CN110831009A - 一种无线ap防无线dos攻击的测试方法及测试系统 - Google Patents

一种无线ap防无线dos攻击的测试方法及测试系统 Download PDF

Info

Publication number
CN110831009A
CN110831009A CN201911111218.3A CN201911111218A CN110831009A CN 110831009 A CN110831009 A CN 110831009A CN 201911111218 A CN201911111218 A CN 201911111218A CN 110831009 A CN110831009 A CN 110831009A
Authority
CN
China
Prior art keywords
wireless
attack
client
legal
dos
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911111218.3A
Other languages
English (en)
Other versions
CN110831009B (zh
Inventor
曲满德
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SHENZHEN JIXIANG TENDA TECHNOLOGY Co Ltd
Original Assignee
SHENZHEN JIXIANG TENDA TECHNOLOGY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SHENZHEN JIXIANG TENDA TECHNOLOGY Co Ltd filed Critical SHENZHEN JIXIANG TENDA TECHNOLOGY Co Ltd
Priority to CN201911111218.3A priority Critical patent/CN110831009B/zh
Publication of CN110831009A publication Critical patent/CN110831009A/zh
Application granted granted Critical
Publication of CN110831009B publication Critical patent/CN110831009B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明提供一种无线AP防无线DOS攻击的测试方法及测试系统,属于无线通信技术领域。本发明测试方法如下步骤:构建无线DOS攻击环境,所述无线DOS攻击环境包括待测试的无线AP、合法无线客户端和非法攻击客户端,所述合法无线客户端和非法攻击客户端均与所述无线AP无线连接;对待测无线AP的无线网络进行攻击:所述非法攻击客户端向所述待测AP发送伪造的客户端请求或向合法无线客户端发送伪造的验证失败数据包;无线AP与合法无线客户端之间的连接断开;根据无线AP处理时间评估无线AP对无线DOS攻击的响应能力。本发明的有益效果为:测试AP端的对攻击的响应能力。

Description

一种无线AP防无线DOS攻击的测试方法及测试系统
技术领域
本发明涉及无线通信技术领域,尤其涉及一种无线AP防无线DOS攻击的测试方法及测试系统。
背景技术
DoS,全称为Denial of Services,即拒绝服务攻击,该攻击方式以阻塞正常网络宽带、耗尽服务器内存资源、干扰及破坏正常通信为主。在传统的有线网络中,DoS已成为攻击者进行恶意破坏大型网站通信、破坏企业公众信誉形象、勒索讹诈公司资产的极具威胁性的途径。目前主要的应用在有线领域,主要进行分布式拒绝服务(DDoS)攻击和防御,无线领域目前缺少DOS攻击的相应的方法和环境,主线攻击大多数采用的还是在已经连接无线后的,使用ICMP等报文进行的DDOS攻击。当前DOS攻击技术,基本上都是针对有线网络的,缺少无线DDOS相应的环境和方法,尤其是无线连接过程中的DDOS攻击。针对无线的特殊性,在连接过程的DOS攻击是没有环境和方法进行测试的。
发明内容
为解决现有技术中的问题,本发明提供一种无线AP防无线DOS攻击的测试方法及测试系统,构造攻击对连接过程中进行无线DOS,测试无线接入点在于无线客户端连接的过程中对攻击的响应能力。
本发明的测试方法包括如下步骤:
S1:构建无线DOS攻击环境,所述无线DOS攻击环境包括待测试的无线AP、合法无线客户端和非法攻击客户端,所述合法无线客户端和非法攻击客户端均与所述无线AP无线连接,DOS为拒绝服务攻击;
S2:对待测无线AP的无线网络进行攻击:所述非法攻击客户端向所述待测AP发送伪造的客户端请求或向合法无线客户端发送伪造的验证失败数据包;
S3:无线AP与合法无线客户端之间的连接断开;
S4:根据无线AP处理时间评估无线AP对无线DOS攻击的响应能力。
S5:当无线网络受到攻击出现不稳定状况时,捕获无线网络中的传输报文;
S6:通过传输报文,识别相应的无线DOS攻击。
本发明作进一步改进,步骤S6中,通过跟踪客户端验证情况和连接状况识别相应的无线DOS攻击。
本发明作进一步改进,步骤S2中,DOS攻击的种类包括身份验证洪水攻击和身份验证失败攻击。
本发明作进一步改进,当所述DOS攻击为身份验证洪水攻击时,所述非法攻击客户端向无线AP发送伪造的超出无线AP负荷的数量的客户端验证请求,当大量的客户端验证请求导致无线AP失去能力时,无线AP强制断开已连接的合法无线客户端。
本发明作进一步改进,当所述DOS攻击为身份验证失败攻击时,所述非法攻击客户端向无线AP和合法无线客户端的通信中注入无效的验证请求,无线AP收到后,判定该验证请求无效,强制断开已连接的合法无线客户端。
本发明作进一步改进,当所述DOS攻击为身份验证失败攻击时,所述非法攻击客户端发送设有特定标注的验证失败数据包给合法无线客户端,通过伪造AP源MAC地址的方法,使得合法无线客户端认为验证失败数据包是由真实源无线AP发出,合法无线客户端从已连接的无线网络中断开。
本发明还提供一种实现所述测试方法的测试系统,其特征在于,包括:待测试的无线AP、若干个合法无线客户端、非法攻击客户端,所述合法无线客户端和非法攻击客户端均与所述无线AP无线连接,其中,
所述待测试的无线AP:用于响应无线DOS攻击,并根据攻击情况断开与合法无线客户端的连接,所述DOS为拒绝服务攻击;
合法无线客户端:用于通过无线网络与待测的无线AP网络连接;
非法攻击客户端:用于对待测无线AP的无线网络进行攻击,所述非法攻击客户端向所述待测AP发送伪造的客户端请求或向合法无线客户端发送伪造的验证失败数据包,。
本发明作进一步改进,还包括与待测AP内网连接的数据分析服务器,所述数据分析服务器用于在无线网络受到攻击出现不稳定状况时,捕获无线网络中的传输报文,并通过传输报文,识别相应的无线DOS攻击。
本发明作进一步改进,所述数据分析服务器通过跟踪客户端验证情况和连接状况识别相应的无线DOS攻击。
与现有技术相比,本发明的有益效果是:实现连接过程中的攻击,旨在测试AP端的对攻击的响应能力;能够帮助无线管理人员识别相应的拒绝服务攻击,更好的进行网络维护,提高无线网络安全性。
附图说明
图1为本发明方法流程图;
图2为本发明测试系统结构图;
图3为抓取的身份验证洪水攻击数据报文列表;
图4为根据抓取的传输报文分析的大量伪造的无线客户端示意图。
具体实施方式
下面结合附图和实施例对本发明做进一步详细说明。
如图1所示,本发明的测试方法包括如下步骤:
S1:构建无线DOS攻击环境,所述无线DOS攻击环境包括待测试的无线AP、合法无线客户端和非法攻击客户端,所述合法无线客户端和非法攻击客户端均与所述无线AP无线连接,DOS为拒绝服务攻击;
S2:对待测无线AP的无线网络进行攻击:所述非法攻击客户端向所述待测AP发送伪造的客户端请求或向合法无线客户端发送伪造的验证失败数据包;
S3:无线AP与合法无线客户端之间的连接断开;
S4:根据无线AP处理时间评估无线AP对无线DOS攻击的响应能力。
本发明通过该测试环境的搭建,实现了无线连接过程的DOS攻击。通过构造身份验证攻击、身份验证失败攻击两种场景,实现连接过程中的攻击,旨在测试AP端的对工具的响应能力。
此外,本例还可以指导网络维护者,具体实施方法为:
步骤S5:当无线网络受到攻击出现不稳定状况时,应立即对无线网络传输报文进行数据包捕获;
步骤S6:通过跟踪客户端验证情况和连接状况可以帮助无线管理人员识别相应的拒绝服务攻击。
步骤S1中,主要涉及两种无线DOS攻击的场景,以下对其详细说明。
一、身份验证洪水攻击
1、关于连接的验证
在无线网络环境下,无线客户端都需要通过一个验证来实现连接无线接入点。
无线AP的验证可采用开放式秘钥验证或者共享秘钥验证两种方式。一个工作站可以同时与多个AP进行连接验证,但在实际连接时,同一时刻一般还只是通过一个AP进行的。
2、身份验证攻击原理
一般来说,所有无线客户端的连接请求都会被AP记录在连接表中。当连接数量超过AP所能提供的许可范围时,AP就会拒绝其他客户端发起的连接请求。
如图2所示,Authentication Flood Attack(身份验证洪水攻击)是拒绝服务攻击的一种形式,本例首先搭建无线DOS攻击环境,将无线AP和合法无线客户端建立无线连接(步骤1),然后,非法攻击客户端向无线AP发送大量伪造的身份验证请求帧,包括伪造的身份验证服务和状态码(步骤2)。当收到大量伪造的身份验证请求超过无线AP所能承受的能力时,无线AP将强制断开其他无线服务连接(步骤3、4)。
3、身份验证攻击实现及效果
为了进行验证本发明的洪水攻击,本例的非法攻击客户端会先使用一些看起来合法但其实是随机生成的MAC地址来伪造工作站,然后,就可以发送大量的虚假连接请求到无线AP。对无线AP进行持续且猛烈的虚假连接请求,最终会导致无线接入点的连接列表出现错误,合法用户的正常连接也会被破坏。在本发明的非法攻击客户端的界面上,可以看到该客户端伪造了大量不存在的客户端MAC地址来对目标AP进行连接验证。
本例在出现攻击行为后,无线网络出现不稳定状况时,使用与无线AP内网连接的数据分析服务器上的抓包工具Omnipeek抓包的结果分析,可以清晰地看到大量802.11Authentication数据报文出现,如图3所示。
当攻击进行时,已经连接的无线客户端会明显受到影响,出现断网频繁、反复重新验证无法通过等情况。通过分析无线AP的断网时间等可以分析该无线AP对攻击的响应能力。
二、身份验证失败攻击
1、身份验证失败攻击
身份验证失败攻击也是拒绝服务攻击的一种形式,本例搭建无线DOS攻击环境同上。
本例的处理方法为:
将无线AP和合法无线客户端建立无线连接(步骤1),非法攻击客户端向无线AP发送欺骗的无线身份验证请求帧,包括错误的身份验证服务和状态代码(步骤2)。无线AP收到无线身份验证请求时,AP将客户端更新工作状态(步骤3),强制断开其无线服务连接(步骤4)。
可以看到,攻击者通过在客户端与AP通信中注入无效的验证请求,来诱使无线AP与客户端中断连接。
本发明可以伪造已经连接合法无线客户端的MAC地址来发送验证失败数据包到无线AP。此时,无线AP会认为该无线的验证请求来自于之前连接的无线客户端,从而放弃对该客户端提供服务。通过数据分析服务器上的抓包工具Omnipeek分析可看到大量伪造的无线客户端,如图4所示。
本例中,所述非法攻击客户端还可以发送设有特定标注的验证失败数据包给合法无线客户端,通过伪造AP源MAC地址的方法,使得合法无线客户端认为验证失败数据包是由真实源无线AP发出,合法无线客户端从已连接的无线网络中断开。
本发明填补了连接过程中攻击的空白,通过构造身份验证攻击、身份验证失败攻击两种场景,实现连接过程中的攻击,用于测试AP端的对攻击的响应能力。
以上所述之具体实施方式为本发明的较佳实施方式,并非以此限定本发明的具体实施范围,本发明的范围包括并不限于本具体实施方式,凡依照本发明所作的等效变化均在本发明的保护范围内。

Claims (10)

1.一种无线AP防无线DOS攻击的测试方法,其特征在于,包括如下步骤:
S1:构建无线DOS攻击环境,所述无线DOS攻击环境包括待测试的无线AP、合法无线客户端和非法攻击客户端,所述合法无线客户端和非法攻击客户端均与所述无线AP无线连接,DOS为拒绝服务攻击;
S2:对待测无线AP的无线网络进行攻击:所述非法攻击客户端向所述待测AP发送伪造的客户端请求或向合法无线客户端发送伪造的验证失败数据包;
S3:无线AP与合法无线客户端之间的连接断开;
S4:根据无线AP处理时间评估无线AP对无线DOS攻击的响应能力。
2.根据权利要求1所述的测试方法,其特征在于,还包括步骤:
S5:当无线网络受到攻击出现不稳定状况时,捕获无线网络中的传输报文;
S6:通过传输报文,识别相应的无线DOS攻击。
3.根据权利要求1所述的测试方法,其特征在于:步骤S6中,通过跟踪客户端验证情况和连接状况识别相应的无线DOS攻击。
4.根据权利要求1-3任一项所述的测试方法,其特征在于:步骤S2中,DOS攻击的种类包括身份验证洪水攻击和身份验证失败攻击。
5.根据权利要求4所述的测试方法,其特征在于:当所述DOS攻击为身份验证洪水攻击时,所述非法攻击客户端向无线AP发送伪造的超出无线AP负荷的数量的客户端验证请求,当大量的客户端验证请求导致无线AP失去能力时,无线AP强制断开已连接的合法无线客户端。
6.根据权利要求4所述的测试方法,其特征在于:当所述DOS攻击为身份验证失败攻击时,所述非法攻击客户端向无线AP和合法无线客户端的通信中注入无效的验证请求,无线AP收到后,判定该验证请求无效,强制断开已连接的合法无线客户端。
7.根据权利要求4所述的测试方法,其特征在于:当所述DOS攻击为身份验证失败攻击时,所述非法攻击客户端发送设有特定标注的验证失败数据包给合法无线客户端,通过伪造AP源MAC地址的方法,使得合法无线客户端认为验证失败数据包是由真实源无线AP发出,合法无线客户端从已连接的无线网络中断开。
8.一种实现权利要求1-7任一项所述的测试方法的测试系统,其特征在于,包括:待测试的无线AP、若干个合法无线客户端、非法攻击客户端,所述合法无线客户端和非法攻击客户端均与所述无线AP无线连接,其中,
所述待测试的无线AP:用于响应无线DOS攻击,并根据攻击情况断开与合法无线客户端的连接,所述DOS为拒绝服务攻击;
合法无线客户端:用于通过无线网络与待测的无线AP网络连接;
非法攻击客户端:用于对待测无线AP的无线网络进行攻击,所述非法攻击客户端向所述待测AP发送伪造的客户端请求或向合法无线客户端发送伪造的验证失败数据包。
9.根据权利要求8所述的测试系统,其特征在于:还包括与待测AP内网连接的数据分析服务器,所述数据分析服务器用于在无线网络受到攻击出现不稳定状况时,捕获无线网络中的传输报文,并通过传输报文,识别相应的无线DOS攻击。
10.根据权利要求9所述的测试系统,其特征在于:所述数据分析服务器通过跟踪客户端验证情况和连接状况识别相应的无线DOS攻击。
CN201911111218.3A 2019-11-14 2019-11-14 一种无线ap防无线dos攻击的测试方法及测试系统 Active CN110831009B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911111218.3A CN110831009B (zh) 2019-11-14 2019-11-14 一种无线ap防无线dos攻击的测试方法及测试系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911111218.3A CN110831009B (zh) 2019-11-14 2019-11-14 一种无线ap防无线dos攻击的测试方法及测试系统

Publications (2)

Publication Number Publication Date
CN110831009A true CN110831009A (zh) 2020-02-21
CN110831009B CN110831009B (zh) 2023-08-11

Family

ID=69555010

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911111218.3A Active CN110831009B (zh) 2019-11-14 2019-11-14 一种无线ap防无线dos攻击的测试方法及测试系统

Country Status (1)

Country Link
CN (1) CN110831009B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112087752A (zh) * 2020-07-30 2020-12-15 中国信息安全测评中心 一种多无线终端数据监测方法及系统
CN112738808A (zh) * 2020-12-30 2021-04-30 北京邮电大学 无线网络中DDoS攻击检测方法、云服务器及移动终端

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102036248A (zh) * 2010-12-23 2011-04-27 北京星网锐捷网络技术有限公司 拒绝服务攻击防御方法、系统、无线接入点及无线控制器
US20150079921A1 (en) * 2004-05-27 2015-03-19 Richard G. Johnson Synthesized Interoperable Communications
US20150207815A1 (en) * 2014-01-17 2015-07-23 F5 Networks, Inc. Systems and methods for network destination based flood attack mitigation
CN107197456A (zh) * 2017-06-16 2017-09-22 中国海洋大学 一种基于客户端的识别伪ap的检测方法及检测装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150079921A1 (en) * 2004-05-27 2015-03-19 Richard G. Johnson Synthesized Interoperable Communications
CN102036248A (zh) * 2010-12-23 2011-04-27 北京星网锐捷网络技术有限公司 拒绝服务攻击防御方法、系统、无线接入点及无线控制器
US20150207815A1 (en) * 2014-01-17 2015-07-23 F5 Networks, Inc. Systems and methods for network destination based flood attack mitigation
CN107197456A (zh) * 2017-06-16 2017-09-22 中国海洋大学 一种基于客户端的识别伪ap的检测方法及检测装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
黄波: ""基于连接验证的无线局域网Authentication Flood攻击实现与检测"", 《网络空间安全》 *
黄波: ""无线局域网Deauthentication Flood攻击实现与检测"", 《警察技术》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112087752A (zh) * 2020-07-30 2020-12-15 中国信息安全测评中心 一种多无线终端数据监测方法及系统
CN112087752B (zh) * 2020-07-30 2022-07-29 中国信息安全测评中心 一种多无线终端数据监测方法及系统
CN112738808A (zh) * 2020-12-30 2021-04-30 北京邮电大学 无线网络中DDoS攻击检测方法、云服务器及移动终端

Also Published As

Publication number Publication date
CN110831009B (zh) 2023-08-11

Similar Documents

Publication Publication Date Title
CN101594269B (zh) 一种异常连接的检测方法、装置及网关设备
CN101180826B (zh) 较高级协议认证
KR100628325B1 (ko) 무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지센서 및 무선 네트워크 침입 탐지 시스템 및 방법
CN101136922B (zh) 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统
US20200045073A1 (en) Test system and method for identifying security vulnerabilities of a device under test
EP1775910A1 (en) Application layer ingress filtering
EP2448211B1 (en) Method, system and equipment for detecting botnets
EP2677793A1 (en) Method and device for countering fingerprint forgery attacks in a communication system
CN107438074A (zh) 一种DDoS攻击的防护方法及装置
CN108881233B (zh) 防攻击处理方法、装置、设备及存储介质
CN110266650B (zh) Conpot工控蜜罐的识别方法
CN102026199B (zh) 一种WiMAX系统及其防御DDoS攻击的装置和方法
CN104883360A (zh) 一种arp欺骗的细粒度检测方法及系统
CN110831009B (zh) 一种无线ap防无线dos攻击的测试方法及测试系统
CN111092900A (zh) 服务器异常连接和扫描行为的监控方法和装置
Schepers et al. On the robustness of Wi-Fi deauthentication countermeasures
CN106357666A (zh) 一种syn flood攻击的清洗方法及系统
CN106487790A (zh) 一种ack flood攻击的清洗方法及系统
Singh et al. Analysis of Botnet behavior using Queuing theory
CN110753014B (zh) 基于流量转发的威胁感知方法、设备、装置及存储介质
Lovinger et al. Detection of wireless fake access points
CN101795277B (zh) 一种单向流检测模式下的流量检测方法和设备
Al-Duwairi et al. Distributed packet pairing for reflector based DDoS attack mitigation
Zhong et al. Research on DDoS Attacks in IPv6
CN111585972B (zh) 面向网闸的安全防护方法、装置及网络系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant