為了保障十八大的信息安全,啟明星辰的專業技術人員攜帶無線入侵檢測(WIDS)產品參加了某省級運營商無線安全檢測及防護演練工作。
此次演練的主題是WLAN AP身份驗證泛洪攻擊演練。演練工作主要包括:
一、 准備工作
此次演練在該運營商的實際辦公環境中進行,辦公樓層部署有多台AP設備,演練選擇其中某台AP作為攻擊對象。應急人員通過一台測試筆記本接入該AP並驗證可以正常訪問互聯網,模擬攻擊人員通過筆記本接入該AP,後續將通過部署在筆記本中的攻擊工具對無線AP進行攻擊。
演練開始前由運營商工作人員記錄測試筆記本及AP相關信息(MAC地址、SSID、信道號及連接狀態等)。啟明星辰無線入侵檢測(WIDS)產品在進行無線安全檢測時自動發現的無線網絡信息如下:
圖1 啟明星辰無線入侵檢測(WIDS)發現的無線網絡拓撲
圖2 啟明星辰無線入侵檢測(WIDS)發現的無線設備信息
整個過程中運營商也可通過其數據網管系統查看AP連接狀態和工作信息。
二、 模擬攻擊
演練中通過工具先後模擬發起Authentication DoS和De-Authentication DoS兩種身份驗證泛洪攻擊,攻擊持續一段時間之後,無線網絡安全出現問題,用新的客戶端去連接被攻擊AP,已經無法建立正常連接,此時已連接在此AP 的客戶端也發現不能正常上網。由於該樓層部署有多台AP,客戶端最終將會漫游至其他AP連接上網。
在模擬攻擊發生後進行無線安全檢測,通過抓包工具可以分別看到大量的偽造Authentication和De-authentication數據報文出現:
圖3 Authentication DoS攻擊抓包結果
圖4 De-Authentication DoS攻擊抓包結果
三、 應急啟動
在察覺到網絡不穩定時,管理員立即采取設備觀測結合人工分析的方式加以關注,及時定位問題,並采取有效措施解決問題。
演練過程中可看到測試筆記本連接的AP發生遷移(MAC地址變更);登錄被攻擊AP,可看到原來連接於該AP的無線客戶端已經下線;登錄數據網管系統,可看到該無線客戶端下線,但AP工作狀態正常;由此得知,通過AP或網管系統都無法感知當前無線網絡安全狀況,不能確定無線網絡是否處於被攻擊的狀態。而此時,啟明星辰無線入侵檢測(WIDS)及時檢測到攻擊事件的發生,准確識別攻擊來源,並給出報警和審計信息,運維人員根據此信息進行了攻擊排查及網絡恢復。