問：我需要一個可以在無線LAN中定位具體拒絕服務(wù)（DoS）攻擊的工具。雖然正在使用的無線入侵防御系統(tǒng)（WIPS）在發(fā)生攻擊時可以提供告警功能，但是我還是需要知道哪種工具可以定位發(fā)起攻擊的設(shè)備的具體位置。

答：在攻擊發(fā)生時，WIPS可以定位大概的攻擊位置，或者至少可以顯示出距離攻擊源最近的傳感設(shè)備或AP。鑒于此，你就可以通過監(jiān)聽具體位置的RF來找到攻擊源。

如果攻擊源恰好是一個Wi-Fi AP或Ad Hoc節(jié)點，從而導(dǎo)致同頻干擾，你就可以僅僅通過任一Wi-Fi 發(fā)現(xiàn)工具（又稱"stumbler"）來監(jiān)聽。查看無線安全工具列表，也許就有你想要的信息。如：最好用的AP映射工具就是HeatMapper。

如果攻擊源是Wi-Fi客戶端，你就需要能夠進入RFMON模式并能監(jiān)聽其他Wi-Fi流量的工具，而不僅僅是監(jiān)聽AP或Ad Hoc指針。運行在Linux（需AirPCap適配器）或Windows上的Airodump-ng、 Kismet以及 Wireshark都可以勝任。商用的WLAN分析工具也可以捕獲客戶端流量。

如果攻擊源并非Wi-Fi設(shè)備，那么你就需要一個帶有“查找”功能的移動RF頻譜分析設(shè)備。一些商用設(shè)備已具備了該功能，如MetaGeek Wi-Spy。

注意：當(dāng)你在查找攻擊源時，其攻擊設(shè)備必須是在運行中的。這種必要條件似乎是顯而易見的，但這也帶來了一定的挑戰(zhàn)：尤其是DoS攻擊被證明只是短暫的RF干擾時?？纯碬IPS所生成的歷史數(shù)據(jù)以及對傳感器和AP的實時觀測結(jié)果，當(dāng)再次發(fā)現(xiàn)攻擊行為時，也許你會希望使用帶有“查看”功能的WIPS來觸發(fā)基于傳感器的遠程包捕獲。另外，WIPS還會根據(jù)事件歷史記錄，建議一天當(dāng)中最佳的查找攻擊源時機。最后，某些新的企業(yè)AP可以提供板上頻譜分析設(shè)備——如果你的“DoS攻擊”確實存在慢性RF干擾問題，那么這種投資就非常值得。

【編輯推薦】

1. 無線安全的6個新神話
2. 黑客攻擊和入侵的8槍——八大手段