天外来客

标题: Dos的攻击的特点及对策 [打印本页]

作者: za1    时间: 2012-1-29 08:16
标题: Dos的攻击的特点及对策
无线信号传输的特性和专门使用扩频技术,使得无线网络特别容易受到DoS(Denial of Service,拒绝服务)攻击的威胁。拒绝服务是指攻击者恶意占用主机或网络几乎所有的资源,使得合法用户无法获得这些资源。要造成这类的攻击,最简单的办法是通过让不同的设备使用相同的频率,从而造成无线频谱内出现冲突。另一个可能的攻击手段是发送大量非法(或合法)的身份验证请求。第三种手段,如果攻击者接管AP,并且不把通信量传递到恰当的目的地,那么所有的网络用户都将无法使用网络。为了防止DoS攻击,可以做的事情很少。无线攻击者可以利用高性能的方向性天线,从很远的地方攻击无线网。已经获得有线网访问权的攻击者,可以通过发送多达无线AP无法处理的通信量来攻击它。
攻击方式:1、 物理层上的信号干扰。 由于802.11 b/g标准工作在2.4GHz的ISM(Industrial Scientific and/ Medical)频段上,该频段是一个工业、科学和医用频段,不需要使用执照,并且全球保留,所以很多无线设备都使用该频段,比如微波炉、2.4G的无绳电话等设备都能导致无线信号强度减落,给无线局域网带来了干扰。
解决对策:
当入侵者通过干扰设备在2.4GHz-3.5GHz的频段内发送干扰信号时,被干扰信道的噪
声强度会出现异常情况,捕获的数据包少而且噪声很高;或者捕获到的大量的数据包的噪声强度都超出了正常标准,因此我们可以根据这些特征来判断网络中是否存在信道干扰。

2、 Duration攻击。802.11使用CSMA-CA(Carrier Sense Multiple Access-Collision Avoidance)来分配无线媒介。一个设备在发送包到无线电频道之前,先观察该频道是否空闲,然后在频道中预留一段特定的时间间隔,然后才开始使该频道。并且其他设备在此段时间间隔内不发送任何报文。这段时间间隔在802.11帧格式头部的Duration字段中设定。在一个报文中,Duration字段值指定了毫秒级别上的频道预留时间间隔。当Duration字段的第15位值为0时,第14位表示一个完整帧交换所需的预留时间间隔。NAV(The Network Allocation Vector)存储这个间隔信息。802.11规定任何其他节点只有当NAV为零的时候才能使用频道,但是没有对Duration进行限制。攻击者利用该漏洞,持续发送215-1 ms的超长的Duration值的48报文,导致WLAN其他节点无法通信。

3、 Power Manage攻击。802.11规定STA在未通信的时候可以处于节能状态。STA关联到AP的时候,AP会维护一张关联表,每个STA都对应一个关联识别码(AID)。STA在发给AP的管理帧头部设置Power Manage标志位为1,表示在NAV不为零的时候处于节能状态,此时发往该STA的帧会由AP缓存。处于节能状态的STA周期性向AP发出节能轮询帧,AID信息被安置在该类型的控制帧的Duration字段中,最高2位被置为1。802.11协议对AID最大值限制为2007。AP发送信标帧的帧实体中有一个传输指示信息(TIM)标志,标示着AP是否缓存了发往STA的帧。如果AP缓存了属于STA的帧,则STA向AP发送一个PS-Poll帧,要求AP发送这些缓存帧。在收到PS-Poll帧之后AP发送这些缓存帧并清空缓冲区。由于无法确认发送PS-Poll帧的STA的身份,攻击者利用这个漏洞伪造STA发送PS-Poll帧,诱使AP发送缓存帧,此时STA由于处于节能状态而不能接收到这些缓存帧。导致这些帧丢失。

4、 AP过载。STA在加入WLAN之前要先与AP关联。每个AP都维护一张关联表,包含所有关联的STA的状态信息。当关联数量达到限制水平,那么AP就开始拒绝新的关联请求。攻击者利用这个漏洞开展authentication洪泛,association洪泛攻击等等,伪装STA发起认证关联请求,导致AP的关联表溢出,从而使AP拒绝新的关联请求。

5、 De-authentication攻击。STA在和AP通信之前必须先通过AP的认证,然后关联。802.11协议规定了取消认证帧,用于双方结束认证。并且规定双方都不应该拒绝一个De-authentication通知。然而802.11没有规定如何确认De-authentication通知发送者的身份。攻击者伪造De-authentication帧发送到广播地址或者一个单播地址,实现DoS攻击。

6、认证失败攻击。在如图3.7共享密钥认证的第四步,AP会发送给STA一个/认证确认帧,告知认证结果。该帧包含一个状态码和原因代码。攻击者伪造一个认证确认帧,该帧包含认证失败的状态信息以及原因代码2“之前认证不再有效”。该攻击直接影响所有已经认证的STA。8.Disassociation攻击。同上,攻击者伪造AP发送Disassociation帧到广播地址,使所有与该AP关联的STA都解除关联。

7、不正确的广播包。从以上攻击方式可以看出,攻击者利用802.11协议漏洞/然后伪造特定格式的报文进行拒绝服务攻击。但是他们一般攻击的目标是WLAN内所有的STA,所以报文的目的地址是广播地址,但是这类报文在一般情况下不属于广播帧。该异常标示了攻击者的存在。
作者: ccjoy    时间: 2012-4-8 09:15
感谢楼主分享!
作者: ccjoy    时间: 2012-4-8 09:15
感谢楼主分享!
作者: 哥的天堂    时间: 2012-4-15 16:34

作者: zheng150530    时间: 2012-11-27 17:08
很高端啊,留着学习!
作者: kumo0218    时间: 2012-12-16 20:59
感谢分享@@@
作者: liminghua    时间: 2017-2-18 18:08
攻击者伪造De-authentication帧发送到广播地址或者一个单播地址,实现DoS攻击。
作者: wdl33    时间: 2021-9-20 08:38
感谢 大大分享
支持一下




欢迎光临 天外来客 (http://twlk66.com/) Powered by Discuz! X2.5