DOS攻击作为一种目的为耗尽服务器资源的攻击方式,其攻击形式有很多种,除去上文曾经讲过的关联洪水攻击外,本篇文章将依旧通过原理、表现以及应对措施三方面来讲述DOS攻击的另外一种形式,验证洪水攻击。
1.关于无线连接验证
在无线网络环境,无线客户端都是需要通过一个验证来实现连接无线接入点的。AP上的验证可采用开放式密钥验证或者预共享密钥验证两种方式。一个工作站可以同时与多个AP进行连接验证,但在实际连接时,同一时刻一般还只是通过一个AP进行的。
2.验证洪水攻击原理
验证洪水攻击,国际上称之为Authentication Flood Attack,全称即身份验证洪水攻击,通常被简称为Auth攻击,是无线网络拒绝服务攻击的一种形式。该攻击目标主要针对那些处于通过验证、和AP建立关联的关联客户端,攻击者将向AP发送大量伪造的身份验证请求帧(伪造的身份验证服务和状态代码),当收到大量伪造的身份验证请求超过所能承受的能力时,AP将断开其它无线服务连接。
一般来说,所有无线客户端的连接请求会被AP记录在连接表中。当连接数量超过AP所能提供的许可范围,AP就会拒绝其它客户端发起的连接请求。下图为笔者绘制的身份验证洪水攻击原理图,可看到攻击者对整个无线网络发送了伪造的身份验证报文。
3.身份验证攻击实现及效果
为了开展验证洪水攻击,攻击者会先使用一些看起来合法但其实是随机生成的MAC地址来伪造工作站,然后,攻击者就可以发送大量的虚假连接请求到AP。对AP进行持续且猛烈的虚假连接请求,最终会导致无线接入点的连接列表出现错误,合法用户的正常连接亦会被破坏。
可以使用的工具有很多,比如在Linux下比较有名的MDK2/3,或者早一点的Void11等,在Windows下我们也可以使用aireplay-ng的其中一个参数配合实现。
4.验证洪水攻击应对方法
通过跟踪客户端的验证情况和连接状况可以帮助无线管理人员识别此类拒绝服务攻击。也可通过在监测软件上部署警报来实现预警机制,这样当警报被触发时,被攻击影响的无线接入点和客户端都会被记录并重新识别。
另外,在企业AP上开启MAC地址过滤并进行详细的配置,对阻止攻击者会起到一定作用。
【编辑推荐】
