時刻一般還只是通過一個AP進行的。圖 8-14所示為使用密碼來進行連接驗證。
    2．關於無線客戶端狀態
    IEEE 802.11定義了一種客戶端狀態機制，用於跟蹤工作站舟份驗證和關聯狀態。無線 客戶端和AP基於IEEE標准實現這種狀態機制，如圖8-15所示。成功關聯的客戶端停留在 狀態3，才能進行無線通信。處於狀態1和狀態2的客戶端在通過身份驗證和關聯前無法參 與WLAN數據通信過程。
    在圖8-15中，無線客戶端根據它們的關聯和認證狀態，可以為3種狀態中的任意一種。
    了解下述內容對理解無線D.O.S攻擊有著很大作用，為方便更多讀者理解，這裡制作了 圖8-15的對應列表，請大家結合表8-1的內容對照查看。    

明白了上述的內容，下面就來學習實際的攻擊是怎樣實現的。

2 Auth Flood攻擊
    驗證洪水攻擊，國際上稱之為Authentication Flood Attack，全稱即身份驗證洪水攻擊， 通常被簡稱為Auth D.O.S攻擊，是無線網絡拒絕服務攻擊的一種形式。該攻擊目標主要針 對那些處於通過驗證、和AP建立關聯的關聯客戶端，攻擊者將向AP發送大量偽造的身份 驗證請求幀（偽造的身份驗證服務和狀態代碼），當收到大量偽造的身份驗證請求超過所能 承受的能力時，AP將斷開其他無線服務連接。
    一般來說，所有無線客戶端的連接請求會被AP記錄在連接表中，當連接數量超過AP 所能提供的許可范圍時，AP就會拒絕其他客戶端發起的連接請求。為方便大家理解，圖8-16 所示是身份驗證洪水攻擊原理圖，可以看到攻擊者對整個無線網絡發送了偽造的身份驗證 報文。

1．身份驗證攻擊實現及效果    
    為了開展驗證洪水攻擊，攻擊者會先使用一些看起來合法但其實是隨機生成的MAC地 址來偽造工作站，然後，攻擊者就可以發送大量的虛假連接請求到AP。對AP進行持續且 猛烈的虛假連接請求，最終會導致無線接入點的連接列表出現錯誤，合法用戶的正常連接也 會被破壞。
    可以使用的工具有很多，比如在Linux下比較有名的MDK2/3，或者早一點的Voidll 等。那麼，在開始攻擊之前，一般會先使用Airodump-ng查看當前無線網絡狀況。如圖8-17 所示，這是在正常情況下探測到的無線接入點和已經連接的無線客戶端。

具體攻擊可以使用MDK3工具實現，該軟件可以通過無線網卡發射隨機偽造的AP信號， 並可根據需要設定偽造AP的工作頻道，下面就以Ubuntu環境為例進行演示。一般設定為 預干擾目標AP的同一頻道。
    具體命令如下：

  參數解釋：  

●  網卡：此處用於輸入當前的網卡名稱，這裡就是mon0。

  ●  a：Authentication D.O.S模式，即驗證洪水攻擊模式。

  ●  ．a：攻擊指定的AP，此處需要輸入AP的MAC地址，這裡就是基於圖8—17所探測到的SSID為Belkin的AP。
    ●  ．s：發送數據包速率，但並不精確，這裡為200，實際發包速率會保存在150～250個包／秒，可以不使用該參數。
    按【Enter]鍵後就能看到MDK3偽造了大量不存在的無線客戶端SSID與AP進行連接， 而且也出現了很多顯示為AP responding或者AP seems to beNVULNERABLE的提示。圖 8-18所示為對SSID為Belkin的AP進行Auth D.O.S攻擊。

圖8-18
    圖8-19所示為向SSID為Belkin、頻道為1的無線接入點正常通信進行Auth D.O.S攻擊。 可以看到，在使用Airodump-ng監測界面的下方，瞬間出現了大量的偽造客戶端，且連接對 象均為“OO:1C:DF:60:C1:94”。此時的合法無線客戶端雖然不是所有的都受到影響，但已經 出現了不穩定的情況。   

 同樣地，使用前面介紹過的圖形化工具也可以實現， Java圖形化版本Charon的工作界面，該 工具通過事先監測到的無線客戶端 MAC，可對指定無線客戶端進行定點攻 擊。在圖8-22中可以看到該攻擊工具偽 造了大量不存在的客戶端MAC來對目標 AP進行連接驗證。由於工具一樣，只是加 了個圖形界面，所以這裡不再贅述。

    2．身份驗證攻擊典型數據報文分析
    在察覺到網絡不穩定時，應該立即著 手捕獲數據包並進行分析，這樣是可以迅 速識別出Auth D.O.S攻擊的。   圖8-23所示為在Auth D.O.S攻擊開始後，無線網絡出現不穩定狀況時，使用Wireshark 抓包的結果分析，可以看到有大量連續的802.11 Authentication數據報文提示出現。

 圖8-23
    雙擊打開圖8-23中的任意一個802.11 Auth數據包，可以看到圖8-24所示的數據包結構 詳細說明，包括類型、協議版本、時間、發送源MAC、目標MAC等。按照有線網絡D.O.S 攻擊的經驗，管理員貌似可通過抓包來識別和記錄攻擊者主機的無線網卡MAC，不過遺憾 的是，單純靠這樣來識別Auth攻擊者是不太可行的，正如大家所見，這些無線客戶端MAC 都是偽造的。

    除了Wireshark之外，也可以使用OmniPeek進行無線網絡數據包的截取和分析。當遭 遇到強烈的Auth D.O.S攻擊時，已經連接的無線客戶端會明顯受到影響，出現斷網頻繁、 反復重新驗證無法通過等情況。當網絡中出現此類情況時，無線網絡的管理員、安全人員應 引起足夠的重視，並迅速進行響應和處理。

8,3.3 Deauth Flood攻擊
    取消驗證洪水攻擊，國際上稱之為De-authentication Flood Attack，全稱即取消身份驗證 洪水攻擊或驗證阻斷洪水攻擊，通常被簡稱為Deauth攻擊，是無線網絡拒絕服務攻擊的一 種形式，它旨在通過欺騙從AP到客戶端單播地址的取消身份驗證幀來將客戶端轉為未關聯／ 未認證的狀態。對於目前廣泛使用的無線客戶端遁配器工具來說，這種形式的攻擊在打斷客 戶端無線服務方面非常有效和快捷。一般來說，在攻擊者發送另一個取消身份驗證幀之前， 客戶端會重新關聯和認證以再次獲取服務。攻擊者反復欺騙取消身份驗證幀才能使所有客戶 端持續拒絕服務。
    為了方便讀者理解，繪制了一張取消身份驗證洪水攻擊原理圖，大家可以好好理解一下， 在圖8-25中可看到攻擊者為了將所有已連接的無線客戶端“踢下線”，對整個無線網絡發送 了偽造的取消身份驗證報文。    

1．取消身份驗證攻擊實現及