基于連接驗證的無線局域網Authentication Flood攻擊實現與檢測

黃波

摘 要：隨著無線網絡終端多樣化及應用發展，無線網絡以其特有的漏洞和攻擊威脅相比于傳統有線網絡所面臨的安全問題日益復雜。論文主要對無線局域網Authentication Flood攻擊進行研究。通過對DoS攻擊原理的闡述，模擬搭建實驗環境，模擬演練攻擊過程，針對Authentication Flood攻擊所造成的無線局域網網絡安全問題予以分析，提出判斷檢測此類型攻擊的方法并提出合理性建議。

關鍵詞：無線局域網；連接驗證；Authentication Flood攻擊；檢測

中圖分類號： TP393.1 文獻標識碼：A

Based on Connection Authentication Flood Attack Implementation and Detection in WLAN

Huang Bo

（Police Information Department， Liaoning Police Academy， LiaoningDalian116023）

Abstract： With in diversity and application development of wireless network terminal ，Wireless network with its peculiar vulnerabilities and attack compared to traditional wired network security problems facing increasingly complex. This paper mainly studies Authentication Flood attack in WLAN. Through to expound DoS attack principle， building simulation experiment environment， exercising simulation attack process， analyzing Authentication Flood attack security problem， The function models are put forward detection method and reasonable Suggestions of this attack.

Key words： WLAN； Authentication； Authentication Flood； Detection

1 引言

隨著2G、3G、4G、5G等多種無線寬帶技術的發展并推廣應用，無線局域網絡獲得廣泛應用，但針對無線局域網絡獨有特性所造成的安全隱患和威脅更為復雜。其中，無線局域網DoS攻擊的危害最大，且最難以防范。無線局域網中的DoS攻擊應用工具操作簡便容易，對目標端的攻擊效果明顯，即便是對于無線局域網的原理不熟知和了解，也同樣可以輕松自如的對目標無線局域網絡發起進攻，破壞其正常的系統功能。目前，網絡安全機制往往側重于保密性、完整性和可認證性，對于網絡可用性的保護力度不夠，致使目前對于無線局域網DoS攻擊的防范并沒有很好的應對和解決方案。因而針對于無線局域網DoS攻擊的工作原理、模擬攻擊過程、分析攻擊過程、捕獲攻擊結果并檢測分析，追蹤攻擊源頭，幫助在實際工作中發現此類安全問題，對保障無線局域網的安全性就有更重要的現實意義和應用價值。

2 DoS攻擊及無線網絡連接驗證概述

2.1 DoS攻擊及原理概述

DoS，全稱為Denial of Services，即拒絕服務攻擊。該攻擊方式會以阻塞正常的網絡帶寬、耗盡服務器的內存資源、干擾及破壞正常的通信為主。目的是使網絡服務系統與網絡用戶間無法提供常規服務，當一般網絡用戶進行資源的訪問時，DoS使得用戶系統服務停止響應，甚至達到崩潰狀態。DoS攻擊過程中一般不會破壞目標用戶的設備和服務器，其主要針對的是用戶的網絡資源包括網絡帶寬、系統的堆棧、開放的進程以及允許的連接等。

DoS攻擊一般包括三個步驟。

（1）攻擊者通過監聽無線局域網查找到存在漏洞并且能夠入侵的系統，進一步獲得系統的控制權。而后在被攻陷的系統中安裝DoS的管理者，這一步常常針對于緩沖區溢出漏洞或系統安全配置漏洞進行。

（2）攻擊者通過掃描工具掃描發現其中存在安全漏洞的系統并進行攻擊，從而獲得該系統的主導控制權。隨即在遭受到攻擊的目標系統中安裝并運行已準備好的DoS攻擊代理。

（3）攻擊者通過向管理者發起通知，對攻擊代理攻擊的目標和類型等予以說明。攻擊者、攻擊代理和管理者之間通過對通信信道的加密，使DoS攻擊網絡更好的隱藏。當攻擊代理收到攻擊指令之后，開始發起真正意義上的攻擊。

2.2 無線連接驗證概述

為達到跟蹤工作站的身份驗證，查看關聯狀態的目的，IEEE 802.11對客戶端的一種狀態機制做了定義。無線客戶端和無線接入點（AP）則基于IEEE的標準，實現了這種狀態機制。在無線局域網環境下，無線客戶端與無線接入點（AP）的連接通過一個身份驗證得以實現。無線接入點（AP）上的驗證，包括開放式的密鑰驗證和預共享的密鑰驗證在內的兩種驗證方式。雖然一個工作站可以同時與多個無線接入點（AP）進行連接驗證，但在實際連接過程中，同一時刻與無線接入點（AP）進行連接驗證一般只能是一個。使用密碼進行連接驗證的過程原理圖如圖1所示。與無線接入點（AP）成功關聯的客戶端需停留在狀態3，才能夠開始進行正常的無線網絡通信。處于狀態1和2的客戶端，則是在通過核實身份驗證和查看關聯狀態之前將無法進入到無線局域網絡通信的過程之中。

無線客戶端與無線接入點（AP）的連接，根據核實關聯和認證的相對狀態，可以分為三種狀態如表1所示。endprint

3 Authentication Flood攻擊實現及檢測

3.1 Authentication Flood攻擊概述

Authentication Flood攻擊即驗證洪水攻擊，全稱即身份驗證洪水攻擊，簡稱為Auth攻擊，是無線局域網拒絕服務攻擊類型中的一種。該攻擊的主要對象是處于通過驗證與無線局域網接入點（AP）搭建關聯的客戶端，攻擊者將偽造大量的虛假身份驗證請求幀（偽造的身份驗證服務和狀態代碼）向無線局域網接入點（AP）內傳送。當接收到的身份驗證請求超出無線局域網接入點的承受能力范圍時，其會斷開其它無線局域網內正常服務的連接。

3.2 Authentication Flood攻擊原理

一般情況下，所有無線局域網客戶端的連接請求都會被無線局域網接入點（AP）記錄在其連接表中。而攻擊者使用看上去似乎合法其實是隨機生成的虛假MAC地址來偽造出大量的虛假連接，同時偽造出大量的虛假身份驗證請求，并集中發送給目標AP。AP持續接收虛假連接請求會導致AP連接列表出現錯誤，當連接數量超過AP所能提供的許可范圍時，AP就會拒絕其它客戶端發出的連接請求或將已經連接成功的客戶端強制斷開。Authentication Flood攻擊過程及原理如圖1所示。

3.3 Authentication Flood攻擊實現

3.3.1 Authentication Flood攻擊模擬環境

為實現Authentication Flood攻擊過程，現使用實驗室環境下的三臺主機為背景進行實驗性操作。

（1）主機終端。主機A、B、C為一組，主機A為無線局域網使用者，主機B為惡意攻擊者，主機C捕獲數據包，其中A、B、C三主機的IP地址自動獲取。角色如表2所示。

（2）連接無線局域網。主機A使用USB無線網卡，連接名為team2的無線局域網。

2.3.2 Authentication Flood攻擊過程

（1）主機B啟動Linux虛擬機，打開一個Shell，輸入如下命令連接進入無線局域網。

啟用無線網卡：

initwlan

ifconfig -a wlan0 up

并將無線網卡激活成monitor模式：

airmon-ng start wlan0 1

監聽無線局域網以便找出要攻擊無線局域網的MAC地址：

airodump-ng --channel 1 mon0

監聽到無線局域網結果如圖2所示。

通過監聽結果可知要攻擊的無線局域網的SSID為team2，MAC地址為14：75：90：9B：E9：38。

（2）主機B選擇執行“WAS”—“Radio Network Analysis ”—“80211”—“Cracking”—“MDK3”，開啟MDK3。

輸入如下命令：./mdk3 mon0 a -a 14：75：90：9B：E9：38進行攻擊（a，代表Authentication Flood攻擊；-a 指定攻擊對象，后面輸入其MAC地址）

攻擊后的顯示信息如圖3所示。

此時就會看到主機A的ping操作出現“請求超時“超時現象，此攻擊過程成功完成。 由于路由器的性能近些年來提升比較大，導致這類攻擊可能不會使路由與計算機的連接斷開，在計算機上看到的現象是ping的延遲增加。

2.4 Authentication Flood攻擊檢測

攻擊檢測也只可以通過常規的工具還完成，此處用Wireshark實現數據包監控并分析判斷網絡請求超時或延遲增加是由當前的Authentication Flood攻擊引起的。

如上述攻擊模擬實現過程中無線網卡配置一樣，載入驅動程序并將無線網卡激活成monitor模式，監聽頻道為1，再運行相應工具捕獲無線數據包。

主機C運行 “Wireshark”，開啟Wireshark。配置 “mon0”設備最右側的“Opitons”按鈕選項，取消其中選擇“Capture packets in promiscuous mode”前的復選框，在“Capture Filter”中填入“ether host 無線路由的MAC地址”（ether host 14：75：90：9B：E9：38），點擊“Start”按鈕，隨即開始捕獲無線局域網數據，查看到的數據包，如圖4所示。

通過Wireshark捕獲到的數據可以檢測出，Authentication Flood攻擊過程中網內攻擊主機偽造大量不同MAC地址與MAC地址為14：75：90：9B：E9：38終端的連接請求數據包，當偽造數量達到一定數量時，就可以導致AP無法實現無線局域網內正常用戶的服務，從而達到Authentication Flood攻擊的目的。

4 結束語

要解決無線網絡各協議層所存在的問題，需要采取使用技術和管理等多種手段綜合治理，更要提高自身的安全意識。本文通過闡述無線網絡應用現狀及DoS攻擊原理概況，模擬搭建實驗環境，完成Authentication Flood攻擊過程，針對這兩種攻擊過程中產生數據包的檢測與分析研究。目前，除去本文采用的Wireshark工具外，還有Snort-Wireless這樣的開源實時入侵檢測系統，可以通過其中的檢測方法深入開展此類攻擊的檢測分析研究。網絡安全問題是不斷發展的，隨著無線局域網的廣泛應用及新型攻擊方式和攻擊技術的不斷涌現，需要不斷研究和完善相應的安全機制，營造良好的網絡使用環境。

參考文獻

[1] 莊緒強.WLAN攻擊技術研究[D].西安電子科技大學，2011.

[2] 何敏.無線局域網環境下檢測工具的設計與實現[D].東南大學，2012.

[3] 焦立彬.無線入侵檢測系統的設計與實現[D].華中科技大學，2012.

[4] 夏彬.基于軟件定義網絡的WLAN中DDoS攻擊檢測和防護[D].上海交通大學， 2015-01.

[5] 張永錚等.DDoS攻擊檢測和控制方法[J].軟件學報，2012-05.

[6] 余秀迪， 徐德. 無線WiFi的安全與防護[J].信息通信，2015-06.endprint