图4 De-Authentication DoS攻击抓包结果
三、 应急启动
在察觉到网络不稳定时,管理员立即采取设备观测结合人工分析的方式加以关注,及时定位问题,并采取有效措施解决问题。
演练过程中可看到测试笔记本连接的AP发生迁移(MAC地址变更);登录被攻击AP,可看到原来连接于该AP的无线客户端已经下线;登录数据网管系统,可看到该无线客户端下线,但AP工作状态正常;由此得知,通过AP或网管系统都无法感知当前无线网络安全状况,不能确定无线网络是否处于被攻击的状态。而此时,启明星辰无线入侵检测(WIDS)及时检测到攻击事件的发生,准确识别攻击来源,并给出报警和审计信息,运维人员根据此信息进行了攻击排查及网络恢复。
图5 无线安全引擎对认证泛洪攻击事件的报警
图6 无线安全引擎对去认证泛洪攻击事件的报警
四、 事件处理和上报
演练完成后,相关人员对整个过程进行完整记录和分析总结,并按照应急响应制度要求,将应急处理分析情况报告相关人员。
通过此次演练,该省运营商制定了针对WLAN AP身份验证泛洪攻击的应急预案,并对相关安全防护工作进行了有效验证,同时,演练的顺利完成也证明了启明星辰无线入侵检测(WIDS)产品在进行无线安全检测时的有效性和可靠性。此外,启明星辰无线入侵检测(WIDS)还可检测包括流氓AP、无线扫描、无线欺骗、无线破解、无线中间人攻击等多种类型无线网络安全事件,全面保障无线网络安全。通过安全厂商与运营商的通力合作,将为十八大的顺利召开提供全面的信息安全保障。
背景资料
什么是WLAN AP身份验证泛洪攻击
1. Authentication DoS
这是一种验证模式的攻击,攻击的效果是自动模拟出随机产生的MAC 地址向目标AP不断发送验证请求,导致AP忙于处理过多的验证请求而停止正常用户的登录请求,甚至影响已在线的客户端。
2. De-Authentication DoS
去验证洪水攻击,国际上称之为De-authentication Flood Attack,全称即去身份验证洪水攻击或去验证阻断洪水攻击,通常被简称为Deauth攻击,是无线网络拒绝服务攻击的一种形式,它旨在通过欺骗从AP到客户端单播地址的去身份验证帧来将客户端转为未关联的/未认证的状态。
