非法攻击检测
对于中小型WLAN网络,为了及时发现WLAN网络中受到的攻击,可以启动非法攻击检测功能,对泛洪攻击、弱向量和欺骗攻击等进行检测,及时发现网络的不安全因素,使能该功能后可以添加攻击者到动态黑名单中,并发送告警信息上报至AC,从而及时通知管理员。
泛洪攻击检测图7-1 泛洪攻击原理图
如图7-1所示,泛洪攻击是指当AP在短时间内接收了大量的同一源MAC地址的同种类型的管理报文或空数据帧报文时,AP的系统资源被攻击报文占用,无法处理合法STA的报文。
泛洪攻击检测是指AP通过持续的监控每个STA的流量大小来预防泛洪攻击。当流量超出可容忍的上限时(例如1秒中接收到超过100个报文),该STA将被认为要在网络内泛洪,AP上报告警信息给AC。如果使能了动态黑名单,检查到的攻击设备将被加入动态黑名单。在动态黑名单老化之前,AP丢弃该攻击设备的所有报文,防止对网络造成冲击。
AP支持对下列报文进行泛洪攻击检测:- 认证请求帧Authentication Request
- 去认证帧Deauthentication
- 关联请求帧Association Request
- 去关联帧Disassociation
- 重关联请求帧Reassociation Request
- 探测帧Probe Request
- Action帧
- EAPOL Start
- EAPOL-Logoff
弱向量检测图7-2 弱向量攻击原理图
如图7-2所示,弱向量是指当采用WEP加密方式时,对于每一个报文,在发送前都会使用一个3字节的初始向量(Initialization Vector)和固定的共享密钥一起来加密报文,使相同的共享密钥产生不同的加密效果。如果AP使用了弱IV(当AP检测到IV的第一个字节取值为3~15,第二个字节取值为255时,即为弱IV),由于在STA发送报文时IV作为报文头的一部分被明文发送,攻击者很容易暴力破解出共享密钥后访问网络资源。
弱向量检测通过识别每个WEP报文的IV来预防这种攻击,当一个包含有弱向量的报文被检测到,AP向AC上报告警信息,便于用户使用其他的安全策略来避免STA使用弱向量加密。
欺骗攻击检测图7-3 欺骗攻击原理图
如图7-3所示,欺骗攻击也称为中间人攻击,是指攻击者(恶意AP或恶意用户)冒充合法设备向STA发送欺骗攻击报文导致STA不能上线。欺骗攻击报文主要包括以下两种报文类型:广播型的去关联帧Disassociation和去认证帧Deauthentication。
使能欺骗攻击检测功能后,当AP接收到上述两种报文,AP会检测报文的源地址是否为AP自身的MAC地址,如果是,则表示WLAN网络受到了解除认证报文或解除关联报文的欺骗攻击,AP会上报告警信息给AC。
防暴力破解密钥功能暴力破解法,又称为穷举法,是一种针对于密码的破译方法,即将密码进行逐个推算直到找出真正的密码为止。例如一个已知是四位并且全部由数字组成的密码,其可能共有10000种组合,因此最多尝试10000次就能找到正确的密码。理论上利用这种方法可以破解任何一种密码,问题只在于如何缩短破解时间。当WLAN网络采用的安全策略为WPA/WPA2-PSK,WAPI-PSK,WEP-Share-Key时,攻击者即可利用暴力破解法来破解出密码。
为了提高密码的安全性,可以通过防暴力破解密钥功能,延长用户破解密码的时间。AP通过检测WPA/WPA2-PSK,WAPI-PSK,WEP-Share-Key认证时在一定的时间内的密钥协商失败次数是否超过配置的阈值,来确定是否存在攻击。如果超过,则认为该用户在通过暴力破解法破解密码,AP上报告警信息给AC,如果同时使能了动态黑名单功能,则AP将该用户加入到动态黑名单列表中,丢弃该用户的所有报文,直至动态黑名单老化。
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
成长值: 63715
发表于 2021-9-28 10:24:57
置顶卡
喧嚣卡
变色卡
千斤顶
发表于 2021-9-28 10:30:08
