如何追溯無線攻擊源?
問:我需要一個可以在無線LAN中定位具體拒絕服務(DoS)攻擊的工具。雖然正在使用的無線入侵防御系統(WIPS)在發生攻擊時可以提供告警功能,但是我還是需要知道哪種工具可以定位發起攻擊的設備的具體位置。
答:在攻擊發生時,WIPS可以定位大概的攻擊位置,或者至少可以顯示出距離攻擊源最近的傳感設備或AP。鑒于此,你就可以通過監聽具體位置的RF來找到攻擊源。
如果攻擊源恰好是一個Wi-Fi AP或Ad Hoc節點,從而導致同頻干擾,你就可以僅僅通過任一Wi-Fi 發現工具(又稱"stumbler")來監聽。查看無線安全工具列表,也許就有你想要的信息。如:最好用的AP映射工具就是HeatMapper。
如果攻擊源是Wi-Fi客戶端,你就需要能夠進入RFMON模式并能監聽其他Wi-Fi流量的工具,而不僅僅是監聽AP或Ad Hoc指針。運行在Linux(需AirPCap適配器)或Windows上的Airodump-ng、 Kismet以及 Wireshark都可以勝任。商用的WLAN分析工具也可以捕獲客戶端流量。
如果攻擊源并非Wi-Fi設備,那么你就需要一個帶有“查找”功能的移動RF頻譜分析設備。一些商用設備已具備了該功能,如MetaGeek Wi-Spy。
注意:當你在查找攻擊源時,其攻擊設備必須是在運行中的。這種必要條件似乎是顯而易見的,但這也帶來了一定的挑戰:尤其是DoS攻擊被證明只是短暫的RF干擾時。看看WIPS所生成的歷史數據以及對傳感器和AP的實時觀測結果,當再次發現攻擊行為時,也許你會希望使用帶有“查看”功能的WIPS來觸發基于傳感器的遠程包捕獲。另外,WIPS還會根據事件歷史記錄,建議一天當中最佳的查找攻擊源時機。最后,某些新的企業AP可以提供板上頻譜分析設備——如果你的“DoS攻擊”確實存在慢性RF干擾問題,那么這種投資就非常值得。
【編輯推薦】
