شبهات حول البث

وبمجرد وجود عدد كاف من شبكة سلوك الاحصاءات مجتمعون ، سليم معرفات لاسلكيه يمكن ان نبدأ البحث عن شبهات تشير الى امكانيه الهجوم الخبيثه. هذه الاحداث يمكن ان يتبدى في وجود بعض انواع الاطار ، تردد الارسال من الاطار ، اطار هيكل والرقم المسلسل العيوب ، وتدفق المرور الانحرافات ، واستخدام الترددات غير متوقعة. ولندع الاحداث تصنيف نوعية ا لاسلكيه معرفات ينبغي أن تكون قادرة على كشف واصدار انذار ل.

1 الترددات اللاسلكيه / الماديه طبقة الاحداث

• ارسال اضافية في المنطقة.

• القنوات لم تستخدم من قبل في استخدام البث المحميه.

• تداخل القنوات.

• تشغيل قناة التغيير المفاجئ من جانب واحد او اكثر ترصد الاجهزه اللاسلكيه.

• فقدان اشارة الجوده ، ومستوى عال من الضجيج ، او منخفضه الاب.

هذه الاحداث يمكن ان تشير الى ربط التواصل او مشاكل ، شديدة شبكة misconfiguration ، مارقه جهاز التنسيب ، والتشويش المتعمد ، وطبقة وطبقة 1 2 رجل - في - اي - الشرق الهجمات.

2 الادارة / المراقبة اطر الاحداث

• زيادة تواتر هذا عادة شبكة الاطر.

• اطر من حجم غير عادي.

• الاطار انواع غير معروفة.

• ناقصه ، أفسدتها ، او مشوه الاطر.

• الفيضانات من deassociate / deauthenticate الاطر.

• Reassociation الاطر المتكرر على الشبكات دون مكن المتجولين.

• اطر خارج السلسله.

• بحث طلبات متكررة.

• Essids مع أطر مختلفة من البث الصيد.

• الأطر مع بث الصيد ( "ايه").

• الأطر أو بشكل عشوائي في كثير من الاحيان مع تغيير essids.

• مع الاطر essids او غيرها من الحقول النموذجيه لتدخل بعض الادوات.

• الأطر مع ماك عناوين التى لم تدرج فى قائمة تحكم في الدخول.

• اطارات مزدوجة ماك العناوين.

• الأطر أو بشكل عشوائي في كثير من الاحيان مع تغيير العناوين لجنة الهدنه العسكرية.

هذه الاحداث يمكن ان تشير الى شبكة misconfigurations ومشكلات التوصيل ، وتدخل القوى الترددات اللاسلكيه ، wardrivers باستخدام ادوات المسح النشطه في هذا المجال ، ماك معالجة الغش على البث ، وغير مطلوبة العملاء صلة الى البث ، الى محاولات تخمين او القوة الغاشمه - مغلق الصيد ، أو أكثر المتقدمه المهاجمين سحق مراقبة وادارة اطر شن طبقة 2 - رجل - في - الشرق أو دوس الهجمات.

3 802.1x/eap اطر الاحداث

• ناقصه ، أفسدتها ، او مشوه 802.1x الاطر.

• مع السكان النشطين اقتصاديا انواع الأطر التي لم تنفذ من جانب البصري.

• تعدد السكان النشطين اقتصاديا التوثيق وردا على طلب الاطر.

• الفشل في اطر متعددة السكان النشطين اقتصاديا.

• بدء السكان النشطين اقتصاديا من السكان الناشطين اقتصاديا والانقطاع الاطار الفيضانات.

• اطر السكان النشطين اقتصاديا من حجم غير طبيعي ( "السكان النشطين اقتصاديا - - من الموت").

• مجزاه من السكان النشطين اقتصاديا الاطر صغر حجمها.

• السكان النشطين اقتصاديا مع الاطر سيئة التوثيق طول.

• السكان النشطين اقتصاديا مع الاطر سيئة اعتماد مصادقة.

• السكان النشطين اقتصاديا مع اطارات متعددة md5 التحدي الطلبات.

• السكان النشطين اقتصاديا الاطر مصدرها غير المشروع الموثقون (المارقه نقاط الوصول).

• 802.1x/eap توثيق العمليات المنجزه.

هذه الاحداث يمكن ان تشير الى محاولات الالتفاف على مخطط 802.1x التوثيق ، ذكي بما مارقه 802.1x جهاز التنسيب والوصول الغاشمه - ارغام أو متقدمة دوس الهجمات الى تعطيل آليات التوثيق. وبطبيعة الحال ، مشوه 802.1x اطر يمكن ان يؤدي الى تدخل من قوى الترددات اللاسلكيه وغيرها من طبقة 1 المشاكل.

4 - الارشاد المناسبات ذات الصلة

• غير مشفر لاسلكيه المرور الحالية.

• حركة المرور مشفره مع مجهول الارشاد المفاتيح.

• حركة المرور مشفره مع الرز مفاتيح مختلفة الاطوال.

• رابعا ضعف الاطر.

• Ivs مع الاطر المتكررة في سطر.

• رابعا أي تغيير.

• الاحتياطي الى الاصل نشأ عن حلول اكثر أمنا مثل tkip.

• لم نشأ الرئيسية التناوب.

هذه الاحداث يمكن ان تشير الى شبكة أمنية شديدة misconfigurations ، غير آمن تركه في استخدام المعدات ، منتهكه بذلك مستخدمي السياسة الامنية ، وجهاز لاسلكي والتنسيب مارقه ، أو استخدام ادوات الحقن المرور (wepwedgie ، reinj) من قبل المتقدم المفرقعات.

5 الوصل العام / حركة تدفق الاحداث

• الربط الخسارة.

• الطفره المفاجءه في استهلاك النطاق الترددي.

• انخفاض مفاجئ في الشبكه التي مرت.

• تأخير الزياده المفاجءه على نقطة الى نقطة الربط.

• علبة زيادة مستوى التجزؤ.

• يعيد إرسال متكررة.

هذه الاحداث ينبغي التحقيق الفوري في المستقبل لايجاد بالضبط اسباب المشكلة المكتشفة. بذكاء معرفات محرك الاستدلال ينبغي أن تكون قادرة على ربط هذه المشكلات الى فئات مختلفة من الاحداث ، وبالتالي جزئيا اتمته التحقيق المشاكل.

6 المتنوعة الاحداث

• المرتبطين بها ، ولكن ليس موثقا ، ويستضيف.

• هجمات على شبكة طبقات اعلى تحريك "التقليديه" معرفات.

• غير مطلوبة نقطة الوصول ادارة المرور.

• باستمرار ازدواجيه او تكرار البيانات من اجمالي الصادرات.

• رزم البيانات مع البيانات ربط طبقة فاسدة checksums / التابعة لهيئة التصنيع العسكري.

• طوفان من شبكة متعددة متزامنة رابطة المحاولات.

هذه الاحداث يمكن ان تشير الى نجاح أو فشل المفرقع الهجمات ، مضيفة مع misconfigured الاعدادات الامنية ، ومحاولات للوصول الى اعادة ترتيب نشر نقاط الوصول ، واستخدام ادوات الحقن المرور ، متقدمة دوس الهجمات ضد 802.11i - مكنت يستضيف ، او محاولات باكتساح أ ب عازلة مع اعداد كبيرة من الوصلات من الجانب سلكي او لاسلكي. مرة أخرى ، في أي حالة من حالات الفساد الرزمه الاطار او يمكن ان تعزى الى طبقة المشاكل الماديه ، مثل التدخل وانخفاض قوة الإشارات.

الآن يمكنك بسهولة ان تعترف العديد من علامات الراوي هجوم من الحدث السابقة قائمة. على سبيل المثال ، مع الاطر وكثيرا ما تغيرت عناوين ماك وessids هي اشارة جيدة للشخص باستخدام fakeap. وكبديل لذلك ، هناك طريقا الى القوة الغاشمه - essids مغلقة باستخدام اثنين من العملاء وبطاقات محول wellenreiter. ونحن لا وصف لها في القسم الهجوم لان لدينا انها لم تحاول قط ، وباستخدام essid_jack او dinject هو الآن اكثر كفاءه ويوفر الموارد. مثل هذا الهجوم الوحشي - ارغام يولد مع الاطر المتغيره essids وعناوين ماك (wellenreiter طريقة لاخفاء المهاجم بطاقه هوية البائع و). طلبات متكررة للبحث في ما يمكن ان تبين باستخدام نأت ستومبلر او ministumbler ، وفجاه تغير تستضيف قناة يمكن تشغيلها العلم بها ممكنا رجل - في - الشرق - الهجوم.

كثير من الاحداث المحددة يمكن ان تكون نتيجة لسوء السلوك المستخدم بدلا من الهجوم المخطط الخبيثه. يمكن للمستخدمين غير مطلوب سداده في الاجهزه اللاسلكيه او استخدام التدخل - خلق الاجهزه (بلوتوث ، وكاميرات لاسلكيه ، والهواتف والهواتف). ويمكن ربط الى اب دون تمكين الارشاد / tkip اذا سمحت أ ب) خطأ كبيرا على مدير البرنامج الجانب) او الانسه / تجنب البرنامج الدائم ترقيات عليه) "اذا كان يعمل ، فانه لا فيكس") ، مما يجعل 802.11i الخاص بك على اساس نشر الامن جهود لا طائل منه. اي نظام او مدير الشبكه يعرف كيف جامحه البغيض وبعض المستخدمين يمكن.