可疑事件对无线局域网
一旦足够数量的网络行为的统计收集,妥善无线入侵检测系统可以开始寻找可疑的活动,这说明有可能的恶意攻击。 这些事件可能表现为:存在某些帧类型,频率帧传输,帧结构和序列数目异常,流量偏差,意想不到的频率使用。 让我们归类的事件一个优质的无线入侵检测系统应该能够侦测并发出警告。
一日射频/物理层事件
这些事件显示,可以连接或网络问题,严重的网络配置不当,无赖装置安置,故意干扰,第一层和第二层人在该中的攻击。
2管理/控制帧事件
这些事件可以显示网络错误配置和连接问题,强射频干扰, wardrivers使用主动扫描工具,在该地区, mac地址欺骗对无线局域网,请自来的客户连接到无线局域网,尝试去猜测或粗暴的武力封闭essid ,或更先进攻击损坏控制和管理帧发射的第2层人在该中或拒绝服务攻击。
三802.1x/eap帧事件
这些事件可以表明试图绕过802.1x的认证方案,其中包括聪明的无赖802.1x的设备安置和准入强暴-强迫或先进dos攻击禁用认证机制。 当然,对恶意802.1x协议帧,可以导致强烈的射频干扰和其他第一层的问题。
四日的wep有关的活动
这些事件可以表示严重的网络安全错误配置,不安全的遗留设备使用中,用户违反安全政策,无赖无线装置安置,或利用交通注射工具( wepwedgie , reinj )由先进的饼干。
5一般连接/流量事件
连通损失。
突然,在带宽的消耗。
突然减少,在网络吞吐量。
突然延迟增加对点到点连接。
增加包支离破碎的水平。
频繁转播。
这些事件应该促使未来的调查,以找出确切的问题的根源侦破。 智能身份证推理引擎应该能够连接这些问题,不同类别的活动,从而部分自动化的调查问题。
6杂项活动
- 相关,但不认证,名主持人。
攻击更高的网络层引发的"传统"的身分证。
自来的接入点管理交通。
不断重复或反复的数据包。
数据包的腐败数据链路层校验/话筒。
洪水并发多重网络协会的尝试。
这些事件可以表明成功或不成功裂解攻击,主机与错误配置安全设置,企图获取和重新部署接入点,利用交通注射工具,先进的dos攻击802.11功能的主机,或企图以压倒鸭缓冲器大量的连接从有线或无线通讯方面。 再次,任何案件帧或包腐败可以归因于物理层的问题,如干扰和低讯号强度。
现在,你就可以很容易认识到很多的制定出来的攻击的迹象,从前面的活动清单。 例如,帧与经常改变mac地址并essids是一个良好的迹象显示,有人用fakeap 。 反过来说,有一个办法简单粗暴的武力封闭essids用两种客户pcmcia卡和韦伦赖特。 我们没有说明它在袭击中的一段,因为我们从来没有尝试它,并利用essid_jack或dinject是远远更有效率和节省资源。 这样一个简单粗暴的强制攻击生成帧与转变essids和mac地址(韦伦赖特的方式,以掩盖攻击者的卡厂商和身份) 。 频繁探头请求也许表明有人曾用netstumbler或ministumbler ,名主持人突然改变其经营渠道,可标示出可能的人在这个中间人攻击。
很多的事件概述,可导致用户莫名其妙的错误,而不是一个有计划的恶意攻击。 用户可以插入自来的无线装置或使用干扰创造家用电器(蓝牙,无线摄像头,无绳电话) 。 他们可以连接到鸭未经授权的wep / tkip如果鸭纸,它(大失误,对管理员的方)或小姐/避免固件升级,它( "如果证明可行,不修理" ) ,从而使你的802.11为基础的安全部署,努力无用。 任何系统或网络管理员知道如何守纪律和厌恶,有网民可以。
这是一篇文章说,由krelle日报 免责声明:我们的网站是不负责所载资料由本条规定。 这篇文章根本没有反映看法,意见,思想或信仰的文章目录中的工作人员。
翻译预告:文章"可疑事件对无线局域网"被翻译使用的自动翻译服务。 我们真诚地道歉,对任何翻译错误发生。 谢谢你的谅解。