什么是deauth攻击及其原理!
1、Deauth攻击,也被称为解除认证攻击或取消身份验证洪水攻击,是无线局域网(WLAN)中的一种拒绝服务攻击方式。攻击者通过向目标设备发送伪造的解除认证数据包,使目标设备与无线网络断开连接,从而达到控制目标设备的目的。
2、这种攻击之所以有效,其原理在于WiFi管理数据帧并未被加密。这使得攻击者能够伪造管理帧,并任意发送“取消认证”数据包,强行切断接入点(AP)与客户端之间的连接。值得注意的是,这种攻击方式并不需要破解密码,只需获取目标设备的MAC地址即可实施。
3、然而,值得注意的是,并非所有版本的WiFi协议都容易受到Deauth攻击的影响。一般来说,WIFI6以下版本,即WIFI协议不为802.11ax版本的设备,可能更容易受到此类攻击。但有一个特例,即802.11w协议的设备可以抵御Deauth攻击。
4、因此,为了防范Deauth攻击,建议用户确保使用的设备支持并启用了相应的安全协议,如802.11w,同时定期更新和检查无线网络的安全设置,以防止潜在的安全风险。
影响范围
WIFI协议不为802.11ax版本,即WIFI6以下版本
【问题分析】
-
分析ONT Wi-Fi日志,B866-S15G频段频繁收到这些MAC的deauth报文,而日志和NCE上这些MAC在B866-S1上是没有接入记录的,这个疑似流氓设备发的。结合客户反馈的信息,整个商场均存在掉线问题,说明跟环境关系很大,周围存在Wi-Fi干扰仪的可能性很高。
-
空口无凭,要抓实锤的证据,可以抓空口报文。
-
分析一线现场上站帮忙抓取到的华为B866-S1空口报文。
A. 基本信息
网关:MAC:98:48:74:F6:07:3D
STA MAC:c2:7f:23:43:00:78
B. 如下抓包笔记本收到B866-S1报文的信号强度大约-80dBm,收到手机报文的信号强度大约-31dBm,抓包网卡离B866-S1和手机都很近。
C. 在抓取的报文中可以看到,各个B866-S1有广播deauthentication报文,这个deauthentication会导致下挂设备断连。这些报文信号强度范围在[-89dBm, -84dBm],看起来像是同一个位置发出的报文,以下广播的deauth报文信号强度-85dBm左右,显然不是B866-S1发出的。怀疑距离抓包笔记本-80dBm左右的周围环境有干扰设备,在2G频段模拟周围邻居AP广播deauth报文,导致终端设备频繁断连。
-
从抓包来看,距离抓包本-85dBm左右的位置疑似有干扰设备伪装成周围邻居B866-S1广播deauth报文,导致终端设备不断重连,
-
建议客户拿其他的厂商ONT同一条件下对比测试。
【总结】
1、Wi-Fi干扰仪你工作原理是侦听空口报文识别出BSSID和STA设备,然后其伪装成BSSID给STA广播和单播deauth报文,导致STA连上Wi-Fi后马上断连,达到终端设备无法上网,屏蔽与外界互通的目的。
2、对于现场环境是否是干扰仪导致终端设备频繁断连,最直接最有力的证据是抓包,分析空口环境情况。但大多数时候环境不具备空口抓包条件(国内遇到好几起),这需要我们从环境对比来证明:
3、用其他B866-S1或路由器在同一条件下(同一时间和同一信道)对比是否有同样的现象。没有竞品路由器时,可以尝试用手机Wi-Fi热点。(注意,手机Wi-Fi热点的功率一般比较小,当手机热点无问题时,可以尝试降低ONT Wi-Fi功率看是否也OK。)
4、将ONT换一个环境看是否可以恢复,确认只跟具体场景相关。
解决方案:
针对此问题,根本方案是找到并消除干扰源,没有其他很好的方法。以下几种方式可能管用,
1、调低Wi-Fi功率。(假设干扰仪离ONT较远,调低功率干扰仪可能收不到ONT的Wi-Fi报文。)
2、更换Wi-Fi频段或信道。(假设干扰仪只在某个频段或某些信道上工作。)
3、Wi-Fi配置页面修改认证模式,开启PMF(Protected Management Frames),管理帧加密,以PMF能力协商的STA只处理加密的deauth。(只有ONT Wi-Fi网关支持配置。)
4、配成WPA2/WPA3混合模式,支持PMF(Protected Management Frames)的STA将开启管理帧保护。 影响:对不支持PMF的STA没有保护效果。
5、配成WPA3模式,强制开启PMF。 影响:不支持WPA3的STA将无法连接。
扫一扫
2100
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
