无线DOS攻击的常用方法.docx

无线DOS攻击的常用方法无线D.O.S攻击的常用方法关于无线攻击有多种方法，本节主要说明常用的方 法1关于无线连接验证及客户端状态1•关于无线连接验证先来回顾前面提及的无线网络环境，无线客户端都是 需要通过一个验证来实现连接无线接入点的AP上的验证 可采用开放式密钥验证或者预共享密钥验证两种方式一个 工作站可以同时与多个AP进行连接验证，但在实际连接时, 同一时刻一般还只是通过一个AP进行的图8-14所示为使 用密码来进行连接验证2•关于无线客户端状态IEEE 802.11定义了一种客户端状态机制，用于跟踪 工作站舟份验证和关联状态无线 客户端和AP基于IEEE 标准实现这种状态机制，如图8-15所示成功关联的客户 端停留在状态3，才能进行无线通信处于状态1和状态2 的客户端在通过身份验证和关联前无法参 与WLAN数据通信 过程在图8-15中，无线客户端根据它们的关联和认证状 态，可以为3种状态中的任意一种了解下述内容对理解无线D.O.S攻击有着很大作用， 为方便更多读者理解，这里制作了图8-15的对应列表，请 大家结合表8-1的内容对照查看明白了上述的内容，下面就来学习实际的攻击是怎样 实现的。

2 Auth Flood 攻击验证洪水攻击，国际上称之为Authentication Flood Attack，全称即身份验证洪水攻击，通常被简称为Auth D.O.S攻击，是无线网络拒绝服务攻击的一种形式该攻击 目标主要针对那些处于通过验证、和AP建立关联的关联客 户端，攻击者将向AP发送大量伪造的身份 验证请求帧（伪 造的身份验证服务和状态代码），当收到大量伪造的身份验 证请求超过所能承受的能力时，AP将断开其他无线服务连 接一般来说，所有无线客户端的连接请求会被AP记录 在连接表中，当连接数量超过AP所能提供的许可范围时， AP就会拒绝其他客户端发起的连接请求为方便大家理解， 图8-16所示是身份验证洪水攻击原理图，可以看到攻击者 对整个无线网络发送了伪造的身份验证 报文1•身份验证攻击实现及效果为了开展验证洪水攻击，攻击者会先使用一些看起来 合法但其实是随机生成的MAC地 址来伪造工作站，然后， 攻击者就可以发送大量的虚假连接请求到AP对AP进行持 续且 猛烈的虚假连接请求，最终会导致无线接入点的连接 列表出现错误，合法用户的正常连接也 会被破坏可以使用的工具有很多，比如在Linux下比较有名的 MDK2/3，或者早一点的Voidll等。

那么，在开始攻击之前, 一般会先使用Airodump-ng查看当前无线网络状况如图 8-17所示，这是在正常情况下探测到的无线接入点和已经 连接的无线客户端具体攻击可以使用MDK3工具实现，该软件可以通过 无线网卡发射随机伪造的AP信号，并可根据需要设定伪造 AP的工作频道，下面就以Ubuntu环境为例进行演示一般 设定为预干扰目标AP的同一频道具体命令如下：参数解释：•网卡：此处用于输入当前的网卡名称，这里就是monO• a： Authentication D.O.S模式，即验证洪水攻击 模式•・a：攻击指定的AP，此处需要输入AP的MAC地址，这里就是基于图8—17所探测到的SSID为Belkin的AP•・s：发送数据包速率，但并不精确，这里为200, 实际发包速率会保存在150〜250个包/秒，可以不使用该 参数按【Enter］键后就能看到MDK3伪造了大量不存在的 无线客户端SSID与AP进行连接，而且也出现了很多显示 为 AP responding 或者 AP seems to beNVULNERABLE 的提示 图8-18所示为对SSID为Belkin的AP进行Auth D.0.S攻 击。

图 8-18图8-19所示为向SSID为Belkin、频道为1的无线接 入点正常通信进行Au th D.0.S攻击可以看到，在使用 Airodump-ng监测界面的下方，瞬间出现了大量的伪造客户 端，且连接对 象均为“00：1C：DF：60：C1：94”此时的合法 无线客户端虽然不是所有的都受到影响，但已经出现了不 稳定的情况同样地，使用前面介绍过的图形化工具也可以实现， Java图形化版本Charon的工作界面，该工具通过事先监测 到的无线客户端MAC，可对指定无线客户端进行定点攻 击 在图8-22中可以看到该攻击工具伪 造了大量不存在的客户 端MAC来对目标AP进行连接验证由于工具一样,只是加了 个图形界面，所以这里不再赘述2•身份验证攻击典型数据报文分析在察觉到网络不稳定时，应该立即着 手捕获数据包 并进行分析，这样是可以迅 速识别出Auth D.O.S攻击的 图8-23所示为在Au th D.O.S攻击开始后，无线网络出现不 稳定状况时，使用Wireshark抓包的结果分析，可以看到有 大量连续的802.11 Authentication数据报文提示出现图 8-23双击打开图8-23中的任意一个802.11 Auth数据包, 可以看到图8-24所示的数据包结构 详细说明，包括类型、 协议版本、时间、发送源MAC、目标MAC等。

按照有线网络 D.O.S攻击的经验，管理员貌似可通过抓包来识别和记录攻 击者主机的无线网卡MAC，不过遗憾的是，单纯靠这样来识 别Au th攻击者是不太可行的，正如大家所见，这些无线客 户端MAC都是伪造的除了 Wireshark之外，也可以使用OmniPeek进行无 线网络数据包的截取和分析当遭 遇到强烈的Au th D.O.S 攻击时，已经连接的无线客户端会明显受到影响，出现断网 频繁、反复重新验证无法通过等情况当网络中出现此类 情况时，无线网络的管理员、安全人员应引起足够的重视, 并迅速进行响应和处理8,3.3 Deauth Flood 攻击取消验证洪水攻击，国际上称之为De-authentication Flood Attack，全称即取消身份验证 洪 水攻击或验证阻断洪水攻击，通常被简称为Deauth攻击， 是无线网络拒绝服务攻击的一种形式，它旨在通过欺骗从 AP到客户端单播地址的取消身份验证帧来将客户端转为未 关联/未认证的状态对于目前广泛使用的无线客户端遁 配器工具来说，这种形式的攻击在打断客户端无线服务方 面非常有效和快捷一般来说，在攻击者发送另一个取消身 份验证帧之前，客户端会重新关联和认证以再次获取服务。

攻击者反复欺骗取消身份验证帧才能使所有客户端持续拒 绝服务为了方便读者理解，绘制了一张取消身份验证洪水攻 击原理图，大家可以好好理解一下，在图8-25中可看到攻 击者为了将所有已连接的无线客户端“踢下线”，对整个无 线网络发送了伪造的取消身份验证报文1•取消身份验证攻击实现及效果无线黑客通过发送Deauthentication取消验证数据 包文，达到中断已连接的合法无线客户端正常通信的目的, 并在长时间持续大量发送此类报文的基础上，使得无线网络 一直处于瘫痪状态下面来看看相关工具及效果可以使用的工具有很多，比如在Linux下比较有名的 MDK2/3,或者早一点的Voidll等，也可以使用Aireplay-ng 的其中一个参数一 0配合实现图8-26所示为Aireplay-ng 的参 数说明，可以看到deauth参数就是用于发送Deauth 数据报文的，该参数也可以使用一 0参 数替代同样地，在开始攻击之前，一般会先使用Airodump-ng 查看当前无线网络状况如 图8-27所示，这是在正常情况 下探测到的SSID为TP-LINk的无线接入点和已经连接到该 AP的无线客户端图 8-27接下来，Deauth攻击可以使用MDK3工具实现，具体 命令如下：参数解释：•网卡：此处用于输入当前昀网卡名称，这里就是mon0。

• d： Deauthentication / Disassociation 攻击模式， 即支持取消验证洪水攻击模式和后面要讲到的取消关联洪水攻击模式，这两个模式由于表 现很相近，所以被归在一起• -c： num针对的无线网络工作频道，这里选择为1• -w： file白名单模式，w就是whitelist mode的 简写，即后跟文件中包含AP的MAC会在攻击中回避• -b： file黑名单模式，b就是blacklist mode的 简写，即后跟预攻击目标AP的MAC列表，这个在对付大量处于不同频道的目标时使用按【Enter］键后就能看到MDK3开始向大量已经连接 的无线客户端与AP进行强制断 开连接攻击，如图8-28所 示，这里面出现的很多MAC都是图8-28所示的当前已经连 接的 合法客户端MAC，而MDK3正试图对SSID为BeLKin的 AP和客户端发送Deauth数据包来 强制断开它们攻击发包速率并不会维持在某个固定数值，而是根据 网卡性能等情况维持在15~100个包/秒这样一个范围如图 8-29所示，遭到Deauth攻击后无线客户端出现断线情况2取消身份验证攻击典型数据报文分析在察觉到网络不稳定时，和前面已经强调的一样，大 家应该立即着手捕获数据包并进行分析，这样可以便于迅速 判断攻击类型，图8-30所示为无线网络在遭到Deauth攻击 出现不稳定状态时，使用Wireshark抓包的结果分析。

可以 看到有大量连续的包含802.11Deauthentication标识的数 据报文出现需要注意的是，伴随着Deauthentication数据包的 出现，随之出现的就是大量的Disassociation数据包，这 是因为先取消验证，自然就会出现取消连接，也就是断开连 接的情况4 Association Flood 攻击说完了取消验证洪水攻击，再来看看关联洪水攻击 首先在无线路由器或者接入点内置一个列表即“连接状态 表”，里面可显示出所有与该AP建立连接的无线客户端 状 态关联洪水攻击，国际上称之为Association Flood Attack，通常被简称为Asso攻击，是无线网络拒绝服务攻 击的一种形式它试图通过利用大量模仿和伪造的无线客户 端 关联来填充AP的客户端关联表，从而达到淹没AP的目 的也就是说，由于开放身份验证（空身份验证）允许任 何客户端通过身份验证后关联利用这种漏洞AP击者可以 通过创建多个到达已连接或已关联的奄£耋季篙很多客户 8-31从 而淹没目标AP的客户端关联表，同样为方便广大读 者理解，可以面绘制的图8.31可以看到，当客户端关联 表溢出后，合法无线客户端将无法再关联，于是就形成了拒 绝服务攻击。

1•关联洪水攻击实现及效果一旦无线路由器/接入点的连接列表遭到泛洪攻击， 接入点将不再允许更多的连接，并会因此拒绝合法用户的 连接请求可以使用的工具有很多，比如在Linux下比较有 名 的MDK2/3和Voidll等关于MDK3的具体命令，大家可 以参考上面Au th攻击所用的具体参数当然，还有一种 可能是攻击者集合了大量的无线网卡，或者是改装的集合大 量无线网卡芯片的捆绑式发射机（类似于常说的“短信群 发器”），如果进行大规模连接攻击，对于目前广泛使用的 无线接入设备，也将是很有效果的当无线网络遭受到此类攻击时，可以使用 Airodump-ng来对当前无线网络进行监测和分 析，看到图 8-20所示的情形，遭到洪泛攻击的接入点网络数据，出现了 大量无法验证的无 线客户端MAC及请求2•关联洪水攻击典型数据报文分析在察觉到网络不稳定或出现异常时，应立即着手捕获 数据包并进行分析图8-33所示为使用Wireshark分析捕 获的遭到泛洪攻击的无线网络数据，可以看到出现了大量无 法验证的无线客户端。