淺析DOS關聯洪水攻擊
DOS攻擊相比大家相對熟悉,通過網絡協議的缺陷導致被攻擊服務器無法提供正常服務甚至停止相應。而本篇文章所要介紹的是DOS攻擊的延伸—關聯洪水攻擊。我們將通過介紹關聯洪水攻擊的原理以及攻擊工具和表現,談論如何應對這種攻擊形式。
1.關聯洪水攻擊原理
無線接入點內置了一個列表即“連接狀態表”,里面可顯示出所有與該AP建立連接的無線客戶端狀態。
關聯洪水攻擊,國際上稱之為Association Flood Attack,全稱即關聯洪水(泛洪)攻擊,通常被簡稱為Asso攻擊,是無線網絡拒絕服務攻擊的一種形式。它試圖通過利用大量模仿的和偽造的無線客戶端關聯來填充AP的客戶端關聯表,從而達到淹沒AP的目的。在802.11層,共享解密身份驗證有缺陷,很難再用。僅有的其他備選項就是開放身份驗證(空身份驗證),該身份驗證依賴于較高級別的身份驗證,如802.1x或VPN。
開放身份驗證允許任何客戶端通過身份驗證然后關聯。利用這種漏洞的攻擊者可以通過創建多個到達已連接或已關聯的客戶端來模仿很多客戶端,從而淹沒目標AP的客戶端關聯表,具體情況如下圖1所示。客戶端關聯表溢出后,合法客戶端將無法再關聯,于是拒絕服務攻擊即告完成。此類攻擊和之前提及的Authentication Flood Attack表現很相似,但是原理卻不同。
2.攻擊工具及表現
一旦無線接入點的連接列表遭到泛洪攻擊,接入點將不再允許更多的連接,并會因此拒絕合法用戶的連接請求。可以使用的工具有很多,比如在Linux下比較有名的Void11等,在Windows下我們也可以使用最新版的aireplay-ng的其中一個參數配合實現,這里就不再舉以圖例了。
當然,還有一種可能是攻擊者集合了大量的無線網卡,或者是改裝的集合大量無線網卡芯片的捆綁式發射機(類似于我們常說的“短信群發器”),進行大規模連接攻擊的話,對于目前廣泛使用的無線接入設備,也將是很有效果的。下圖2為Omnipeek捕獲的遭到洪泛攻擊的接入點網絡數據,可以看到出現了無數無法驗證的無線客戶端。
需要注意的是,該攻擊主要工作在鏈路層,而很多強化的認證體系如802.1X或者VPN都運作在高的協議層。如果因為一些原因我們不得不采用預共享驗證或者開放式驗證,則對于802.11協議層,沒有特別有效的方法可以抵御。
3.關聯洪水攻擊應對方法
最好的辦法仍舊是監控無線網絡的連接狀態,當出現大量的連接請求以及很多快速消失的進程時,應該立即開始進行無線檢測其來源。應配置無線IDS或者某些管理模塊來自動完成上述內容,并設置成當出現潛在隱患時立即通知管理員。
【編輯推薦】
