不涉及
无线终端关联过程中收集debug信息,发现终端关联成功的瞬间会立即发送解关联报文,主动断开连接,信息如下:
*Aug 7 17:39:19:724 2020 H3C STAMGR/7/FSM: [APID: 12] [MAC: XXXX-XXXX-c09c, BSSID: XXXX-XXXX-0230] Received deauthentication or disassociation request from client in Run state: Reason code=3.
检查配置发现并未配置任何特殊功能配置,无线仅仅是配置了接入服务,配置了信道。现场尝试相同服务模板情况下,关联该AP的5G射频正常,由于客户实际业务用在2.4G,所以必须解决2.4G问题。故障时收集AP诊断信息,发现空口利用率正常,转发正常。尝试重启AP并不能解决问题。根据经验判断,很有可能环境中存在异常攻击行为,原因有如下几点:
1.无线终端关联成功后闪断,而不是直接关联不上
2.只与2.4G射频相关,通常攻击行为比较容易出现在2.4G射频
3.跟区域性有关,只在某台AP下的范围出现异常。
4.尝试重启AP和更换AP问题依旧,大概率排除了软件和硬件故障。
5.故障现象与终端类型无关。
6.一段时间后问题可能自动消失,但可能在其他区域也出现该问题。
根据以上判断尝试进行空口抓包,抓包中发现环境中存在大量的deauth报文,且这些报文SN都是256,发送频率非常高,通常一个环境中不可能有大量无线终端同一时间主动断开无线,且现场测试无线终端不去关联无线时,仍然有大量deauth报文。同时将我司所有AP都关闭,报文依然存在,说明环境中确实存在异常攻击且并非我司设备攻击。抓包如下:
这类无线攻击行为无法从攻击报文中查找到源设备信息,因为通常攻击行为发出的报文都是仿冒的mac地址。要找出攻击源只能再现场逐台关闭其他无线设备,同时抓包分析看报文是否消失。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作