無線入侵檢測及時呈現無線網絡安全真相

為迎接黨的十八大順利召開，國家有關部門日前下發關于十八大網絡與信息安全保障工作的通知，各級運營商也紛紛制定具體安全保障工作目標和工作內容，無線網絡安全的防護工作也包括在內。作為國內信息安全行業的領軍企業，啟明星辰公司一直致力于在信息安全的無煙戰場上保衛國家建設和發展。為了保障十八大的信息安全，啟明星辰的專業技術人員攜帶無線入侵檢測(WIDS)產品參加了某省級運營商無線安全檢測及防護演練工作。

此次演練的主題是WLAN AP身份驗證泛洪攻擊演練。演練工作主要包括：

一、準備工作

此次演練在該運營商的實際辦公環境中進行，辦公樓層部署有多臺AP設備，演練選擇其中某臺AP作為攻擊對象。應急人員通過一臺測試筆記本接入該AP并驗證可以正常訪問互聯網，模擬攻擊人員通過筆記本接入該AP，后續將通過部署在筆記本中的攻擊工具對無線AP進行攻擊。

演練開始前由運營商工作人員記錄測試筆記本及AP相關信息(MAC地址、SSID、信道號及連接狀態等)。啟明星辰無線入侵檢測(WIDS)產品在進行無線安全檢測時自動發現的無線網絡信息如下：

圖1 啟明星辰無線入侵檢測(WIDS)發現的無線網絡拓撲

圖2 啟明星辰無線入侵檢測(WIDS)發現的無線設備信息

整個過程中運營商也可通過其數據網管系統查看AP連接狀態和工作信息。

二、模擬攻擊

演練中通過工具先后模擬發起Authentication DoS和De-Authentication DoS兩種身份驗證泛洪攻擊，攻擊持續一段時間之后，無線網絡安全出現問題，用新的客戶端去連接被攻擊AP，已經無法建立正常連接，此時已連接在此AP 的客戶端也發現不能正常上網。由于該樓層部署有多臺AP，客戶端最終將會漫游至其他AP連接上網。

在模擬攻擊發生后進行無線安全檢測，通過抓包工具可以分別看到大量的偽造Authentication和De-authentication數據報文出現：

圖3Authentication DoS攻擊抓包結果

圖4 De-Authentication DoS攻擊抓包結果

三、應急啟動

在察覺到網絡不穩定時，管理員立即采取設備觀測結合人工分析的方式加以關注，及時定位問題，并采取有效措施解決問題。

演練過程中可看到測試筆記本連接的AP發生遷移(MAC地址變更);登錄被攻擊AP，可看到原來連接于該AP的無線客戶端已經下線;登錄數據網管系統，可看到該無線客戶端下線，但AP工作狀態正常;由此得知，通過AP或網管系統都無法感知當前無線網絡安全狀況，不能確定無線網絡是否處于被攻擊的狀態。而此時，啟明星辰無線入侵檢測(WIDS)及時檢測到攻擊事件的發生，準確識別攻擊來源，并給出報警和審計信息，運維人員根據此信息進行了攻擊排查及網絡恢復。

圖5無線安全引擎對認證泛洪攻擊事件的報警

圖6無線安全引擎對去認證泛洪攻擊事件的報警

四、事件處理和上報

演練完成后，相關人員對整個過程進行完整記錄和分析總結，并按照應急響應制度要求，將應急處理分析情況報告相關人員。

通過此次演練，該省運營商制定了針對WLAN AP身份驗證泛洪攻擊的應急預案，并對相關安全防護工作進行了有效驗證，同時，演練的順利完成也證明了啟明星辰無線入侵檢測(WIDS)產品在進行無線安全檢測時的有效性和可靠性。此外，啟明星辰無線入侵檢測(WIDS)還可檢測包括流氓AP、無線掃描、無線欺騙、無線破解、無線中間人攻擊等多種類型無線網絡安全事件，全面保障無線網絡安全。通過安全廠商與運營商的通力合作，將為十八大的順利召開提供全面的信息安全保障。

背景資料

什么是WLAN AP身份驗證泛洪攻擊

1. Authentication DoS

這是一種驗證模式的攻擊，攻擊的效果是自動模擬出隨機產生的MAC 地址向目標AP不斷發送驗證請求，導致AP忙于處理過多的驗證請求而停止正常用戶的登錄請求，甚至影響已在線的客戶端。

2. De-Authentication DoS

去驗證洪水攻擊，國際上稱之為De-authentication Flood Attack，全稱即去身份驗證洪水攻擊或去驗證阻斷洪水攻擊，通常被簡稱為Deauth攻擊，是無線網絡拒絕服務攻擊的一種形式，它旨在通過欺騙從AP到客戶端單播地址的去身份驗證幀來將客戶端轉為未關聯的/未認證的狀態。