Подозрительные события на WLAN

После достаточного количества сетевых поведение статистики собрались, надлежащего беспроводной IDS могут начать ищут подозрительных явлений, свидетельствующих о возможности вредоносные атаки. Эти события, возможно, проявится как наличие определенных видов кадр, частота передачи рамы, рамы конструкции и порядковый номер патологиями движения отклонения и неожиданные частоты использования. Давайте классифицировать события качество беспроводной IDS должен иметь возможность обнаруживать и выдает предупреждение.

1 RF / Физическая слой События

• Дополнительные передатчики в этом районе.

• Каналы не используется защищенной WLAN в использовании.

• Дублирование каналов.

• Внезапные изменения действующих каналов одним или несколькими мониторинг беспроводных устройств.

• Потеря качества сигнала, высокий уровень шумов, или с низким SNR.

Эти события можно указать подключения сети или проблемы, серьезные сети Неправильная, изгои устройство кадров, намеренное глушение, и слой 1 и слой 2 человека - в самых атаки.

2 управления / контроля Фреймы События

• Увеличение частоты обычно в сети фреймов.

• Фреймы необычных размеров.

• Неизвестно кадр типов.

• Неполное, поврежден или неправильный фреймы.

• Наводнения в deassociate / deauthenticate фреймы.

• Частые reassociation кадров по сети позволяет без роуминга.

• Фреймы вне последовательности.

• Частые запросы зонд.

• Фреймы с ESSIDs отличается от WLAN ESSID.

• Фреймы с ESSID в эфир ( "Любой").

• Фреймы с ESSIDs или других областях, типичные для определенных проникновения инструментов.

• Фреймы с MAC- адреса, не включенных в ACL.

• Фреймы с дублируется MAC- адреса.

• Фреймы с часто меняющимся или случайно MAC- адреса.

Эти события можно указать неправильной сети и подключения проблем, сильные РФ вмешательства wardrivers использованием активного сканирования средств в этом районе, МАС-адресу спуфинг по WLAN, нежелательных клиентов, подключенных к WLAN, попытки угадать или лобовым закрытой ESSID, или более расширенный нападавших mangling контроля и управления кадров для запуска слой 2 человека - в самых средним или DoS атаки.

3 802.1x/EAP Фреймы События

• Неполное, поврежден или неправильный 802.1x фреймы.

• Фреймы с ПДОС видов не выполняются в WLAN.

• Несколько ПДОС подлинности запроса и ответа фреймы.

• Несколько ПДОС провал фреймы.

• ПДОС начала и ПДОС выход кадр наводнений.

• ПДОС фреймы ненормального размера ( "ПДООС о смерти").

• Разобщенном ПДОС фреймы малого размера.

• ПДОС кадры с плохими подлинности длины.

• ПДОС кадры с плохими подлинности.

• ПДОС кадры с несколькими MD5 задача просьбы.

• ПДОС кадры из незаконного authenticators (мошеннических точек доступа).

• Незавершенные 802.1x/EAP подлинности процессов.

Эти события можно указать попытки обойти 802.1x аутентификации схемы, в том числе остроумный изгои 802.1x устройство кадров и доступа грубой - принуждение или расширенный DoS нападения отключить механизмов аутентификации. Конечно, неправильно 802.1x рамы может быть результатом решительной РФ вмешательства и других слой 1 проблем.

4 WEP - Похожие События

• Незашифрованного трафика беспроводной настоящем.

• Шифрованием трафика с неизвестным WEP ключей.

• Торговля с шифрованием WEP ключи различной длины.

• Слабые IV фреймы.

• Фреймы с неоднократными IVs в строке.

• Нет IV изменений.

• Запасной к первоначальному WEP с более безопасного решения, такие, как TKIP.

• Ошибка WEP ключ ротации.

Эти события можно указать серьезные неправильной сетевой безопасности, безопасности наследие оборудования, пользователей, нарушающих политику безопасности, изгои беспроводное устройство помещения, или использования трафика инъекционных средств (WEPwedgie, reinj) современной крекеры.

5 целом подключения / движения события

• Связь потери.

• Внезапный рост потребления трафика.

• Внезапного снижения производительности сети.

• Внезапный рост задержек на точка-точка ссылку.

• Повышение уровня фрагментации пакетов.

• Частые ретранслирует.

Эти события должны побудить будущего расследование, чтобы найти точные причины проблемы выявлены. В интеллектуальных IDS вывод двигателя должны иметь возможность увязать эти проблемы для различных категорий событий, таким образом частично автоматизации расследования проблемы.

6 Разное События

• Связано, но не удостоверена, Саваоф.

• Нападения на сети высших слоев ведет к "традиционным" IDS.

• Незапрошенные точки доступа управления движением.

• Постоянно дублировать или неоднократные данных пакетов.

• Данные пакеты с коррупционной данных уровня контрольные / ВПК.

• Наводнение в нескольких попыток сети ассоциации.

Эти события можно указать успешной или безуспешной крекинг нападения, хост с неправильной настройки безопасности, попытки доступа и перенастроить развернутые точек доступа, использование трафика инъекционных инструментов, передовых DoS нападения 802.11i включили Саваоф, или попытка выйти за рамки ЗС буферы с большим числом соединений проводную или беспроводную стороне. Опять-таки, случаев рамка или пакет с коррупцией можно объяснить физический уровень проблем, таких, как вмешательство и низким сигнала.

Теперь вы можете легко признаем, многие из заперта признаки нападения от предыдущих случае список. Например, кадры с часто модификация MAC- адреса и ESSIDs являются хорошим свидетельством кто-то использованием FakeAP. Кроме того, есть путь к лобовым закрытые ESSIDs помощью двух клиентов PCMCIA карты и Велленрайтер. Мы не описал его в разделе атак, потому что мы никогда не пробовал его, и с помощью essid_jack или dinject гораздо более эффективным и экономит ресурсы. Такая грубая - принуждение нападения генерирует кадры с изменением ESSIDs и MAC- адреса (Велленрайтер пути скрыть атакующего карточку продавца и личности). Частые запросы зонд можно указать, что кто-то использует Netstumbler или Ministumbler и хостов неожиданно меняют свои операции канал может флага из возможного человека - в середине - в нападении.

Многие из изложенных событий можно результате пользователь misbehavior вместо запланированных вредоносные атаки. Пользователи могут плагина в несанкционированных беспроводных устройств или использования вмешательства - создать приборы (Bluetooth, беспроводные камеры, беспроводных телефонов). Они могут подключаться к ЗС без благоприятных WEP / TKIP, если она позволяет А.П. (большая ошибка на стороне администратора) или пропустить / не допустить его обновления микропрограммы ( "если оно работает, не исправить"), в результате чего Ваш 802.11i основе безопасности развертывания усилия бесполезны. Любая система, или сетевой администратор знает, как недисциплинированного и отвратительной некоторых пользователей может быть.