【TechTarget中国原创】尽管最近802.11的安全性提高了,但是无线局域网仍然很容易受到拒绝服务攻击的威胁。尽管可能不能够阻止拒绝服务攻击,但是无线入侵检测系统(WIDS)可以帮助检测到拒绝服务攻击什么时候发生及其来源,这样就可以把入侵者就地正法——或者至少把他吓走。本文中,Techtarget中国的特约专家针对如何识别对无线局域网的拒绝服务攻击,并对其做出反应,提供了切实可行的意见。
拥挤的天空
每个无线网络都会有意无意地受到无线电波的干扰。由于802.11b/g网络使用拥挤的2.4 GHz频段,因此受到其它无线电设备的干扰是常有的事,包括蓝牙、无线电话、微波炉和周边的无线局域网。802.11a网络使用5 GHz频段,这个频段更大,更易于使用,这样就不容易受到干扰。然而,任何使用无线局域网来完成关键应用任务的公司都应该准备好应对可能发生的无线电波干扰。
抗干扰很困难。这些频带是没有限制的,每个人都拥有相同的权限来使用它们(受限于有关权利限制的监管规则,等等)。虽然一些建筑材料和涂料提供了射频屏蔽,但是对于现有设施可能不切实际,会干扰到你自己无线局域网的操作。因此,对于大多数无线局域网管理员而言,避免干扰是一项战略性的选择:
- 一些设备可以在你的无线局域网所使用的频带和频道中传输802.11,使用无线入侵检测系统(WIDS)来检测这些看起来很新的设备。
- 使用WIDS警报来标记超载的信道(有过多的接入点或者点对点模式以特定的频率运行),或者标记过量的错误和转传输率(可能是非802.11干扰)。
- 使用无线网络入侵侦测系统在平面图上绘制一个近似的位置,进而追捕到干扰源。然后使用一个移动工具(stumbler或者无线局域网分析仪)来查找这个区域并隔离该设备的地址。
- 至于非802.11干扰源,使用一个频谱分析仪来监测传输,并且指纹鉴定你应当寻找的设备类型。
- 如果你不能消除罪魁祸首,重新配置接入点,使用不繁忙的信道。在干扰消除后,一些无线局域网交换器甚至可以自动分配信道。考虑将802.11a转至问题反复出现的地方,比如人口密集,租户众多的办公楼。
拒绝服务攻击发生
大多数无线局域网干扰是偶然发生的。当攻击者可以使用射频干扰,比如一个高功率的射频信号发生器,有许多便宜的方法可以有意地使用拒绝服务攻击你的无线局域网。比如:
- 802.11的控制桢可以用来“清空”某个信道,这样没有其它任何工作站可以传输。进入这个持续的传输模式被称为昆士兰州拒绝服务攻击。
- 802.11的认证桢可以用于与某个单独的工作站断开连接,或者是每个与特定接入点相关的工作站。源源不断地发送这些伪造的框架,被人们称为Deauth Flood。
- 在接入点的关联表中创建条目,这样802.11的协助桢就消耗了接入点资源。使用来自随机站点MAC地址的协助桢来淹没接入点,这样可以使得接入点太繁忙,以至于无法为真正的用户服务。
- 使用伪造的802.1X信息包,可以启动类似的攻击——比如,802.1X EAP Logoff Flood、EAP Start Flood、和EAP-of-Death攻击。
这些以及许多其它无线拒绝服务攻击很可能发生,由于只有802.11数据桢携带了完整的校验代码,这些代码是用于识别伪造信息的。使用成品的无线网卡和随时可用的共享软件或者开源工具,比如airjack和void11,可以启动这些攻击。攻击者只需要足够接近你的无线局域网,便可以捕获一些信息流,进而查明受害者。
不幸的是,大多数无线网络入侵侦测系统可以认出这些拒绝服务攻击的签名。一个无线网络入侵侦测系统可以警告你发生了802.11洪流或者802.1X洪流,以配置好的速率阀值为基础。无线网络入侵侦测系统也可以帮助你为你的无线局域网建立一个性能基准,这样你可以调整攻击阀值。比如,当某个特定的接入点每秒接收到的协助桢数目多于N时,N取决于网络正常用户的行为时,就会产生一个协助桢警告。
此外,无线网络入侵侦测系统可以帮助你侦查出涌现出的攻击模式。比如,一个攻击者可能优先使用Deauth Flood,而不是Evil Twin attack。无线网络入侵侦测系统可以帮助你将这两个攻击联系起来。攻击者可能会从一个接入点转向另一个接入点,从不同的MAC地址中运行类似的攻击。无线网络入侵侦测系统可以帮助你侦查到这种行为,生成一个升级的警报,对正在进行的攻击引起更快的注意力。没有无线网络入侵侦测系统,一些拒绝服务攻击可能会记下间歇性运行问题。无线网络侦测系统使你有能力回过头察看一下在无线局域网错误报告的时间前后是否发生了可疑活动或者已知的活动。
为了立即调查远程站点上的攻击,将无线网络侦测系统传感器放置到捕获的模式中。通过捕获正在发生的攻击,你可以确定受到影响的系统,并收集证据以支持规律和法案。你可能还希望将涉及到以往攻击的MAC地址置于一个“观察名单”中,这样如果当攻击者返回消息时,高度优先的警报可以及时行动。
至于干扰,无线网络入侵侦测系统可以帮助你找到拒绝服务攻击源的地址。然而,因为恶意攻击者可能无法坚持很久,因此,除非快速构建,否则现场搜索可以证明是徒劳的。此外,事先决定负责搜索工作的员工是否应当设法确定罪魁祸首、发出警报、请求安全性等等。切记,攻击者可能正在某个公共区域操作,比如附近的停车场,在那里你真的没有任何权限。
结论
这些措施有助于发现和诊断到无线电波干扰和拒绝服务攻击,并对其做出应对。但是,这些步骤中没有一个可以完全隔离你的无线局域网。如果无线网络对你的企业是至关重要的,那么就创建一个后备计划。有线网络通常采用高可用性措施,比如链接的多样性、多余的路由器、以及不间断的供电。将这一思想应用到你的无线局域网中,并且考虑有线网络替代品应该应用于哪里,以及如何应用。