• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 全部
  • 全部
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
高级搜索

某局点wlan网络排查Deauth攻击的经验案例

2015-12-15 发表
  • 3关注
  • 2收藏,2772浏览
余晨 八段
粉丝:14人 关注:0人

某局点wlan网络2.4G终端出现频繁掉线重连的现象,现场使用手机共享出一个无线网络供电脑上公网,该信号也出现了非常高频率的断线重连,怀疑现场存在wlan干扰或者攻击。

通过空口抓包,大量client的deauth同时出现,而且是发往不同的BSSID,并且deauth的seq number是连续增加的(不同client),这看着很不正常,很像是有人挨个仿冒client发送deauth。

这种攻击防护手段有限,802.11为此专门出了个标准802.11w,起作用是client关联过程中是管理报文进行单独的密钥协商(目前管理报文都是明文),这样别人就无法仿冒deauth了。但需要client也支持802.11w才行,现在绝大多数终端不支持。

 

首先根据攻击行为推测,这个应该不是有其他厂商AP检测到rouge AP之后的反制行为,因为如果是rouge AP反制,一般会模仿AP给sta发deauth,而这里明显不是。所以这里更像是一个专门的攻击行为。

想要定位这个攻击源的话,目前能做的就是人肉定位了:

1.先确认这个攻击源覆盖的AP范围,也就是根据掉线客户端所连的AP确认出这个攻击源在哪几个AP附近,可以先大略确认出一个范围。

2.然后在这个范围内,如果能够人肉排查是最简单的,就是挨个地方检查一下,比如可以按照电源插孔检查,这个攻击源总得用电源吧。看看有没有可疑的设备(如果攻击行为是24小时的,那就找24小时开机的设备,范围更小)。

3.如果上一个人肉排查的效果不好,那就麻烦一点了。

4.找一台笔记本,安装无线模拟发包的工具,冒充客户端发送数据报文,同时空口抓包,如果这个也能抓到这个所冒充的客户端的deauth,那肯定是仿冒的(因为模拟客户端我们设置为发送数据报文,绝对不会发deauth),全部过滤出来。

之所以要找一个笔记本模拟客户端,就是为了钓鱼这个攻击源的报文,因为它是变换mac的,只能用这个办法才能准确找到哪些是属于它的报文。

5.连续变换几个位置,重复步骤4,根据得到的不同位置的deauth的rssi,大略推测攻击源的位置,然后进一步人肉筛查。

6.如果觉得上述推测不好做或者不准确,那就得用更麻烦的办法了,找到这个酒店的工勘图,设置00原点,找至少三个准确的位置采样

7.然后把采样数据输入无线定位计算公式,利用无线定位的公式计算攻击源在工勘图中的位置(相当于人肉模拟AE定位)

最终,现场通过抓包发现Deauth 攻击源在局点大楼4层走廊尽头信号最强,基本确认在大楼对面建筑物内,且deauth信道维持在channel 6,现场将所有的AP放到了 1、11两个信道,deauth攻击问题得到解决,终端接入正常。

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +
<

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作