欧美变态tickling挠脚心,日产精品一区,欧美一区二区三区日韩

1 關于無線連接驗證及客戶端狀態

1.關于無線連接驗證

先來回顧前面提及的無線網絡環境，無線客戶端都是需要通過一個驗證來實現連接無線接入點的。AP上的驗證可采用開放式密鑰驗證或者預共享密鑰驗證兩種方式。一個工作站可以同時與多個AP進行連接驗證，但在實際連接時，同一時刻一般還只是通過一個AP進行的。圖 8-14所示為使用密碼來進行連接驗證。

2.關于無線客戶端狀態

IEEE 802.11定義了一種客戶端狀態機制，用于跟蹤工作站舟份驗證和關聯狀態。無線客戶端和AP基于IEEE標準實現這種狀態機制，如圖8-15所示。成功關聯的客戶端停留在狀態3，才能進行無線通信。處于狀態1和狀態2的客戶端在通過身份驗證和關聯前無法參與WLAN數據通信過程。

在圖8-15中，無線客戶端根據它們的關聯和認證狀態，可以為3種狀態中的任意一種。

了解下述內容對理解無線D.O.S攻擊有著很大作用，為方便更多讀者理解，這里制作了圖8-15的對應列表，請大家結合表8-1的內容對照查看。

明白了上述的內容，下面就來學習實際的攻擊是怎樣實現的。

2 Auth Flood攻擊

驗證洪水攻擊，國際上稱之為Authentication Flood Attack，全稱即身份驗證洪水攻擊，通常被簡稱為Auth D.O.S攻擊，是無線網絡拒絕服務攻擊的一種形式。該攻擊目標主要針對那些處于通過驗證、和AP建立關聯的關聯客戶端，攻擊者將向AP發送大量偽造的身份驗證請求幀(偽造的身份驗證服務和狀態代碼)，當收到大量偽造的身份驗證請求超過所能承受的能力時，AP將斷開其他無線服務連接。

一般來說，所有無線客戶端的連接請求會被AP記錄在連接表中，當連接數量超過AP 所能提供的許可范圍時，AP就會拒絕其他客戶端發起的連接請求。為方便大家理解，圖8-16 所示是身份驗證洪水攻擊原理圖，可以看到攻擊者對整個無線網絡發送了偽造的身份驗證報文。

1.身份驗證攻擊實現及效果

為了開展驗證洪水攻擊，攻擊者會先使用一些看起來合法但其實是隨機生成的MAC地址來偽造工作站，然后，攻擊者就可以發送大量的虛假連接請求到AP。對AP進行持續且猛烈的虛假連接請求，最終會導致無線接入點的連接列表出現錯誤，合法用戶的正常連接也會被破壞。

可以使用的工具有很多，比如在Linux下比較有名的MDK2/3，或者早一點的Voidll 等。那么，在開始攻擊之前，一般會先使用Airodump-ng查看當前無線網絡狀況。如圖8-17 所示，這是在正常情況下探測到的無線接入點和已經連接的無線客戶端。

具體攻擊可以使用MDK3工具實現，該軟件可以通過無線網卡發射隨機偽造的AP信號，并可根據需要設定偽造AP的工作頻道，下面就以Ubuntu環境為例進行演示。一般設定為預干擾目標AP的同一頻道。

具體命令如下：

參數解釋：

● 網卡：此處用于輸入當前的網卡名稱，這里就是mon0。

● a：Authentication D.O.S模式，即驗證洪水攻擊模式。

● .a：攻擊指定的AP，此處需要輸入AP的MAC地址，這里就是基于圖8—17所探測到的SSID為Belkin的AP。

● .s：發送數據包速率，但并不精確，這里為200，實際發包速率會保存在150～250個包/秒，可以不使用該參數。

按【Enter]鍵后就能看到MDK3偽造了大量不存在的無線客戶端SSID與AP進行連接，而且也出現了很多顯示為AP responding或者AP seems to beNVULNERABLE的提示。圖 8-18所示為對SSID為Belkin的AP進行Auth D.O.S攻擊。

圖8-18

圖8-19所示為向SSID為Belkin、頻道為1的無線接入點正常通信進行Auth D.O.S攻擊。可以看到，在使用Airodump-ng監測界面的下方，瞬間出現了大量的偽造客戶端，且連接對象均為“OO:1C:DF:60:C1:94”。此時的合法無線客戶端雖然不是所有的都受到影響，但已經出現了不穩定的情況。

同樣地，使用前面介紹過的圖形化工具也可以實現， Java圖形化版本Charon的工作界面，該工具通過事先監測到的無線客戶端 MAC，可對指定無線客戶端進行定點攻擊。在圖8-22中可以看到該攻擊工具偽造了大量不存在的客戶端MAC來對目標 AP進行連接驗證。由于工具一樣，只是加了個圖形界面，所以這里不再贅述。

2.身份驗證攻擊典型數據報文分析

在察覺到網絡不穩定時，應該立即著手捕獲數據包并進行分析，這樣是可以迅速識別出Auth D.O.S攻擊的。圖8-23所示為在Auth D.O.S攻擊開始后，無線網絡出現不穩定狀況時，使用Wireshark 抓包的結果分析，可以看到有大量連續的802.11 Authentication數據報文提示出現。

圖8-23

雙擊打開圖8-23中的任意一個802.11 Auth數據包，可以看到圖8-24所示的數據包結構詳細說明，包括類型、協議版本、時間、發送源MAC、目標MAC等。按照有線網絡D.O.S 攻擊的經驗，管理員貌似可通過抓包來識別和記錄攻擊者主機的無線網卡MAC，不過遺憾的是，單純靠這樣來識別Auth攻擊者是不太可行的，正如大家所見，這些無線客戶端MAC 都是偽造的。

除了Wireshark之外，也可以使用OmniPeek進行無線網絡數據包的截取和分析。當遭遇到強烈的Auth D.O.S攻擊時，已經連接的無線客戶端會明顯受到影響，出現斷網頻繁、反復重新驗證無法通過等情況。當網絡中出現此類情況時，無線網絡的管理員、安全人員應引起足夠的重視，并迅速進行響應和處理。

8,3.3 Deauth Flood攻擊

取消驗證洪水攻擊，國際上稱之為De-authentication Flood Attack，全稱即取消身份驗證洪水攻擊或驗證阻斷洪水攻擊，通常被簡稱為Deauth攻擊，是無線網絡拒絕服務攻擊的一種形式，它旨在通過欺騙從AP到客戶端單播地址的取消身份驗證幀來將客戶端轉為未關聯/ 未認證的狀態。對于目前廣泛使用的無線客戶端遁配器工具來說，這種形式的攻擊在打斷客戶端無線服務方面非常有效和快捷。一般來說，在攻擊者發送另一個取消身份驗證幀之前，客戶端會重新關聯和認證以再次獲取服務。攻擊者反復欺騙取消身份驗證幀才能使所有客戶端持續拒絕服務。

為了方便讀者理解，繪制了一張取消身份驗證洪水攻擊原理圖，大家可以好好理解一下，在圖8-25中可看到攻擊者為了將所有已連接的無線客戶端“踢下線”，對整個無線網絡發送了偽造的取消身份驗證報文。

1.取消身份驗證攻擊實現及效果

無線黑客通過發送Deauthentication取消驗證數據包文，達到中斷已連接的合法無線客戶端正常通信的目的，并在長時間持續大量發送此類報文的基礎上，使得無線網絡一直處于癱瘓狀態。下面來看看相關工具及效果。

可以使用的工具有很多，比如在Linux下比較有名的MDK2/3，或者早一點的Voidll 等，也可以使用Aireplay-ng的其中一個參數一0配合實現。圖8-26所示為Aireplay-ng的參數說明，可以看到deauth參數就是用于發送Deauth數據報文的，該參數也可以使用一0參數替代。

同樣地，在開始攻擊之前，一般會先使用Airodump-ng查看當前無線網絡狀況。如圖8-27所示，這是在正常情況下探測到的SSID為TP-LINk的無線接入點和已經連接到該 AP的無線客戶端。

圖8-27

接下來，Deauth攻擊可以使用MDK3工具實現，具體命令如下：

參數解釋：

●網卡：此處用于輸入當前昀網卡名稱，這里就是mon0。

●d：Deauthentication/Disassociation攻擊模式，即支持取消驗證洪水攻擊模式和后面

要講到的取消關聯洪水攻擊模式，這兩個模式由于表現很相近，所以被歸在一起。

●-c: num針對的無線網絡工作頻道，這里選擇為1。

●-w: file白名單模式，w就是whitelist mode的簡寫，即后跟文件中包含AP的MAC會在攻擊中回避。

●-b：file黑名單模式，b就是blacklist mode的簡寫，即后跟預攻擊目標AP的MAC

列表，這個在對付大量處于不同頻道的目標時使用。

按【Enter]鍵后就能看到MDK3開始向大量已經連接的無線客戶端與AP進行強制斷開連接攻擊，如圖8-28所示，這里面出現的很多MAC都是圖8-28所示的當前已經連接的合法客戶端MAC，而MDK3正試圖對SSID為Belkin的AP和客戶端發送Deauth數據包來強制斷開它們。

攻擊發包速率并不會維持在某個固定數值，而是根據網卡性能等情況維持在15~100個包/秒這樣一個范圍。如圖8-29所示，遭到Deauth攻擊后無線客戶端出現斷線情況。

2取消身份驗證攻擊典型數據報文分析

在察覺到網絡不穩定時，和前面已經強調的一樣，大家應該立即著手捕獲數據包并進行分析，這樣可以便于迅速判斷攻擊類型，圖8-30所示為無線網絡在遭到Deauth攻擊出現不穩定狀態時，使用Wireshark抓包的結果分析。可以看到有大量連續的包含802.11Deauthentication標識的數據報文出現。

需要注意的是，伴隨著Deauthentication數據包的出現，隨之出現的就是大量的 Disassociation數據包，這是因為先取消驗證，自然就會出現取消連接，也就是斷開連接的情況。

4 Association Flood攻擊

說完了取消驗證洪水攻擊，再來看看關聯洪水攻擊。首先在無線路由器或者接入點內置一個列表即“連接狀態表”，里面可顯示出所有與該AP建立連接的無線客戶端狀態。

關聯洪水攻擊，國際上稱之為Association Flood Attack，通常被簡稱為Asso攻擊，是無線網絡拒絕服務攻擊的一種形式。它試圖通過利用大量模仿和偽造的無線客戶端關聯來填充AP的客戶端關聯表，從而達到淹沒AP的目的。

也就是說，由于開放身份驗證(空身份驗證)允許任何客戶端通過身份驗證后關聯。利用這種漏洞AP擊者可以通過創建多個到達已連接或已關聯的奄￡耋季篙很多客戶8-31從而淹沒目標AP的客戶端關聯表，同樣為方便廣大讀者理解，可以面繪制的圖8.31。可以看到，當客戶端關聯表溢出后，合法無線客戶端將無法再關聯，于是就形成了拒絕服務攻擊。

1.關聯洪水攻擊實現及效果

一旦無線路由器/接入點的連接列表遭到泛洪攻擊，接入點將不再允許更多的連接，并會因此拒絕合法用戶的連接請求。可以使用的工具有很多，比如在Linux下比較有名的MDK2/3和Voidll等。關于MDK3的具體命令，大家可以參考上面Auth攻擊所用的具體參數。當然，還有一種可能是攻擊者集合了大量的無線網卡，或者是改裝的集合大量無線網卡芯片的捆綁式發射機(類似于常說的“短信群發器”)，如果進行大規模連接攻擊，對于目前廣泛使用的無線接入設備，也將是很有效果的。

當無線網絡遭受到此類攻擊時，可以使用Airodump-ng來對當前無線網絡進行監測和分析，看到圖8-20所示的情形，遭到洪泛攻擊的接入點網絡數據，出現了大量無法驗證的無線客戶端MAC及請求。

2.關聯洪水攻擊典型數據報文分析

在察覺到網絡不穩定或出現異常時，應立即著手捕獲數據包并進行分析。圖8-33所示為使用Wireshark分析捕獲的遭到泛洪攻擊的無線網絡數據，可以看到出現了大量無法驗證的無線客戶端。

8.3.5 Disassociation Flood攻擊

Disassociation Flood Attack(取消關聯洪水攻擊)的攻擊方式和Deauthentication Flood Attack表現很相似，但是發送數據包類型卻有本質的不同。它通過欺騙從AP到客戶端的取消關聯幀來強制客戶端成為圖8-1所示的未關聯/未認證的狀態(狀態2)。一般來說，在攻擊者發送另一個取消關聯幀之前，客戶端會重新關聯以再玖獲取服務。攻擊者反復欺騙取消關聯幀才能使客戶端持續拒絕服務。

需要強調的是，Disassociation Broadcast Attack(取消關聯廣播攻擊)和Disassociation Flood Attack(取消關聯洪水攻擊)原理基本一致，只是在發送程度及使用工具上有所區別，但前者很多時候用于配合進行無線中間人攻擊，而后者常用于目標確定的點對點無線D.O.S，比如破壞或干擾指定機構或部門的無線接入點等。

1.取消關聯洪水攻擊實現及效果

關于取消關聯洪水攻擊的實現步驟，請大家參照表8-2。

表8-2

正如前面講Deauth攻擊時提到的，伴隨著Deauthentication數據包的出現，隨之出現的就是大量的Disassociation數據包，這是因為先取消驗證，自然就會出現取消連接，也就是斷開連接的情況。

2.取消關聯洪水攻擊典型數據報文分析

在察覺到無線網絡不穩定且客戶端頻繁出現掉線情況時，則有可能是遭到了Disassociate 攻擊，應立即著手捕獲數據包并進行分析。圖8-33所示為無線網絡在出現不穩定且客戶端經常掉線狀況時，使用Wireshark孤包的結果分析，可以看到有大量連續的包含802.11 Disassociate標識的數據報文出現。

從圖8-33可以看出，發送Disassociate數據包的來源為廣播，而目的地址則是AP，就是說從外界傳來試圖中斷外界與該AP連接的報文。

圖8-33

8.3.6 RF Jamming攻擊

如果說前面幾種D.0.S攻擊是主要基于無線通信過程及協議的，那么RF干擾攻擊就是完全不同的…種攻擊方式了。

RF干擾攻擊，國際上稱之為RF Jamming Attack，在個別老外寫的文章中有時也稱之為 RF Disruption Attack，該攻擊是通過發出干擾射頻達到破壞正常無線通信的目的。其中，RF 全稱為Radio Frequency，即射頻，主要包括無線信號發射機及收信機等。在通信領域，關于無線信號干擾和抗干擾對策一直是主要研究方向之一。

這個其實很好理解，這類工具大家也可能都見過或者聽說過，就好比說考試中報紙上提及的那個“手機信號屏蔽器”就是類似的東西，圖8-34所示為目前正在使用的手機干擾機，只要一打開，就可以保證半徑為幾十或者幾百米之內所有的手機無法連接基站，原理完全一樣，只不過“手機信號屏蔽器”的覆蓋頻率只涉及了GSM或者CDMA工作頻段。

圖8-35所示為大功率GSM/CDMA/3G/GPS信號多功能干擾機。