DOS攻擊相比大家相對熟悉，通過網(wǎng)絡(luò)協(xié)議的缺陷導(dǎo)致被攻擊服務(wù)器無法提供正常服務(wù)甚至停止相應(yīng)。而本篇文章所要介紹的是DOS攻擊的延伸—關(guān)聯(lián)洪水攻擊。我們將通過介紹關(guān)聯(lián)洪水攻擊的原理以及攻擊工具和表現(xiàn)，談?wù)撊绾螒?yīng)對這種攻擊形式。

1.關(guān)聯(lián)洪水攻擊原理

無線接入點內(nèi)置了一個列表即“連接狀態(tài)表”，里面可顯示出所有與該AP建立連接的無線客戶端狀態(tài)。

關(guān)聯(lián)洪水攻擊，國際上稱之為Association Flood Attack，全稱即關(guān)聯(lián)洪水(泛洪)攻擊，通常被簡稱為Asso攻擊，是無線網(wǎng)絡(luò)拒絕服務(wù)攻擊的一種形式。它試圖通過利用大量模仿的和偽造的無線客戶端關(guān)聯(lián)來填充AP的客戶端關(guān)聯(lián)表，從而達到淹沒AP的目的。在802.11層，共享解密身份驗證有缺陷，很難再用。僅有的其他備選項就是開放身份驗證(空身份驗證)，該身份驗證依賴于較高級別的身份驗證，如802.1x或VPN。

開放身份驗證允許任何客戶端通過身份驗證然后關(guān)聯(lián)。利用這種漏洞的攻擊者可以通過創(chuàng)建多個到達已連接或已關(guān)聯(lián)的客戶端來模仿很多客戶端，從而淹沒目標AP的客戶端關(guān)聯(lián)表，具體情況如下圖1所示?？蛻舳岁P(guān)聯(lián)表溢出后，合法客戶端將無法再關(guān)聯(lián)，于是拒絕服務(wù)攻擊即告完成。此類攻擊和之前提及的Authentication Flood Attack表現(xiàn)很相似，但是原理卻不同。

2.攻擊工具及表現(xiàn)

一旦無線接入點的連接列表遭到泛洪攻擊，接入點將不再允許更多的連接，并會因此拒絕合法用戶的連接請求?？梢允褂玫墓ぞ哂泻芏啵热缭贚inux下比較有名的Void11等，在Windows下我們也可以使用最新版的aireplay-ng的其中一個參數(shù)配合實現(xiàn)，這里就不再舉以圖例了。

當然，還有一種可能是攻擊者集合了大量的無線網(wǎng)卡，或者是改裝的集合大量無線網(wǎng)卡芯片的捆綁式發(fā)射機(類似于我們常說的“短信群發(fā)器”)，進行大規(guī)模連接攻擊的話，對于目前廣泛使用的無線接入設(shè)備，也將是很有效果的。下圖2為Omnipeek捕獲的遭到洪泛攻擊的接入點網(wǎng)絡(luò)數(shù)據(jù)，可以看到出現(xiàn)了無數(shù)無法驗證的無線客戶端。

需要注意的是，該攻擊主要工作在鏈路層，而很多強化的認證體系如802.1X或者VPN都運作在高的協(xié)議層。如果因為一些原因我們不得不采用預(yù)共享驗證或者開放式驗證，則對于802.11協(xié)議層，沒有特別有效的方法可以抵御。

3.關(guān)聯(lián)洪水攻擊應(yīng)對方法

最好的辦法仍舊是監(jiān)控無線網(wǎng)絡(luò)的連接狀態(tài)，當出現(xiàn)大量的連接請求以及很多快速消失的進程時，應(yīng)該立即開始進行無線檢測其來源。應(yīng)配置無線IDS或者某些管理模塊來自動完成上述內(nèi)容，并設(shè)置成當出現(xiàn)潛在隱患時立即通知管理員。

【編輯推薦】

1. DDOS防火墻防御功能對比
2. 淺析企業(yè)DDOS防火墻成本比較
3. 防火墻安全測試之日志分析工具
4. 淺析各類DDOS防火墻應(yīng)對攻擊時的表現(xiàn)
5. 實例體驗自造DDOS硬件防火墻