如何追溯无线攻击源？

admin

问：我需要一个可以在无线LAN中定位具体拒绝服务（DoS）攻击的工具。虽然正在使用的无线入侵防御系统（WIPS）在发生攻击时可以提供告警功能，但是我还是需要知道哪种工具可以定位发起攻击的设备的具体位置。
答：在攻击发生时，WIPS可以定位大概的攻击位置，或者至少可以显示出距离攻击源最近的传感设备或AP。鉴于此，你就可以通过监听具体位置的RF来找到攻击源。
如果攻击源恰好是一个Wi-Fi AP或Ad Hoc节点，从而导致同频干扰，你就可以仅仅通过任一Wi-Fi 发现工具（又称"stumbler"）来监听。查看无线安全工具列表，也许就有你想要的信息。如：最好用的AP映射工具就是HeatMapper。
如果攻击源是Wi-Fi客户端，你就需要能够进入RFMON模式并能监听其他Wi-Fi流量的工具，而不仅仅是监听AP或Ad Hoc指针。运行在Linux（需AirPCap适配器）或Windows上的Airodump-ng、 Kismet以及 Wireshark都可以胜任。商用的WLAN分析工具也可以捕获客户端流量。
如果攻击源并非Wi-Fi设备，那么你就需要一个带有“查找”功能的移动RF频谱分析设备。一些商用设备已具备了该功能，如MetaGeek Wi-Spy。
注意：当你在查找攻击源时，其攻击设备必须是在运行中的。这种必要条件似乎是显而易见的，但这也带来了一定的挑战：尤其是DoS攻击被证明只是短暂的RF干扰时。看看WIPS所生成的历史数据以及对传感器和AP的实时观测结果，当再次发现攻击行为时，也许你会希望使用带有“查看”功能的WIPS来触发基于传感器的远程包捕获。另外，WIPS还会根据事件历史记录，建议一天当中最佳的查找攻击源时机。最后，某些新的企业AP可以提供板上频谱分析设备——如果你的“DoS攻击”确实存在慢性RF干扰问题，那么这种投资就非常值得。

pangshiwei

风嘲笑了落叶

很详细

ID203203

看帖看完了至少要顶一下，还可以加入到淘帖哦！

strive_wyf

青竹轩

66666

Rockyw

路过了解一下