Wireless Attacks Detection Techniques
Bây giờ chúng ta chuyển trọng tâm của chúng tôi đối với các cuộc tấn công không dây kỹ thuật phát hiện và tìm kiếm
vào những gì nên được tại chỗ để đủ phát hiện tất cả những điều trên
loại được đề cập trong các cuộc tấn công.
Access Point Giám sát
Điều này thường sẽ kéo theo những chủ sở hữu của các mạng không dây có một danh sách các
thiết bị AP được ủy quyền với tương ứng SSID, địa chỉ MAC, kênh của họ
thông tin ghi xuống như một đường cơ sở. Các thành phần giám sát sau đó sẽ
nghe khung dây (đèn hiệu, phản ứng đầu dò và xác thực /
khung hiệp hội vv) gửi ra bởi tất cả các AP của nó và so sánh các thông tin để
các thông tin trước khi ghi. Các thiết bị giám sát nên lắng nghe tất cả có thể
kênh và ghi lại tất cả các gói cho kỹ thuật này có hiệu quả.
Trong trường hợp của một Man-in-the-middle tấn công, một thành phần như vậy sẽ phát hiện rằng
có một đời đột ngột của một AP trên một kênh khác trước đây không
hiện tại. Mặc dù các SSID, địa chỉ MAC có thể bị giả mạo bởi những kẻ tấn công trong
Quá trình thiết lập các AP rouge, kênh trong đó AP chính hãng là
hoạt động từ đã được thay đổi cung cấp một cảnh báo về một cuộc tấn công MITM có thể.
Giám sát khách hàng không dây
Không giống như các AP, nó sẽ không thể có một danh sách các thông tin khách hàng "cho phép"
cơ bản mà không phát sinh rất nhiều toàn bộ các chi phí hành chính, tuy nhiên
một số khía cạnh của các máy khách không dây có thể được theo dõi
Thứ nhất, chủ sở hữu có thể giữ một "danh sách đen" của khách hàng không dây đó sẽ là
kiểm tra đối với tất cả các máy khách kết nối, bất kỳ khách hàng trong danh sách này cố gắng truy cập
mạng sẽ được tự động bị từ chối và một cảnh báo gửi đi.
Thứ hai, tất cả các khách hàng không dây với một "bất hợp pháp" địa chỉ MAC (dãy địa chỉ MAC
chưa được phân bổ ra chưa) được tự động bị từ chối truy cập và một
cảnh báo gửi đi.
Thứ ba, khách hàng không dây mà chỉ cần gửi ra yêu cầu thăm dò hoặc khách hàng không dây
gửi các gói dữ liệu đặc biệt phân biệt sau khi yêu cầu thăm dò ban đầu (VD:
NetStumbler gửi ra một gói dữ liệu đặc biệt để thu hút nickname AP sau khi nó
nhận được một phản ứng thăm dò từ AP của nó, xem http://www.kismetwireless.net/cgibin/ezmlm-cgi?mss:366:eafojgdoalggkiopbclf
) Nhưng không liên kết /
xác thực trong một thời gian nhất định có thể được gắn cờ ra như tiềm năng
hoạt động phát hiện mạng.
Một lĩnh vực hơn, nơi giám sát có thể áp dụng là khi giao thông WEP là được
gửi / nhận, không phải được để tái sử dụng IV tương tự hơn và hơn nữa
trong một khoảng thời gian rất ngắn (chúng tôi đã nhìn thấy trước điều này khi chúng ta mô tả
sử dụng WepWedgie để tạo ra giao thông trên mạng kích hoạt WEP của bạn
mục đích của nứt khóa WEP của bạn)
Cuối cùng, đối với khách hàng không dây đã được chứng thực và được kết hợp,
trường số thứ tự trong tiêu đề IEEE 802.11 có thể được theo dõi cho bất ngờ
thay đổi. Thông thường khi các cuộc tấn công mạo danh đang được tiến hành, những kẻ tấn công sẽ
đưa vào các địa chỉ MAC / IP của nạn nhân, nhưng nó sẽ không thể tiếp tục với
số thứ tự sử dụng trước đó bởi các nạn nhân, do đó bằng cách theo dõi
số thứ tự trong các gói dữ liệu khách hàng tạo ra, impersonators tiềm năng
có thể được xác định.
Giám sát chung giao thông không dây
giao thông không dây có thể được theo dõi trong nỗ lực tràn ngập mạng sử dụng deauthentication,
de-hội, xác thực, hiệp hội, có sai sót
xác thực (như thực hiện bởi Fatajack).
Tần số và tín hiệu-To-Noise Ratio giám sát có thể giúp báo hiệu một sự đang tới
RF dựa trên DOS tấn công vào mạng không dây của bạn.
Thất bại trong xác thực cũng như Hiệp hội này cũng có thể được theo dõi và
báo cáo.
Wireless IDS
Chúng tôi sẽ xem xét một số ví dụ của IDS không dây, mã nguồn mở và đánh giá của họ
hiệu quả trong việc sử dụng các kỹ thuật phát hiện nêu trên.
snort-không dây
Snort-không dây là một hệ thống phát hiện xâm nhập không dây chuyển thể từ snort
IDS động cơ. Lưu trữ tại http://www.snort-wireless.org/, nó thông qua các cú pháp tương tự
khi nói đến văn bản quy tắc snort-không dây như IDS Snort nổi tiếng.
Thay thế địa chỉ IP nguồn và đích trong các quy tắc snort bình thường với
địa chỉ MAC nguồn và đích, người ta có thể viết các quy tắc snort-không dây
phát hiện lưu lượng không dây như người ta sẽ phát hiện các cuộc tấn công lớp IP.
Tại thời điểm này, có khá nhiều mặt hàng phải làm theo sự phát triển trong tương lai.
Các mục được yêu cầu (như được nhấn mạnh trong phần trước) để có hiệu quả
có thể giải quyết một số những mối đe dọa phổ biến trong thế giới không dây.
WIDZ
Đây IDS không dây được xây dựng bởi Loud Fat Bloke (Mark Osborne). lưu trữ tại
http://www.loud-fat-bloke.co.uk/tools.html. Các phiên bản tại thời điểm viết bài này
là 1,8. Nó có các thành phần sau:
a. Trái phép AP màn hình - trách nhiệm phát hiện giả mạo & rouge AP
bằng cách kiểm tra một AP kết quả quét với một tập tin cơ sở của tất cả các AP có thẩm quyền.
b. màn 802.11 giao thông - bao gồm giám sát thăm dò / lũ cũng như MAC
và ESSID danh sách đen và danh sách trắng.
Mặc dù quyết các lĩnh vực, vẫn có nhiều lĩnh vực xâm nhập không dây
kỹ thuật phát hiện không được giải quyết tại phiên bản này.
AirIDS
AirIDS là một hệ thống phát hiện xâm nhập không dây được lưu trữ tại
http://www.internetcomealive.com/clients/airids/general.php. Nó trình bày một
số khía cạnh thú vị để IDS không dây. Trước hết, giống như bất kỳ IDS khác, một
quy tắc mạnh mẽ và mạnh mẽ nộp khiển lọc, đó là người dùng định nghĩa. Ngoài ra, nó là
thể giả mạo khung để cung cấp không chỉ phát hiện nhưng hoạt động phòng thủ
chống 802.11 hoạt động độc hại (b).
Phần kết luận
Tổng hợp tất cả lên, công nghệ không dây đã trưởng thành đến một giai đoạn mà nó có
trở thành triển khai rất phổ biến. các cuộc tấn công không dây cũng đang phát triển như
các tiêu chuẩn an ninh đã tiến hóa. công cụ phát hiện xâm nhập hiện tại đã không trưởng thành để
một giai đoạn mà phát hiện là đủ tin cậy.
Bài viết này có vẻ chủ yếu ở lớp 1 và lớp 2 loại tấn công cho mạng LAN không dây,
nhưng một khi đã có sự vi phạm, những kẻ tấn công sau đó sẽ áp dụng nhiều loại truyền thống của cuộc tấn công
chiến lược để tấn công các giao thức lớp cao hơn và các ứng dụng. Như vậy hậu vệ
ought để nhìn vào phòng thủ trong chiến lược sâu khác hơn là chỉ tập trung của họ
nỗ lực trong các lớp phòng thủ 1 & 2 loại.
Khi chuẩn 802.11i đang được hoàn thiện và tung ra các sản phẩm nhà cung cấp, chúng tôi
có thể mong đợi nhiều hơn các cuộc tấn công di chuyển theo hướng xác thực cũng như các
công nghệ mã hóa được triển khai trong các tiêu chuẩn mới.
Trong khi đó, các doanh nghiệp tìm kiếm để triển khai các công nghệ không dây cho
bất cứ lý do nên nhận biết các tiêu chuẩn hiện hành, phần mềm và phần cứng
phát hành để giảm thiểu tốt hơn các rủi ro do về những không dây
triển khai.
https://www.sans.org/reading-room/whitepapers/detection/understanding-wireless-attacks-detection-1633
vào những gì nên được tại chỗ để đủ phát hiện tất cả những điều trên
loại được đề cập trong các cuộc tấn công.
Access Point Giám sát
Điều này thường sẽ kéo theo những chủ sở hữu của các mạng không dây có một danh sách các
thiết bị AP được ủy quyền với tương ứng SSID, địa chỉ MAC, kênh của họ
thông tin ghi xuống như một đường cơ sở. Các thành phần giám sát sau đó sẽ
nghe khung dây (đèn hiệu, phản ứng đầu dò và xác thực /
khung hiệp hội vv) gửi ra bởi tất cả các AP của nó và so sánh các thông tin để
các thông tin trước khi ghi. Các thiết bị giám sát nên lắng nghe tất cả có thể
kênh và ghi lại tất cả các gói cho kỹ thuật này có hiệu quả.
Trong trường hợp của một Man-in-the-middle tấn công, một thành phần như vậy sẽ phát hiện rằng
có một đời đột ngột của một AP trên một kênh khác trước đây không
hiện tại. Mặc dù các SSID, địa chỉ MAC có thể bị giả mạo bởi những kẻ tấn công trong
Quá trình thiết lập các AP rouge, kênh trong đó AP chính hãng là
hoạt động từ đã được thay đổi cung cấp một cảnh báo về một cuộc tấn công MITM có thể.
Giám sát khách hàng không dây
Không giống như các AP, nó sẽ không thể có một danh sách các thông tin khách hàng "cho phép"
cơ bản mà không phát sinh rất nhiều toàn bộ các chi phí hành chính, tuy nhiên
một số khía cạnh của các máy khách không dây có thể được theo dõi
Thứ nhất, chủ sở hữu có thể giữ một "danh sách đen" của khách hàng không dây đó sẽ là
kiểm tra đối với tất cả các máy khách kết nối, bất kỳ khách hàng trong danh sách này cố gắng truy cập
mạng sẽ được tự động bị từ chối và một cảnh báo gửi đi.
Thứ hai, tất cả các khách hàng không dây với một "bất hợp pháp" địa chỉ MAC (dãy địa chỉ MAC
chưa được phân bổ ra chưa) được tự động bị từ chối truy cập và một
cảnh báo gửi đi.
Thứ ba, khách hàng không dây mà chỉ cần gửi ra yêu cầu thăm dò hoặc khách hàng không dây
gửi các gói dữ liệu đặc biệt phân biệt sau khi yêu cầu thăm dò ban đầu (VD:
NetStumbler gửi ra một gói dữ liệu đặc biệt để thu hút nickname AP sau khi nó
nhận được một phản ứng thăm dò từ AP của nó, xem http://www.kismetwireless.net/cgibin/ezmlm-cgi?mss:366:eafojgdoalggkiopbclf
) Nhưng không liên kết /
xác thực trong một thời gian nhất định có thể được gắn cờ ra như tiềm năng
hoạt động phát hiện mạng.
Một lĩnh vực hơn, nơi giám sát có thể áp dụng là khi giao thông WEP là được
gửi / nhận, không phải được để tái sử dụng IV tương tự hơn và hơn nữa
trong một khoảng thời gian rất ngắn (chúng tôi đã nhìn thấy trước điều này khi chúng ta mô tả
sử dụng WepWedgie để tạo ra giao thông trên mạng kích hoạt WEP của bạn
mục đích của nứt khóa WEP của bạn)
Cuối cùng, đối với khách hàng không dây đã được chứng thực và được kết hợp,
trường số thứ tự trong tiêu đề IEEE 802.11 có thể được theo dõi cho bất ngờ
thay đổi. Thông thường khi các cuộc tấn công mạo danh đang được tiến hành, những kẻ tấn công sẽ
đưa vào các địa chỉ MAC / IP của nạn nhân, nhưng nó sẽ không thể tiếp tục với
số thứ tự sử dụng trước đó bởi các nạn nhân, do đó bằng cách theo dõi
số thứ tự trong các gói dữ liệu khách hàng tạo ra, impersonators tiềm năng
có thể được xác định.
Giám sát chung giao thông không dây
giao thông không dây có thể được theo dõi trong nỗ lực tràn ngập mạng sử dụng deauthentication,
de-hội, xác thực, hiệp hội, có sai sót
xác thực (như thực hiện bởi Fatajack).
Tần số và tín hiệu-To-Noise Ratio giám sát có thể giúp báo hiệu một sự đang tới
RF dựa trên DOS tấn công vào mạng không dây của bạn.
Thất bại trong xác thực cũng như Hiệp hội này cũng có thể được theo dõi và
báo cáo.
Wireless IDS
Chúng tôi sẽ xem xét một số ví dụ của IDS không dây, mã nguồn mở và đánh giá của họ
hiệu quả trong việc sử dụng các kỹ thuật phát hiện nêu trên.
snort-không dây
Snort-không dây là một hệ thống phát hiện xâm nhập không dây chuyển thể từ snort
IDS động cơ. Lưu trữ tại http://www.snort-wireless.org/, nó thông qua các cú pháp tương tự
khi nói đến văn bản quy tắc snort-không dây như IDS Snort nổi tiếng.
Thay thế địa chỉ IP nguồn và đích trong các quy tắc snort bình thường với
địa chỉ MAC nguồn và đích, người ta có thể viết các quy tắc snort-không dây
phát hiện lưu lượng không dây như người ta sẽ phát hiện các cuộc tấn công lớp IP.
Tại thời điểm này, có khá nhiều mặt hàng phải làm theo sự phát triển trong tương lai.
Các mục được yêu cầu (như được nhấn mạnh trong phần trước) để có hiệu quả
có thể giải quyết một số những mối đe dọa phổ biến trong thế giới không dây.
WIDZ
Đây IDS không dây được xây dựng bởi Loud Fat Bloke (Mark Osborne). lưu trữ tại
http://www.loud-fat-bloke.co.uk/tools.html. Các phiên bản tại thời điểm viết bài này
là 1,8. Nó có các thành phần sau:
a. Trái phép AP màn hình - trách nhiệm phát hiện giả mạo & rouge AP
bằng cách kiểm tra một AP kết quả quét với một tập tin cơ sở của tất cả các AP có thẩm quyền.
b. màn 802.11 giao thông - bao gồm giám sát thăm dò / lũ cũng như MAC
và ESSID danh sách đen và danh sách trắng.
Mặc dù quyết các lĩnh vực, vẫn có nhiều lĩnh vực xâm nhập không dây
kỹ thuật phát hiện không được giải quyết tại phiên bản này.
AirIDS
AirIDS là một hệ thống phát hiện xâm nhập không dây được lưu trữ tại
http://www.internetcomealive.com/clients/airids/general.php. Nó trình bày một
số khía cạnh thú vị để IDS không dây. Trước hết, giống như bất kỳ IDS khác, một
quy tắc mạnh mẽ và mạnh mẽ nộp khiển lọc, đó là người dùng định nghĩa. Ngoài ra, nó là
thể giả mạo khung để cung cấp không chỉ phát hiện nhưng hoạt động phòng thủ
chống 802.11 hoạt động độc hại (b).
Phần kết luận
Tổng hợp tất cả lên, công nghệ không dây đã trưởng thành đến một giai đoạn mà nó có
trở thành triển khai rất phổ biến. các cuộc tấn công không dây cũng đang phát triển như
các tiêu chuẩn an ninh đã tiến hóa. công cụ phát hiện xâm nhập hiện tại đã không trưởng thành để
một giai đoạn mà phát hiện là đủ tin cậy.
Bài viết này có vẻ chủ yếu ở lớp 1 và lớp 2 loại tấn công cho mạng LAN không dây,
nhưng một khi đã có sự vi phạm, những kẻ tấn công sau đó sẽ áp dụng nhiều loại truyền thống của cuộc tấn công
chiến lược để tấn công các giao thức lớp cao hơn và các ứng dụng. Như vậy hậu vệ
ought để nhìn vào phòng thủ trong chiến lược sâu khác hơn là chỉ tập trung của họ
nỗ lực trong các lớp phòng thủ 1 & 2 loại.
Khi chuẩn 802.11i đang được hoàn thiện và tung ra các sản phẩm nhà cung cấp, chúng tôi
có thể mong đợi nhiều hơn các cuộc tấn công di chuyển theo hướng xác thực cũng như các
công nghệ mã hóa được triển khai trong các tiêu chuẩn mới.
Trong khi đó, các doanh nghiệp tìm kiếm để triển khai các công nghệ không dây cho
bất cứ lý do nên nhận biết các tiêu chuẩn hiện hành, phần mềm và phần cứng
phát hành để giảm thiểu tốt hơn các rủi ro do về những không dây
triển khai.
https://www.sans.org/reading-room/whitepapers/detection/understanding-wireless-attacks-detection-1633
Comments
Post a Comment