DOS攻擊相比大家相對(duì)熟悉，通過網(wǎng)絡(luò)協(xié)議的缺陷導(dǎo)致被攻擊服務(wù)器無法提供正常服務(wù)甚至停止相應(yīng)。而本篇文章所要介紹的是DOS攻擊的延伸—關(guān)聯(lián)洪水攻擊。我們將通過介紹關(guān)聯(lián)洪水攻擊的原理以及攻擊工具和表現(xiàn)，談?wù)撊绾螒?yīng)對(duì)這種攻擊形式。

1.關(guān)聯(lián)洪水攻擊原理

無線接入點(diǎn)內(nèi)置了一個(gè)列表即“連接狀態(tài)表”，里面可顯示出所有與該AP建立連接的無線客戶端狀態(tài)。

關(guān)聯(lián)洪水攻擊，國(guó)際上稱之為Association Flood Attack，全稱即關(guān)聯(lián)洪水(泛洪)攻擊，通常被簡(jiǎn)稱為Asso攻擊，是無線網(wǎng)絡(luò)拒絕服務(wù)攻擊的一種形式。它試圖通過利用大量模仿的和偽造的無線客戶端關(guān)聯(lián)來填充AP的客戶端關(guān)聯(lián)表，從而達(dá)到淹沒AP的目的。在802.11層，共享解密身份驗(yàn)證有缺陷，很難再用。僅有的其他備選項(xiàng)就是開放身份驗(yàn)證(空身份驗(yàn)證)，該身份驗(yàn)證依賴于較高級(jí)別的身份驗(yàn)證，如802.1x或VPN。

開放身份驗(yàn)證允許任何客戶端通過身份驗(yàn)證然后關(guān)聯(lián)。利用這種漏洞的攻擊者可以通過創(chuàng)建多個(gè)到達(dá)已連接或已關(guān)聯(lián)的客戶端來模仿很多客戶端，從而淹沒目標(biāo)AP的客戶端關(guān)聯(lián)表，具體情況如下圖1所示?？蛻舳岁P(guān)聯(lián)表溢出后，合法客戶端將無法再關(guān)聯(lián)，于是拒絕服務(wù)攻擊即告完成。此類攻擊和之前提及的Authentication Flood Attack表現(xiàn)很相似，但是原理卻不同。

2.攻擊工具及表現(xiàn)

一旦無線接入點(diǎn)的連接列表遭到泛洪攻擊，接入點(diǎn)將不再允許更多的連接，并會(huì)因此拒絕合法用戶的連接請(qǐng)求。可以使用的工具有很多，比如在Linux下比較有名的Void11等，在Windows下我們也可以使用最新版的aireplay-ng的其中一個(gè)參數(shù)配合實(shí)現(xiàn)，這里就不再舉以圖例了。

當(dāng)然，還有一種可能是攻擊者集合了大量的無線網(wǎng)卡，或者是改裝的集合大量無線網(wǎng)卡芯片的捆綁式發(fā)射機(jī)(類似于我們常說的“短信群發(fā)器”)，進(jìn)行大規(guī)模連接攻擊的話，對(duì)于目前廣泛使用的無線接入設(shè)備，也將是很有效果的。下圖2為Omnipeek捕獲的遭到洪泛攻擊的接入點(diǎn)網(wǎng)絡(luò)數(shù)據(jù)，可以看到出現(xiàn)了無數(shù)無法驗(yàn)證的無線客戶端。

需要注意的是，該攻擊主要工作在鏈路層，而很多強(qiáng)化的認(rèn)證體系如802.1X或者VPN都運(yùn)作在高的協(xié)議層。如果因?yàn)橐恍┰蛭覀儾坏貌徊捎妙A(yù)共享驗(yàn)證或者開放式驗(yàn)證，則對(duì)于802.11協(xié)議層，沒有特別有效的方法可以抵御。

3.關(guān)聯(lián)洪水攻擊應(yīng)對(duì)方法

最好的辦法仍舊是監(jiān)控?zé)o線網(wǎng)絡(luò)的連接狀態(tài)，當(dāng)出現(xiàn)大量的連接請(qǐng)求以及很多快速消失的進(jìn)程時(shí)，應(yīng)該立即開始進(jìn)行無線檢測(cè)其來源。應(yīng)配置無線IDS或者某些管理模塊來自動(dòng)完成上述內(nèi)容，并設(shè)置成當(dāng)出現(xiàn)潛在隱患時(shí)立即通知管理員。

【編輯推薦】

1. DDOS防火墻防御功能對(duì)比
2. 淺析企業(yè)DDOS防火墻成本比較
3. 防火墻安全測(cè)試之日志分析工具
4. 淺析各類DDOS防火墻應(yīng)對(duì)攻擊時(shí)的表現(xiàn)
5. 實(shí)例體驗(yàn)自造DDOS硬件防火墻