DOS攻擊作為一種目的為耗盡服務(wù)器資源的攻擊方式，其攻擊形式有很多種，除去上文曾經(jīng)講過(guò)的關(guān)聯(lián)洪水攻擊外，本篇文章將依舊通過(guò)原理、表現(xiàn)以及應(yīng)對(duì)措施三方面來(lái)講述DOS攻擊的另外一種形式，驗(yàn)證洪水攻擊。

1.關(guān)于無(wú)線連接驗(yàn)證

在無(wú)線網(wǎng)絡(luò)環(huán)境，無(wú)線客戶端都是需要通過(guò)一個(gè)驗(yàn)證來(lái)實(shí)現(xiàn)連接無(wú)線接入點(diǎn)的。AP上的驗(yàn)證可采用開放式密鑰驗(yàn)證或者預(yù)共享密鑰驗(yàn)證兩種方式。一個(gè)工作站可以同時(shí)與多個(gè)AP進(jìn)行連接驗(yàn)證，但在實(shí)際連接時(shí)，同一時(shí)刻一般還只是通過(guò)一個(gè)AP進(jìn)行的。

2.驗(yàn)證洪水攻擊原理

驗(yàn)證洪水攻擊，國(guó)際上稱之為Authentication Flood Attack，全稱即身份驗(yàn)證洪水攻擊，通常被簡(jiǎn)稱為Auth攻擊，是無(wú)線網(wǎng)絡(luò)拒絕服務(wù)攻擊的一種形式。該攻擊目標(biāo)主要針對(duì)那些處于通過(guò)驗(yàn)證、和AP建立關(guān)聯(lián)的關(guān)聯(lián)客戶端，攻擊者將向AP發(fā)送大量偽造的身份驗(yàn)證請(qǐng)求幀(偽造的身份驗(yàn)證服務(wù)和狀態(tài)代碼)，當(dāng)收到大量偽造的身份驗(yàn)證請(qǐng)求超過(guò)所能承受的能力時(shí)，AP將斷開其它無(wú)線服務(wù)連接。

一般來(lái)說(shuō)，所有無(wú)線客戶端的連接請(qǐng)求會(huì)被AP記錄在連接表中。當(dāng)連接數(shù)量超過(guò)AP所能提供的許可范圍，AP就會(huì)拒絕其它客戶端發(fā)起的連接請(qǐng)求。下圖為筆者繪制的身份驗(yàn)證洪水攻擊原理圖，可看到攻擊者對(duì)整個(gè)無(wú)線網(wǎng)絡(luò)發(fā)送了偽造的身份驗(yàn)證報(bào)文。

3.身份驗(yàn)證攻擊實(shí)現(xiàn)及效果

為了開展驗(yàn)證洪水攻擊，攻擊者會(huì)先使用一些看起來(lái)合法但其實(shí)是隨機(jī)生成的MAC地址來(lái)偽造工作站，然后，攻擊者就可以發(fā)送大量的虛假連接請(qǐng)求到AP。對(duì)AP進(jìn)行持續(xù)且猛烈的虛假連接請(qǐng)求，最終會(huì)導(dǎo)致無(wú)線接入點(diǎn)的連接列表出現(xiàn)錯(cuò)誤，合法用戶的正常連接亦會(huì)被破壞。

可以使用的工具有很多，比如在Linux下比較有名的MDK2/3，或者早一點(diǎn)的Void11等，在Windows下我們也可以使用aireplay-ng的其中一個(gè)參數(shù)配合實(shí)現(xiàn)。

4.驗(yàn)證洪水攻擊應(yīng)對(duì)方法

通過(guò)跟蹤客戶端的驗(yàn)證情況和連接狀況可以幫助無(wú)線管理人員識(shí)別此類拒絕服務(wù)攻擊。也可通過(guò)在監(jiān)測(cè)軟件上部署警報(bào)來(lái)實(shí)現(xiàn)預(yù)警機(jī)制，這樣當(dāng)警報(bào)被觸發(fā)時(shí)，被攻擊影響的無(wú)線接入點(diǎn)和客戶端都會(huì)被記錄并重新識(shí)別。

另外，在企業(yè)AP上開啟MAC地址過(guò)濾并進(jìn)行詳細(xì)的配置，對(duì)阻止攻擊者會(huì)起到一定作用。

【編輯推薦】

1. DDOS防火墻防御功能對(duì)比
2. 淺析企業(yè)DDOS防火墻成本比較
3. 防火墻安全測(cè)試之日志分析工具
4. 淺析各類DDOS防火墻應(yīng)對(duì)攻擊時(shí)的表現(xiàn)
5. 實(shí)例體驗(yàn)自造DDOS硬件防火墻