无线D.O.S攻击的常用方法

转自：微点阅读  https://www.weidianyuedu.com

无线D.O.S攻击的常用方法

关于无线攻击有多种方法，本节主要说明常用的方法。

1  关于无线连接验证及客户端状态

1．关于无线连接验证

先来回顾前面提及的无线网络环境，无线客户端都是需要通过一个验证来实现连接无线接 入点的。AP上的验证可采用开放式密钥验证或者预共享密钥验证两种方式。一个工作站可以同 时与多个AP进行连接验证，但在实际连接时，同一时刻一般还只是通过一个AP进行的。图 8-14所示为使用密码来进行连接验证。

2．关于无线客户端状态

IEEE 802.11定义了一种客户端状态机制，用于跟踪工作站舟份验证和关联状态。无线 客户端和AP基于IEEE标准实现这种状态机制，如图8-15所示。成功关联的客户端停留在 状态3，才能进行无线通信。处于状态1和状态2的客户端在通过身份验证和关联前无法参 与WLAN数据通信过程。

在图8-15中，无线客户端根据它们的关联和认证状态，可以为3种状态中的任意一种。

了解下述内容对理解无线D.O.S攻击有着很大作用，为方便更多读者理解，这里制作了 图8-15的对应列表，请大家结合表8-1的内容对照查看。

明白了上述的内容，下面就来学习实际的攻击是怎样实现的。

2 Auth Flood攻击

验证洪水攻击，国际上称之为Authentication Flood Attack，全称即身份验证洪水攻击， 通常被简称为Auth D.O.S攻击，是无线网络拒绝服务攻击的一种形式。该攻击目标主要针 对那些处于通过验证、和AP建立关联的关联客户端，攻击者将向AP发送大量伪造的身份 验证请求帧（伪造的身份验证服务和状态代码），当收到大量伪造的身份验证请求超过所能 承受的能力时，AP将断开其他无线服务连接。

一般来说，所有无线客户端的连接请求会被AP记录在连接表中，当连接数量超过AP 所能提供的许可范围时，AP就会拒绝其他客户端发起的连接请求。为方便大家理解，图8-16 所示是身份验证洪水攻击原理图，可以看到攻击者对整个无线网络发送了伪造的身份验证 报文。

1．身份验证攻击实现及效果

为了开展验证洪水攻击，攻击者会先使用一些看起来合法但其实是随机生成的MAC地 址来伪造工作站，然后，攻击者就可以发送大量的虚假连接请求到AP。对AP进行持续且 猛烈的虚假连接请求，最终会导致无线接入点的连接列表出现错误，合法用户的正常连接也 会被破坏。

可以使用的工具有很多，比如在Linux下比较有名的MDK2/3，或者早一点的Voidll 等。那么，在开始攻击之前，一般会先使用Airodump-ng查看当前无线网络状况。如图8-17 所示，这是在正常情况下探测到的无线接入点和已经连接的无线客户端。

具体攻击可以使用MDK3工具实现，该软件可以通过无线网卡发射随机伪造的AP信号， 并可根据需要设定伪造AP的工作频道，下面就以Ubuntu环境为例进行演示。一般设定为 预干扰目标AP的同一频道。

具体命令如下：

参数解释：

●  网卡：此处用于输入当前的网卡名称，这里就是mon0。

●  a：Authentication D.O.S模式，即验证洪水攻击模式。

●  ．a：攻击指定的AP，此处需要输入AP的MAC地址，这里就是基于图8—17所探测到的SSID为Belkin的AP。

●  ．s：发送数据包速率，但并不精确，这里为200，实际发包速率会保存在150～250个包／秒，可以不使用该参数。

按【Enter]键后就能看到MDK3伪造了大量不存在的无线客户端SSID与AP进行连接， 而且也出现了很多显示为AP responding或者AP seems to beNVULNERABLE的提示。图 8-18所示为对SSID为Belkin的AP进行Auth D.O.S攻击。

图8-18

图8-19所示为向SSID为Belkin、频道为1的无线接入点正常通信进行Auth D.O.S攻击。 可以看到，在使用Airodump-ng监测界面的下方，瞬间出现了大量的伪造客户端，且连接对 象均为“OO:1C:DF:60:C1:94”。此时的合法无线客户端虽然不是所有的都受到影响，但已经 出现了不稳定的情况。

同样地，使用前面介绍过的图形化工具也可以实现， Java图形化版本Charon的工作界面，该 工具通过事先监测到的无线客户端 MAC，可对指定无线客户端进行定点攻 击。在图8-22中可以看到该攻击工具伪 造了大量不存在的客户端MAC来对目标 AP进行连接验证。由于工具一样，只是加 了个图形界面，所以这里不再赘述。

2．身份验证攻击典型数据报文分析

在察觉到网络不稳定时，应该立即着 手捕获数据包并进行分析，这样是可以迅 速识别出Auth D.O.S攻击的。   图8-23所示为在Auth D.O.S攻击开始后，无线网络出现不稳定状况时，使用Wireshark 抓包的结果分析，可以看到有大量连续的802.11 Authentication数据报文提示出现。

图8-23

双击打开图8-23中的任意一个802.11 Auth数据包，可以看到图8-24所示的数据包结构 详细说明，包括类型、协议版本、时间、发送源MAC、目标MAC等。按照有线网络D.O.S 攻击的经验，管理员貌似可通过抓包来识别和记录攻击者主机的无线网卡MAC，不过遗憾 的是，单纯靠这样来识别Auth攻击者是不太可行的，正如大家所见，这些无线客户端MAC 都是伪造的。

除了Wireshark之外，也可以使用OmniPeek进行无线网络数据包的截取和分析。当遭 遇到强烈的Auth D.O.S攻击时，已经连接的无线客户端会明显受到影响，出现断网频繁、 反复重新验证无法通过等情况。当网络中出现此类情况时，无线网络的管理员、安全人员应 引起足够的重视，并迅速进行响应和处理。

8,3.3 Deauth Flood攻击

取消验证洪水攻击，国际上称之为De-authentication Flood Attack，全称即取消身份验证 洪水攻击或验证阻断洪水攻击，通常被简称为Deauth攻击，是无线网络拒绝服务攻击的一 种形式，它旨在通过欺骗从AP到客户端单播地址的取消身份验证帧来将客户端转为未关联／ 未认证的状态。对于目前广泛使用的无线客户端遁配器工具来说，这种形式的攻击在打断客 户端无线服务方面非常有效和快捷。一般来说，在攻击者发送另一个取消身份验证帧之前， 客户端会重新关联和认证以再次获取服务。攻击者反复欺骗取消身份验证帧才能使所有客户 端持续拒绝服务。

为了方便读者理解，绘制了一张取消身份验证洪水攻击原理图，大家可以好好理解一下， 在图8-25中可看到攻击者为了将所有已连接的无线客户端“踢下线”，对整个无线网络发送 了伪造的取消身份验证报文。

1．取消身份验证攻击实现及效果

无线黑客通过发送Deauthentication取消验证数据包文，达到中断已连接的合法无线客 户端正常通信的目的，并在长时间持续大量发送此类报文的基础上，使得无线网络一直处于 瘫痪状态。下面来看看相关工具及效果。

可以使用的工具有很多，比如在Linux下比较有名的MDK2/3，或者早一点的Voidll 等，也可以使用Aireplay-ng的其中一个参数一0配合实现。图8-26所示为Aireplay-ng的参 数说明，可以看到deauth参数就是用于发送Deauth数据报文的，该参数也可以使用一0参 数替代。

同样地，在开始攻击之前，一般会先使用Airodump-ng查看当前无线网络状况。如 图8-27所示，这是在正常情况下探测到的SSID为TP-LINk的无线接入点和已经连接到该 AP的无线客户端。

图8-27

接下来，Deauth攻击可以使用MDK3工具实现，具体命令如下：

参数解释：

●网卡：此处用于输入当前昀网卡名称，这里就是mon0。

●d：Deauthentication／Disassociation攻击模式，即支持取消验证洪水攻击模式和后面

要讲到的取消关联洪水攻击模式，这两个模式由于表现很相近，所以被归在一起。

●-c: num针对的无线网络工作频道，这里选择为1。

●-w: file白名单模式，w就是whitelist mode的简写，即后跟文件中包含AP的MAC会在攻击中回避。

●-b：file黑名单模式，b就是blacklist mode的简写，即后跟预攻击目标AP的MAC

列表，这个在对付大量处于不同频道的目标时使用。

按【Enter]键后就能看到MDK3开始向大量已经连接的无线客户端与AP进行强制断 开连接攻击，如图8-28所示，这里面出现的很多MAC都是图8-28所示的当前已经连接的 合法客户端MAC，而MDK3正试图对SSID为Belkin的AP和客户端发送Deauth数据包来 强制断开它们。

攻击发包速率并不会维持在某个固定数值，而是根据网卡性能等情况维持在15~100个包/秒这样一个范围。如图8-29所示，遭到Deauth攻击后无线客户端出现断线情况。

2取消身份验证攻击典型数据报文分析

在察觉到网络不稳定时，和前面已经强调的一样，大家应该立即着手捕获数据包并进行分析，这样可以便于迅速判断攻击类型，图8-30所示为无线网络在遭到Deauth攻击出现不稳定状态时，使用Wireshark抓包的结果分析。可以看到有大量连续的包含802.11Deauthentication标识的数据报文出现。

需要注意的是，伴随着Deauthentication数据包的出现，随之出现的就是大量的 Disassociation数据包，这是因为先取消验证，自然就会出现取消连接，也就是断开连接的 情况。

4    Association Flood攻击

说完了取消验证洪水攻击，再来看看关联洪水攻击。首先在无线路由器或者接入 点内置一个列表即“连接状态表”，里面可显示出所有与该AP建立连接的无线客户端 状态。

关联洪水攻击，国际上称之为Association Flood Attack，通常被简称为Asso攻击， 是无线网络拒绝服务攻击的一种形式。它试图通过利用大量模仿和伪造的无线客户端 关联来填充AP的客户端关联表，从而达到淹没AP的目的。

也就是说，由于开放身份验证（空身份验证）允许任何客户端通过身份验证后关联。利 用这种漏洞AP击者可以通过创建多个到达已连接或已关联的奄￡耋季篙很多客户8-31从 而淹没目标AP的客户端关联表，同样为方便广大读者理解，可以    面绘制的图8.31。 可以看到，当客户端关联表溢出后，合法无线客户端将无法再关联，于是就形成了拒绝服务 攻击。

1．关联洪水攻击实现及效果

一旦无线路由器／接入点的连接列表遭到泛洪攻击，接入点将不再允许更多的连接， 并会因此拒绝合法用户的连接请求。可以使用的工具有很多，比如在Linux下比较有名 的MDK2/3和Voidll等。关于MDK3的具体命令，大家可以参考上面Auth攻击所用的 具体参数。     当然，还有一种可能是攻击者集合了大量的无线网卡，或者是改装的集合大量无线网卡 芯片的捆绑式发射机（类似于常说的“短信群发器”），如果进行大规模连接攻击，对于目前 广泛使用的无线接入设备，也将是很有效果的。

当无线网络遭受到此类攻击时，可以使用Airodump-ng来对当前无线网络进行监测和分 析，看到图8-20所示的情形，遭到洪泛攻击的接入点网络数据，出现了大量无法验证的无 线客户端MAC及请求。

2．关联洪水攻击典型数据报文分析

在察觉到网络不稳定或出现异常时，应立即着手捕获数据包并进行分析。图8-33所示 为使用Wireshark分析捕获的遭到泛洪攻击的无线网络数据，可以看到出现了大量无法验证 的无线客户端。

8.3.5  Disassociation Flood攻击

Disassociation Flood Attack（取消关联洪水攻击）的攻击方式和Deauthentication Flood Attack表现很相似，但是发送数据包类型却有本质的不同。它通过欺骗从AP到客户端的取 消关联帧来强制客户端成为图8-1所示的未关联／未认证的状态（状态2）。一般来说，在攻 击者发送另一个取消关联帧之前，客户端会重新关联以再玖获取服务。攻击者反复欺骗取消 关联帧才能使客户端持续拒绝服务。

需要强调的是，Disassociation Broadcast Attack（取消关联广播攻击）和Disassociation Flood Attack（取消关联洪水攻击）原理基本一致，只是在发送程度及使用工具上有所区别， 但前者很多时候用于配合进行无线中间人攻击，而后者常用于目标确定的点对点无线D.O.S， 比如破坏或干扰指定机构或部门的无线接入点等。

1．取消关联洪水攻击实现及效果

关于取消关联洪水攻击的实现步骤，请大家参照表8-2。

表8-2

正如前面讲Deauth攻击时提到的，伴随着Deauthentication数据包的出现，随之出现的 就是大量的Disassociation数据包，这是因为先取消验证，自然就会出现取消连接，也就是 断开连接的情况。

2．取消关联洪水攻击典型数据报文分析

在察觉到无线网络不稳定且客户端频繁出现掉线情况时，则有可能是遭到了Disassociate 攻击，应立即着手捕获数据包并进行分析。图8-33所示为无线网络在出现不稳定且客户端 经常掉线状况时，使用Wireshark孤包的结果分析，可以看到有大量连续的包含802.11 Disassociate标识的数据报文出现。

从图8-33可以看出，发送Disassociate数据包的来源为广播，而目的地址则是AP，就 是说从外界传来试图中断外界与该AP连接的报文。

图8-33

8.3.6  RF Jamming攻击

如果说前面几种D．0．S攻击是主要基于无线通信过程及协议的，那么RF干扰攻击就是 完全不同的…种攻击方式了。

RF干扰攻击，国际上称之为RF Jamming Attack，在个别老外写的文章中有时也称之为 RF Disruption Attack，该攻击是通过发出干扰射频达到破坏正常无线通信的目的。其中，RF 全称为Radio Frequency，即射频，主要包括无线信号发射机及收信机等。在通信领域，关于 无线信号干扰和抗干扰对策一直是主要研究方向之一。

这个其实很好理解，这类工具大家也可能都见过或者听说过，就好比说考试中报纸上提 及的那个“手机信号屏蔽器”就是类似的东西，图8-34所示为目前正在使用的手机干扰机， 只要一打开，就可以保证半径为几十或者几百米之内所有的手机无法连接基站，原理完全一 样，只不过“手机信号屏蔽器”的覆盖频率只涉及了GSM或者CDMA工作频段。

图8-35所示为大功率GSM/CDMA/3G/GPS信号多功能干扰机。

图8-34    图8-35

同样地，为了帮助大家理解此类攻击的原理，绘制了一幅无线R_F干扰攻击原理图以供 参考，如图8-36所示。

由于目前普遍使用的无线网络都工作在2.4GHz频带范围，此频带范围包含802.llb、 802.llg、802.lln、蓝牙等，具体如表8-3所示，所以针对此频带进行干扰将会有效地破坏 正常的无线通信，导致传输数据丢失、网络中断、信号不稳定等情况出现。

表8-3

可能面对的射频干扰攻击

当无线黑客使用射频干扰攻击来对公司或者家庭无线网络进行攻击时，无线路由器或无 线AP将会出现较为明显的性能下降，而当遇到针对2.4GHz整个频段的阻塞干扰时，整个 无线网络中的AP及无线路由器甚至都将不能正常工作。

当然，很多时候也许很难遇到此类攻击，但是当存在很多用户在无线网络中使用同频率 的射频设备，如微波、无绳电话及蓝牙设备等，这些工作在2.4GHz或者5.2GHz波段的设 备会对无线网络产生干扰噪声及信号阻塞，严重甚至会导致无线局域网服务的瘫痪。这个大 家应该多注意些，可不要把无线设备放得离微波炉太近。

一些专业的工县及设备会帮助找到干扰源，图8-37所示为检测到的无线基站实时信号 状态，可以看到有多个基站通信服务处于失去响应状态，而这有可能是干扰所致。

图8-38所示为无线电管理机构相关技术人员，正在检测非法信号来源。不过图中的设 备是用来检测非法无线电信号的，对于现在所说的基于2.4GHz的无线信号，应该更换其他 的设备才能够实现。