忆龙2009：检测IDS攻击的技术

 

      目前IDS攻击检测主要包括802.11报文泛洪攻击检测、AP Spoof检测以及Weak IV检测。     

      为了及时发现WLAN网络中的恶意或者无意的攻击，我们通过记录信息或者发送日志信息的方式通知网络管理者。

1. 泛洪攻击检测

      泛洪攻击（Flooding攻击）是指WLAN设备会在短时间内接收了大量的同种类型的报文。此时WLAN设备会被泛洪的攻击报文淹没而无法处理真正的无线终端的报文。

      IDS攻击检测通过持续的监控每台设备的流量大小来预防这种泛洪攻击。当流量超出可容忍的上限时，该设备将被认为要在网络内泛洪从而被锁定，此时如果使能了动态黑名单，检查到的攻击设备将被加入动态黑名单。

      IDS支持下列报文的泛洪攻击检测。

• 认证请求/解除认证请求（Authentication / De-authentication）；
• 关联请求/解除关联请求/重新关联请求（Association / Disassociation / Reassociation）；
• 探查请求（Probe request）；
• 空数据帧；
• Action帧；

2. Weak IV攻击检测

      在使用WEP加密的时候，对于每一个报文都会使用初始化向量（IV，Initialization Vector），IV和Key一起作为输入来生成Key Stream，使相同密钥产生不同加密结果。当一个WEP报文被发送时，用于加密报文的IV也作为报文头的一部分被发送。如果客户端使用不安全的方法生成IV，例如始终使用固定的IV，就可能会暴露共享的密钥，如果潜在的攻击者获得了共享的密钥，攻击者将能够控制网络资源。

检测IDS攻击可以通过识别每个WEP报文的IV来预防这种攻击，当一个有弱初始化向量的报文被检测到时，这个检测将立刻被记录到日志中。

3. Spoofing攻击检测

      这种攻击的潜在攻击者将以其他设备的名义发送攻击报文。例如：一个欺骗的解除认证的报文会导致无线客户端下线。Spoofing攻击检测也支持对广播解除认证和广播解除关联报文进行检测。当接收到这种报文时将立刻被定义为欺骗攻击并被记录到日志中。