不審なイベントの上にwlan


  Share  
|


一度、十分な数のネットワークの挙動の統計情報が収集し、適切なidの無線を始めることができ、不審なイベントを探して悪意ある攻撃の可能性を示した。 これらのイベントに見られるかもしれませんが存在は、ある特定のフレームタイプ、フレーム伝送の頻度、フレーム構造やシーケンス番号の異常、交通流ずれ、および予期しない周波数を使用します。 イベントのカテゴリに分類してみよう無線品質のidを検出することができなければならないとの警告を発行する。

1のrf /物理層のイベント

  • トランスミッタその地域に追加します。

  • チャネルで使用されません。 wlan内で使用して保護されます。

  • 重複するチャンネルがあります。

  • 突然の営業チャネルに変更され、 1つまたは複数のワイヤレスデバイスの監視します。

  • 損失の信号品質、高レベルの騒音、または低snrます。

これらのイベントやネットワークの接続問題があることを示し、重度のネットワークmisconfiguration 、ならず者デバイスの配置は、意図的な妨害、およびレイヤ1およびレイヤ2人の真ん中で攻撃します。

2管理/コントロールフレームイベント

  • 現在のネットワークで、通常のフレームの頻度増加します。

  • フレームのサイズは珍しいです。

  • 未知のフレームタイプです。

  • 不完全な、壊れている場合、または不正な形式のフレームにします。

  • 洪水のdeassociate / deauthenticateフレームします。

  • 頻繁に再フレームをせずにネットワークのローミングを有効にします。

  • フレームの順序が狂っています。

  • プローブを頻繁に要求します。

  • フレームにessids違うにwlan essidをします。

  • フレームにessidを放送( "任意"を参照) 。

  • フレームに頻繁にまたはランダムに変更essidsます。

  • フレームにessidsまたはその他の分野では特定の侵入の典型的なツールです。

  • macアドレスのフレームに含まれていないのaclます。

  • フレームにmacアドレスを重複します。

  • フレームを頻繁に変更またはmacアドレスをランダムにします。

これらのイベントにミスやネットワーク接続に関する問題を示すことができ、強力な干渉のrf 、 wardriversを使って積極的なスキャン用ツールの分野では、 macアドレスの偽装してwlanでは、未承諾のwlanクライアントに接続して、しらみつぶしに攻撃しようとしたり推測essidを閉鎖する、または複数の高度な攻撃を制御および管理フレームの変換を開始するレイヤー2の中に人間の真ん中またはdos攻撃します。

3 802.1x/eapフレームイベント

  • 不完全な、壊れている場合、または不正な802.1 xをフレームにします。

  • フレームに実装されません。 eapタイプにwlanます。

  • 複数のリクエストとレスポンスフレームeapの認証します。

  • eapの複数のフレームに失敗しました。

  • ログオフフレームの洪水のeap eapの開始日とします。

  • eapの異常な大きさのフレーム( "のeapの死"を参照) 。

  • eapの小さいサイズのフレームの断片化します。

  • eapのフレームの長さが悪いの認証します。

  • eapの悪いフレームに認証します。

  • eapのフレームに複数のmd5挑戦要求します。

  • eapのフレーム由来の不正authenticators (ならず者アクセスポイント)します。

  • 未完802.1x/eap認証プロセスです。

これらのイベントを示すことができバイパスしようとして802.1 xを認証スキームなど、気の利いたならず者802.1xのデバイスを配置してアクセス人でなし- dos攻撃強制または高度な認証メカニズムを無効にしています。 もちろん、その結果として生じることができ奇形802.1xのフレームのrf強い干渉やその他の層1問題があります。

4のwep関連のイベント

  • 現在の無線トラフィックの暗号化されます。

  • wepキー未知のトラフィックを暗号化しています。

  • トラフィックを暗号化して、さまざまな長さのwepキーをします。

  • 弱い静脈フレームします。

  • ivsフレームを繰り返すたびに一列にします。

  • 4変更ありませんします。

  • 後退してから元のwep tkipなど、より安全なソリューションです。

  • 失敗しましたwepキーを回転します。

これらのイベント重度のネットワークセキュリティ構成の誤りを示すことができ、不安定なレガシー機器使用中の場合、ユーザーのセキュリティポリシーに違反して、ならず者ワイヤレスデバイスの配置、トラフィックの注入または使用するツール( wepwedgie 、 reinj )高度なクラッカーされました。

5全般の接続/交通流イベント

  • 接続の損失が発生する。

  • 突然急増して帯域幅を消費します。

  • ネットワークスループット急激に低下します。

  • 突然の遅延の増加は、ポイントツーポイントのリンクします。

  • フラグメンテーションパケットレベルで増加した。

  • 頻繁に転送します。

これらのイベントを見つけなければプロンプトで、将来の正確な原因を調査して問題が検出された。 idの知的推論エンジンにリンクすることができなければならないこれらの問題を、さまざまなイベントのカテゴリは、部分的に自動化するための調査問題があります。

6その他のイベント

  • 関連しますが、認証されると、ホストします。

  • ネットワークレイヤの高い攻撃をトリガして"伝統的な" idを持ちます。

  • 未承諾アクセスポイントのトラフィックを管理します。

  • 重複したデータパケットを絶えずたり、繰り返しました。

  • 破損したデータパケットをデータリンク層チェックサム/マイクます。

  • 洪水のように複数の同時協会のネットワークを試みました。

これらのイベントを示すことができクラッカーの攻撃に成功したか失敗した場合は、ホストのセキュリティ設定を誤って、試みにアクセスしてアクセスポイントを再配置して、トラフィックを注入ツールを使用する、高度な攻撃に反対802.11が有効になってホスト、あるいはしようとして圧倒apのバッファに大量の接続から有線または無線側にあります。 また、任意のフレームまたはパケットの汚職事件に起因することができ物理層の問題など、信号強度と低干渉します。

簡単にできるようになりまし認識の多くは、証拠からの攻撃の兆候は、前のイベントをリストします。 たとえば、フレームにmacアドレスを頻繁に変更するとessidsは良い兆候を使用するfakeapます。 あるいは、そこはしらみつぶしに攻撃する方法を閉じessidsを使って2つのクライアントpcmciaカードとwellenreiterます。 説明してませんでしたので、私たちは決してセクションを攻撃しようとすること、および使用essid_jackまたはdinjectは、はるかに効率的な資源を保存します。 このような攻撃を強制人でなしのフレームを生成して変更するessidsとmacアドレス( wellenreiterの道を歩んで無名の攻撃のカードのベンダーとアイデンティティ)します。

多くのイベントを記載することができ、ユーザーの不正行為の結果というよりも悪意に満ちた攻撃を計画します。 ユーザーは、ワイヤレスデバイスのプラグが未承諾の干渉を作成したり、使用機器(ブルートゥース、ワイヤレスカメラ、コードレス電話)します。 彼らはapに接続することができずにwepを有効/ tkip apを許可した場合は(大きな過ちでは、管理者の側)またはミス/ファームウェアのアップグレードすることを避ける( "もしそれがうまくいったら、修正していない" )は、このように作りお客様の802.11ベースのセキュリティ無用の努力を展開します。 任意のシステムまたはネットワーク管理者にどのように手に負えないと知っているユーザーにいくつかの不愉快なことができます。

これは、記事に追加されkrelle xijao

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions