DOS攻擊作為一種目的為耗盡服務(wù)器資源的攻擊方式，其攻擊形式有很多種，除去上文曾經(jīng)講過的關(guān)聯(lián)洪水攻擊外，本篇文章將依舊通過原理、表現(xiàn)以及應(yīng)對措施三方面來講述DOS攻擊的另外一種形式，驗證洪水攻擊。

1.關(guān)于無線連接驗證

在無線網(wǎng)絡(luò)環(huán)境，無線客戶端都是需要通過一個驗證來實現(xiàn)連接無線接入點的。AP上的驗證可采用開放式密鑰驗證或者預(yù)共享密鑰驗證兩種方式。一個工作站可以同時與多個AP進行連接驗證，但在實際連接時，同一時刻一般還只是通過一個AP進行的。

2.驗證洪水攻擊原理

驗證洪水攻擊，國際上稱之為Authentication Flood Attack，全稱即身份驗證洪水攻擊，通常被簡稱為Auth攻擊，是無線網(wǎng)絡(luò)拒絕服務(wù)攻擊的一種形式。該攻擊目標主要針對那些處于通過驗證、和AP建立關(guān)聯(lián)的關(guān)聯(lián)客戶端，攻擊者將向AP發(fā)送大量偽造的身份驗證請求幀(偽造的身份驗證服務(wù)和狀態(tài)代碼)，當收到大量偽造的身份驗證請求超過所能承受的能力時，AP將斷開其它無線服務(wù)連接。

一般來說，所有無線客戶端的連接請求會被AP記錄在連接表中。當連接數(shù)量超過AP所能提供的許可范圍，AP就會拒絕其它客戶端發(fā)起的連接請求。下圖為筆者繪制的身份驗證洪水攻擊原理圖，可看到攻擊者對整個無線網(wǎng)絡(luò)發(fā)送了偽造的身份驗證報文。

3.身份驗證攻擊實現(xiàn)及效果

為了開展驗證洪水攻擊，攻擊者會先使用一些看起來合法但其實是隨機生成的MAC地址來偽造工作站，然后，攻擊者就可以發(fā)送大量的虛假連接請求到AP。對AP進行持續(xù)且猛烈的虛假連接請求，最終會導(dǎo)致無線接入點的連接列表出現(xiàn)錯誤，合法用戶的正常連接亦會被破壞。

可以使用的工具有很多，比如在Linux下比較有名的MDK2/3，或者早一點的Void11等，在Windows下我們也可以使用aireplay-ng的其中一個參數(shù)配合實現(xiàn)。

4.驗證洪水攻擊應(yīng)對方法

通過跟蹤客戶端的驗證情況和連接狀況可以幫助無線管理人員識別此類拒絕服務(wù)攻擊。也可通過在監(jiān)測軟件上部署警報來實現(xiàn)預(yù)警機制，這樣當警報被觸發(fā)時，被攻擊影響的無線接入點和客戶端都會被記錄并重新識別。

另外，在企業(yè)AP上開啟MAC地址過濾并進行詳細的配置，對阻止攻擊者會起到一定作用。

【編輯推薦】

1. DDOS防火墻防御功能對比
2. 淺析企業(yè)DDOS防火墻成本比較
3. 防火墻安全測試之日志分析工具
4. 淺析各類DDOS防火墻應(yīng)對攻擊時的表現(xiàn)
5. 實例體驗自造DDOS硬件防火墻