可疑事件对无线局域网

Dutch French Spanish Portuguese Italian German Japanese Chinese Korean Russian Arabic Bookmark and Share this Article Original English article
  

一旦足够数量的网络行为的统计收集,妥善无线入侵检测系统可以开始寻找可疑的活动,这说明有可能的恶意攻击。 这些事件可能表现为:存在某些帧类型,频率帧传输,帧结构和序列数目异常,流量偏差,意想不到的频率使用。 让我们归类的事件一个优质的无线入侵检测系统应该能够侦测并发出警告。

一日射频/物理层事件

  • 新增发射机在封锁区内。

  • 渠道不被保护的无线局域网投入使用。

  • 重叠的频道。

  • 突如其来的经营渠道的变化,由一个或多个监测无线设备。

  • 损失信号质量,高水平的制造噪音或低信噪比。

这些事件显示,可以连接或网络问题,严重的网络配置不当,无赖装置安置,故意干扰,第一层和第二层人在该中的攻击。

2管理/控制帧事件

  • 次数增多,通常目前网络框架。

  • 帧具有非同寻常的尺寸。

  • 未知帧类型。

  • 不完全统计,腐蚀,或畸形帧。

  • 洪灾deassociate / deauthenticate帧。

  • 频繁reassociation框上的网络,使漫游服务。

  • 框出的序列。

  • 频繁探头的要求。

  • 帧与essids有别于无线局域网essid 。

  • 帧与播出essid ( "任何" ) 。

  • 帧与频繁或随意改变essids 。

  • 帧与essids或其他领域的典型某些入侵工具。

  • 帧与mac地址,并没有包括在韧带。

  • 帧复制mac地址。

  • 帧与频繁或随意改变mac地址。

这些事件可以显示网络错误配置和连接问题,强射频干扰, wardrivers使用主动扫描工具,在该地区, mac地址欺骗对无线局域网,请自来的客户连接到无线局域网,尝试去猜测或粗暴的武力封闭essid ,或更先进攻击损坏控制和管理帧发射的第2层人在该中或拒绝服务攻击。

三802.1x/eap帧事件

  • 不完全统计,腐蚀,或畸形802.1x协议帧。

  • 帧同类型的eap不执行无线局域网。

  • 多重eap的认证要求,并响应帧。

  • 多重eap的失败帧。

  • eap的启动和eap登出帧洪灾。

  • eap的帧的异常大小( " eap的-的-死亡" ) 。

  • 支离破碎的eap帧的体积却很小。

  • eap的框坏认证的长度。

  • eap的框坏认证证书。

  • eap的帧多发的md5挑战的要求。

  • eap的帧源自非法认证(无赖接入点) 。

  • 未完802.1x/eap认证流程。

这些事件可以表明试图绕过802.1x的认证方案,其中包括聪明的无赖802.1x的设备安置和准入强暴-强迫或先进dos攻击禁用认证机制。 当然,对恶意802.1x协议帧,可以导致强烈的射频干扰和其他第一层的问题。

四日的wep有关的活动

  • 未加密的无线交通。

  • 交通加密与未知的wep键。

  • 交通与加密的wep键不同长度。

  • 弱四帧。

  • 帧反复游成一排。

  • 四,没有改变。

  • 退却,以原有的wep从更安全的解决方案,如tkip 。

  • 失败的wep关键轮换。

这些事件可以表示严重的网络安全错误配置,不安全的遗留设备使用中,用户违反安全政策,无赖无线装置安置,或利用交通注射工具( wepwedgie , reinj )由先进的饼干。

5一般连接/流量事件

  • 连通损失。

  • 突然,在带宽的消耗。

  • 突然减少,在网络吞吐量。

  • 突然延迟增加对点到点连接。

  • 增加包支离破碎的水平。

  • 频繁转播。

这些事件应该促使未来的调查,以找出确切的问题的根源侦破。 智能身份证推理引擎应该能够连接这些问题,不同类别的活动,从而部分自动化的调查问题。

6杂项活动

  • 相关,但不认证,名主持人。

  • 攻击更高的网络层引发的"传统"的身分证。

  • 自来的接入点管理交通。

  • 不断重复或反复的数据包。

  • 数据包的腐败数据链路层校验/话筒。

  • 洪水并发多重网络协会的尝试。

这些事件可以表明成功或不成功裂解攻击,主机与错误配置安全设置,企图获取和重新部署接入点,利用交通注射工具,先进的dos攻击802.11功能的主机,或企图以压倒鸭缓冲器大量的连接从有线或无线通讯方面。 再次,任何案件帧或包腐败可以归因于物理层的问题,如干扰和低讯号强度。

现在,你就可以很容易认识到很多的制定出来的攻击的迹象,从前面的活动清单。 例如,帧与经常改变mac地址并essids是一个良好的迹象显示,有人用fakeap 。 反过来说,有一个办法简单粗暴的武力封闭essids用两种客户pcmcia卡和韦伦赖特。 我们没有说明它在袭击中的一段,因为我们从来没有尝试它,并利用essid_jack或dinject是远远更有效率和节省资源。 这样一个简单粗暴的强制攻击生成帧与转变essids和mac地址(韦伦赖特的方式,以掩盖攻击者的卡厂商和身份) 。 频繁探头请求也许表明有人曾用netstumbler或ministumbler ,名主持人突然改变其经营渠道,可标示出可能的人在这个中间人攻击。

很多的事件概述,可导致用户莫名其妙的错误,而不是一个有计划的恶意攻击。 用户可以插入自来的无线装置或使用干扰创造家用电器(蓝牙,无线摄像头,无绳电话) 。 他们可以连接到鸭未经授权的wep / tkip如果鸭纸,它(大失误,对管理员的方)或小姐/避免固件升级,它( "如果证明可行,不修理" ) ,从而使你的802.11为基础的安全部署,努力无用。 任何系统或网络管理员知道如何守纪律和厌恶,有网民可以。

这是一篇文章说,由krelle日报
免责声明:我们的网站是不负责所载资料由本条规定。 这篇文章根本没有反映看法,意见,思想或信仰的文章目录中的工作人员。

翻译预告:文章"可疑事件对无线局域网"被翻译使用的自动翻译服务。 我们真诚地道歉,对任何翻译错误发生。 谢谢你的谅解。


Online: 1610 users browsing the articles directory