目前IDS攻击检测主要包括802.11报文泛洪攻击检测、AP Spoof检测以及Weak IV检测。
为了及时发现WLAN网络中的恶意或者无意的攻击,我们通过记录信息或者发送日志信息的方式通知网络管理者。
1. 泛洪攻击检测
泛洪攻击(Flooding攻击)是指WLAN设备会在短时间内接收了大量的同种类型的报文。此时WLAN设备会被泛洪的攻击报文淹没而无法处理真正的无线终端的报文。
IDS攻击检测通过持续的监控每台设备的流量大小来预防这种泛洪攻击。当流量超出可容忍的上限时,该设备将被认为要在网络内泛洪从而被锁定,此时如果使能了动态黑名单,检查到的攻击设备将被加入动态黑名单。
IDS支持下列报文的泛洪攻击检测。
- 认证请求/解除认证请求(Authentication / De-authentication);
- 关联请求/解除关联请求/重新关联请求(Association / Disassociation / Reassociation);
- 探查请求(Probe request);
- 空数据帧;
- Action帧;
2. Weak IV攻击检测
在使用WEP加密的时候,对于每一个报文都会使用初始化向量(IV,Initialization Vector),IV和Key一起作为输入来生成Key Stream,使相同密钥产生不同加密结果。当一个WEP报文被发送时,用于加密报文的IV也作为报文头的一部分被发送。如果客户端使用不安全的方法生成IV,例如始终使用固定的IV,就可能会暴露共享的密钥,如果潜在的攻击者获得了共享的密钥,攻击者将能够控制网络资源。
检测IDS攻击可以通过识别每个WEP报文的IV来预防这种攻击,当一个有弱初始化向量的报文被检测到时,这个检测将立刻被记录到日志中。
3. Spoofing攻击检测
这种攻击的潜在攻击者将以其他设备的名义发送攻击报文。例如:一个欺骗的解除认证的报文会导致无线客户端下线。Spoofing攻击检测也支持对广播解除认证和广播解除关联报文进行检测。当接收到这种报文时将立刻被定义为欺骗攻击并被记录到日志中。
来源:https://www.cnblogs.com/elong2009/archive/2009/12/29/1635524.html