浅析DOS关联洪水攻击
DOS攻击相比大家相对熟悉,通过网络协议的缺陷导致被攻击服务器无法提供正常服务甚至停止相应。而本篇文章所要介绍的是DOS攻击的延伸—关联洪水攻击。我们将通过介绍关联洪水攻击的原理以及攻击工具和表现,谈论如何应对这种攻击形式。
1.关联洪水攻击原理
无线接入点内置了一个列表即“连接状态表”,里面可显示出所有与该AP建立连接的无线客户端状态。
关联洪水攻击,国际上称之为Association Flood Attack,全称即关联洪水(泛洪)攻击,通常被简称为Asso攻击,是无线网络拒绝服务攻击的一种形式。它试图通过利用大量模仿的和伪造的无线客户端关联来填充AP的客户端关联表,从而达到淹没AP的目的。在802.11层,共享解密身份验证有缺陷,很难再用。仅有的其他备选项就是开放身份验证(空身份验证),该身份验证依赖于较高级别的身份验证,如802.1x或VPN。
开放身份验证允许任何客户端通过身份验证然后关联。利用这种漏洞的攻击者可以通过创建多个到达已连接或已关联的客户端来模仿很多客户端,从而淹没目标AP的客户端关联表,具体情况如下图1所示。客户端关联表溢出后,合法客户端将无法再关联,于是拒绝服务攻击即告完成。此类攻击和之前提及的Authentication Flood Attack表现很相似,但是原理却不同。
2.攻击工具及表现
一旦无线接入点的连接列表遭到泛洪攻击,接入点将不再允许更多的连接,并会因此拒绝合法用户的连接请求。可以使用的工具有很多,比如在Linux下比较有名的Void11等,在Windows下我们也可以使用最新版的aireplay-ng的其中一个参数配合实现,这里就不再举以图例了。
当然,还有一种可能是攻击者集合了大量的无线网卡,或者是改装的集合大量无线网卡芯片的捆绑式发射机(类似于我们常说的“短信群发器”),进行大规模连接攻击的话,对于目前广泛使用的无线接入设备,也将是很有效果的。下图2为Omnipeek捕获的遭到洪泛攻击的接入点网络数据,可以看到出现了无数无法验证的无线客户端。
需要注意的是,该攻击主要工作在链路层,而很多强化的认证体系如802.1X或者VPN都运作在高的协议层。如果因为一些原因我们不得不采用预共享验证或者开放式验证,则对于802.11协议层,没有特别有效的方法可以抵御。
3.关联洪水攻击应对方法
最好的办法仍旧是监控无线网络的连接状态,当出现大量的连接请求以及很多快速消失的进程时,应该立即开始进行无线检测其来源。应配置无线IDS或者某些管理模块来自动完成上述内容,并设置成当出现潜在隐患时立即通知管理员。
【编辑推荐】
- DDOS防火墙防御功能对比
- 浅析企业DDOS防火墙成本比较
- 防火墙安全测试之日志分析工具
- 浅析各类DDOS防火墙应对攻击时的表现
- 实例体验自造DDOS硬件防火墙