Una volta che un numero sufficiente di statistiche di comportamento della rete è riunito, le identificazioni adeguate della radio possono cominciare cercare gli eventi sospettosi che indicano la possibilità di attacco cattivo. Questi eventi hanno potuto essere manifestati come la presenza di determinati tipi della struttura, frequenza della trasmissione della struttura, le anomalie di numero progressivo della struttura della struttura e, deviazioni di intensità di traffico ed uso inatteso di frequenza. Categorizziamo gli eventi una qualità che le identificazioni senza fili dovrebbero potere rilevare e pubblicare un avvertimento per.
Trasmettitori supplementari nella zona.
Scanalature non usate dal WLAN protetto in uso.
Scanalature di sovrapposizione.
Cambiamento di funzionamento improvviso della scanalatura da uno o più dispositivi senza fili controllati.
Perdita di qualità del segnale, livello elevato di rumore, o SNR basso.
Questi eventi possono indicare i problemi della rete o di connettività, il misconfiguration severo della rete, la disposizione del dispositivo del rogue, incepparsi intenzionale e fanno uno strato di 1 e fanno uno strato di 2 attacchi uomo-in-$$$-CENTRALI.
Frequenza aumentata dei telai normalmente attuali della rete.
Pagine del formato insolito.
Tipi sconosciuti della struttura.
Strutture incomplete, corrotte, o deformi.
Pletore di telai di deassociate/deauthenticate.
Frequenti strutture di riassociazione sulle reti senza vagare permesso.
Pagine dalla sequenza.
Frequenti richieste della sonda.
Pagine con ESSIDs differente dal WLAN ESSID.
Pagine con la radiodiffusione ESSID ("c'è ne").
Pagine con ESSIDs frequentemente o a caso cambiante.
Pagine con ESSIDs o altri campi tipici per determinati attrezzi di intrusione.
Pagine con gli indirizzi del MAC non inclusi nel ACL.
Pagine con gli indirizzi duplicati del MAC.
Pagine con indirizzi frequentemente o a caso cambianti del MAC.
Questi eventi possono indicare i misconfigurations della rete e problemi di connettività, interferenza forte di rf, wardrivers per mezzo degli attrezzi attivi di esame nella zona, MAC address che spoofing sul WLAN, clienti unsolicited collegati al WLAN, tentativi indovinare o animale-forza un ESSID chiuso, o i attackers avanzati che mangling il controllo e l'amministrazione incornicia per lanciare lo strato 2 uomo-in-$$$-CENTRALE o attacchi del DOS.
Strutture incomplete, corrotte, o deformi 802.1x.
Pagine con i tipi di EAP non effettuati dal WLAN.
Strutture multiple di richiesta e di risposta di autenticazione di EAP.
Strutture multiple di guasto di EAP.
Inizio di EAP ed inondazioni della struttura di fine attività di EAP.
Strutture di EAP del formato anormale ("EAP-de-Morte").
Strutture spezzettate di EAP di piccolo formato.
Strutture di EAP con la lunghezza difettosa di autenticazione.
Strutture di EAP con le credenziali difettose di autenticazione.
Strutture di EAP con le richieste multiple di sfida MD5.
Strutture di EAP che provengono dai authenticators illeciti (punti di accesso del rogue).
Processi non finiti di autenticazione 802.1x/EAP.
Questi eventi possono indicare i tentativi di escludere lo schema di autenticazione 802.1x, compreso la animale-forzatura intelligente di disposizione e di accesso del dispositivo del rogue 802.1x o gli attacchi avanzati del DOS per inabilitare i meccanismi di autenticazione. Naturalmente, le strutture deformi 802.1x possono derivare da interferenza forte e da altra di rf problemi di strato 1.
Presente senza fili unencrypted di traffico.
Traffico cifrato con le chiavi sconosciute di WEP.
Traffico cifrato con le chiavi di WEP delle lunghezze differenti.
Strutture deboli del dispositivo di venipunzione.
Pagine con IVs ripetuto in una fila.
Cambiamento di no IV.
Ritorno al WEP originale dalle soluzioni più sicure quale TKIP.
Rotazione chiave guastata di WEP.
Questi eventi possono indicare i misconfigurations severi di sicurezza della rete, le attrezzature insicure dell'eredità in uso, gli utenti che violano la politica di sicurezza, la disposizione senza fili del dispositivo del rogue, o l'uso di traffico che inietta gli attrezzi (WEPwedgie, reinj) dai cracker avanzati.
Perdita di connettività.
Impulso improvviso nel consumo di larghezza di banda.
Diminuzione improvvisa nel rendimento della rete.
Improvviso fa ritardare l'aumento su un punto per indicare il collegamento.
Livello aumentato di frammentazione del pacchetto.
Frequente ritrasmette.
Questi eventi dovrebbero spingere una ricerca futura a trovare le cause esatte del problema rilevate. Una macchina deduttiva intelligente di identificazioni dovrebbe potere collegare questi problemi alle categorie differenti di eventi, così parzialmente automatizzando i problemi di ricerca.
Attacchi agli più alti strati di rete che innescano le identificazioni "tradizionali".
Traffico unsolicited dell'amministrazione del punto di accesso.
Pacchetti costantemente duplicati o ripetuti di dati.
Pacchetti di dati con lo strato di programmazione dei dati corrotto checksums/MIC.
Pletora di tentativi simultanei multipli di associazione della rete.
Questi eventi possono indicare riuscito o gli attacchi infruttuosi del cracker, un ospite con misconfigured le regolazioni di sicurezza, i tentativi di accedere e modificare ai punti di accesso schierati, l'uso di traffico che iniettano gli attrezzi, gli attacchi avanzati del DOS contro gli ospiti 802.11i-enabled, o i tentativi sopraffare gli amplificatori di AP con tantissimi collegamenti dal lato metallico o senza fili. Di nuovo, tutti i casi del telaio o la corruzione del pacchetto possono essere attribuiti ai problemi di strato fisico, quali interferenza e resistenza bassa del segnale.
Ora potete riconoscere facilmente molti dei segni rivelatori di attacco dalla lista preceding di evento. Per esempio, le strutture con gli indirizzi frequentemente cambiati del MAC ed ESSIDs sono una buona indicazione di qualcuno che usando un FakeAP. Alternativamente, ci è una animale-forza ESSIDs chiuso di senso usando due schede e Wellenreiter del cliente PCMCIA. Non lo abbiamo descritto nella sezione di attacco perché non la abbiamo provata mai ed usando il essid_jack o il dinject è molto più efficiente e conserva le risorse. Un attacco diforzatura genera le strutture con cambiare ESSIDs e gli indirizzi del MAC (senso del Wellenreiter oscurare il fornitore e l'identità della scheda del attacker). Le frequenti richieste della sonda potrebbero indicare qualcuno che usando Netstumbler o Ministumbler e gli ospiti che cambiano improvvisamente la loro scanalatura di funzionamento possono diminire verso l'esterno un attacco uomo-in-$$$-CENTRALE possibile.
Molti degli eventi descritti possono essere un risultato del misbehavior dell'utente piuttosto che un attacco cattivo previsto. Gli utenti possono inserire i dispositivi senza fili unsolicited o usare la interferenza-generazione degli apparecchi (Bluetooth, macchine fotografiche senza fili, telefoni senza cordone). Possono collegare al AP senza permettere WEP/TKIP se il AP lo consentono (un errore grande dal lato del coordinatore) o il firmware di miss/avoid lo aggiorna ("se lo funziona, non ripari"), così rendendo i vostri sforzi di schieramento di sicurezza 802.11i-based inutili. Tutto il coordinatore della rete o del sistema sa unruly ed antipatico alcuni utenti possono essere.
Online: 457 users browsing the articles directory
|
|