Print

某局点wlan网络排查Deauth攻击的经验案例

某局点wlan网络2.4G终端出现频繁掉线重连的现象,现场使用手机共享出一个无线网络供电脑上公网,该信号也出现了非常高频率的断线重连,怀疑现场存在wlan干扰或者攻击。

通过空口抓包,大量client的deauth同时出现,而且是发往不同的BSSID,并且deauth的seq number是连续增加的(不同client),这看着很不正常,很像是有人挨个仿冒client发送deauth。

这种攻击防护手段有限,802.11为此专门出了个标准802.11w,起作用是client关联过程中是管理报文进行单独的密钥协商(目前管理报文都是明文),这样别人就无法仿冒deauth了。但需要client也支持802.11w才行,现在绝大多数终端不支持。

 

首先根据攻击行为推测,这个应该不是有其他厂商AP检测到rouge AP之后的反制行为,因为如果是rouge AP反制,一般会模仿AP给sta发deauth,而这里明显不是。所以这里更像是一个专门的攻击行为。

想要定位这个攻击源的话,目前能做的就是人肉定位了:

1.先确认这个攻击源覆盖的AP范围,也就是根据掉线客户端所连的AP确认出这个攻击源在哪几个AP附近,可以先大略确认出一个范围。

2.然后在这个范围内,如果能够人肉排查是最简单的,就是挨个地方检查一下,比如可以按照电源插孔检查,这个攻击源总得用电源吧。看看有没有可疑的设备(如果攻击行为是24小时的,那就找24小时开机的设备,范围更小)。

3.如果上一个人肉排查的效果不好,那就麻烦一点了。

4.找一台笔记本,安装无线模拟发包的工具,冒充客户端发送数据报文,同时空口抓包,如果这个也能抓到这个所冒充的客户端的deauth,那肯定是仿冒的(因为模拟客户端我们设置为发送数据报文,绝对不会发deauth),全部过滤出来。

之所以要找一个笔记本模拟客户端,就是为了钓鱼这个攻击源的报文,因为它是变换mac的,只能用这个办法才能准确找到哪些是属于它的报文。

5.连续变换几个位置,重复步骤4,根据得到的不同位置的deauth的rssi,大略推测攻击源的位置,然后进一步人肉筛查。

6.如果觉得上述推测不好做或者不准确,那就得用更麻烦的办法了,找到这个酒店的工勘图,设置00原点,找至少三个准确的位置采样

7.然后把采样数据输入无线定位计算公式,利用无线定位的公式计算攻击源在工勘图中的位置(相当于人肉模拟AE定位)

最终,现场通过抓包发现Deauth 攻击源在局点大楼4层走廊尽头信号最强,基本确认在大楼对面建筑物内,且deauth信道维持在channel 6,现场将所有的AP放到了 1、11两个信道,deauth攻击问题得到解决,终端接入正常。