问:我需要一个可以在无线LAN中定位具体拒绝服务(DoS)攻击的工具。虽然正在使用的无线入侵防御系统(WIPS)在发生攻击时可以提供告警功能,但是我还是需要知道哪种工具可以定位发起攻击的设备的具体位置。
答:在攻击发生时,WIPS可以定位大概的攻击位置,或者至少可以显示出距离攻击源最近的传感设备或AP。鉴于此,你就可以通过监听具体位置的RF来找到攻击源。
如果攻击源恰好是一个Wi-Fi AP或Ad Hoc节点,从而导致同频干扰,你就可以仅仅通过任一Wi-Fi 发现工具(又称"stumbler")来监听。查看无线安全工具列表,也许就有你想要的信息。如:最好用的AP映射工具就是HeatMapper。
如果攻击源是Wi-Fi客户端,你就需要能够进入RFMON模式并能监听其他Wi-Fi流量的工具,而不仅仅是监听AP或Ad Hoc指针。运行在Linux(需AirPCap适配器)或Windows上的Airodump-ng、 Kismet以及 Wireshark都可以胜任。商用的WLAN分析工具也可以捕获客户端流量。
如果攻击源并非Wi-Fi设备,那么你就需要一个带有“查找”功能的移动RF频谱分析设备。一些商用设备已具备了该功能,如MetaGeek Wi-Spy。
注意:当你在查找攻击源时,其攻击设备必须是在运行中的。这种必要条件似乎是显而易见的,但这也带来了一定的挑战:尤其是DoS攻击被证明只是短暂的RF干扰时。看看WIPS所生成的历史数据以及对传感器和AP的实时观测结果,当再次发现攻击行为时,也许你会希望使用带有“查看”功能的WIPS来触发基于传感器的远程包捕获。另外,WIPS还会根据事件历史记录,建议一天当中最佳的查找攻击源时机。最后,某些新的企业AP可以提供板上频谱分析设备——如果你的“DoS攻击”确实存在慢性RF干扰问题,那么这种投资就非常值得。
【编辑推荐】
