DIY编程器网

 找回密码
 注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

查看: 1304|回复: 0
打印 上一主题 下一主题

[待整理] 无线安全之基于射频的精确阻断技术

[复制链接]
跳转到指定楼层
楼主
发表于 2015-4-28 10:31:36 | 只看该作者 |只看大图 回帖奖励 |倒序浏览 |阅读模式
对于入侵防御设备而言,有效的通讯阻断方式作为抑制攻击的有效方式,是不可或缺的。在有线网络中,阻断多数由串行接入网络的网关设备来完成,阻断的方法主要通过丢弃数据报文来实现。在具体实现上,可以分为基于MAC地址的阻断、基于 IP 地址的阻断、基于端口的阻断以及基于连接/应用的阻断,或者是基于这几种阻断方式的组合。
           
          由于这几种阻断实现方式的区别,在阻断效果上也会有所差异。大体来说前两者,即基于MAC和IP的阻断,通常会阻断用户的所有网络流量,较为严格;而后两者,只是阻断某个用户的特定连接,该方式较为精确,可以更加灵活的满足客户的意图。
           
          此外,某些旁路接入的有线网络设备,会采取另外一些阻断方法,例如通过发送TCP Reset 报文来结束 TCP 连接,通过发送 ARP 欺骗报文来将数据报文重定向到某个不可达的目的,以及通过其他应用层控制报文来拆除连接,等等。
           
          综上,在有线网络中,串行阻断方式相对于旁路阻断是一种更为有效、可靠的方式,而旁路阻断则需要更多的学习、伪造、管理等较为复杂的过程,来保证阻 断的效果。但在另一方面,旁路阻断相对于串行阻断的优势在于,旁路阻断对于现有网络影响较小,在部署时,基本不需要修改网络拓扑;在工作时,由于通常不作 为业务转发的枢纽,或不参与承载业务,所以造成单点故障的可能性大为降低,这点往往使其更受网络管理人员的青睐。
           
          延伸到无线网络的阻断方式,由于目前 WLAN 网络通常为点对多点的架构,单纯从无线链路上考虑,是很难串行进去额外的设备的,因此串行阻断只能在有线网络侧考虑。但同时也面临另一个问题,如果仅在有 线侧阻断,此时,被阻断的无线设备实际已经接入了无线网络,在被阻断点之前的网络资源,理论上是都可以访问的,这存在较大的安全隐患。基于上述原因,启明 星辰无线安全引擎采用自主研发的基于射频的无线阻断技术,满足用户精准识别、可靠阻断的要求。
           
       

        通过有线设备阻断无线设备

       

        通过射频阻断无线设备

         

          射频阻断通常有两种方式,一种是射频干扰,通过长时间、大功率发送所在频段的干扰信号,来干扰无线设备的接收。其工作原理,通俗的讲,类似用高音喇叭对着人群播放,使得即使对面的人,也相互听不清对方说的话。由于采用在物理层进行干扰,因此这种实现方式较简单、可靠。
           
          但同时信号干扰方式也有一个比较大的缺点,即干扰效果与干扰器发出信号的场强正相关,即干扰信号场强越大,干扰效果越好,反之,则达不到理想效果。
           
          干扰器发出的信号场强需要远大于被干扰设备的信号场强,才能达到较好的阻断效果,但又不能违反国家电磁辐射相关规定,因此,通常干扰器的发射功率多≤1W,作用范围从几十平米至几百平米不等。
        另一种更为先进的阻断方式,是利用无线链路层或更上层协议的实现机制,其优势在于采用更智能的方式,以更小的代价(更少的发射时间、更小的发射功率),来达到精确阻断的目的。
           
          因为采用了与干扰器不同的工作原理,精确阻断设备可以用更低的发射功率来抑制无线设备的发射,从而达到与干扰器相同的工作效果,起到四两拨千斤的作 用。例如,阻断同等面积区域内的无线设备,精确阻断设备的发射功率只需干扰器的一半或更低,某些情况下,甚至只有干扰器发射功率的十分之一。
           
          另一方面,即使采用了如此低的发射功率,精确阻断设备也不总是处于发射状态。当其所工作的区域内,并没有出现需要阻断的对象时,设备仅仅处于监听状 态,对外完全不发射任何射频信号。而当需要被阻断的对象一旦出现,阻断设备及时开始有针对性的阻断动作,由于抑制了被阻断对象的发射功能,因此整个工作区 域内的信号场强不会有明显上升,甚至信号的总体场强会低于无线设备满负荷工作时的状态。
           
          此外,精确阻断设备允许所工作的区域内某些特定的无线设备可以使用,而其他无线设备被阻断,该策略可以有用户自由定义,这种智能的阻断方式,更是传统的射频干扰器所望尘莫及的。
           
          目前在无线上,较为常见的无线阻断手段包括去认证泛洪,去关联泛洪、认证泛洪、关联泛洪、早期 EAP 泛洪、EAPOL 启动泛洪、EAPOL退出泛洪、CTS泛洪、NAV 攻击、FakeAP、AirJack、FataJack 等等。这些方法各有优缺点,针对不同的无线设备,其表现也各有差异,因此需要灵活运用,并加以管理。
           
          在认证/去认证阻断过程中,阻断设备通过有针对性的发送认证、关联、去认证、去关联等报文,干扰无线终端与 AP 之间的控制过程,从而使无线终端无法关联成功,最终达到阻断的目的。
           
       

        认证关联阻断过程

         

          在 AirJack 阻断过程中,阻断设备通过影响 AP 的时隙分配,使得某些终端始终无法获得可用的时隙与 AP 通信,从而被阻断。尽管此时无线终端表现为与AP 已经建立了连接,但却无法进行通信。
           
       

         AirJack 阻断过程

         

          在 FakeAP 阻断过程中,阻断设备会扮演假冒 AP 的角色,将目标无线终端主动牵引至自己假冒的 AP 上,并同时起到无线蜜罐的作用。被阻断的无线终端与阻断设备假冒的 AP 成功的进行了无线连接,并开始发送数据,阻断设备并不中转这些数据,而是将其丢弃,从而达到阻断的效果。
           
       

        FakeAP 阻断过程

         

          综合上述多种方法,启明星辰无线安全引擎在充分研究的基础上,经过长期实践、积累,逐步形成一套阻断知识库,采用了灵活的阻断管理策略,针对不同的无线设备,迅速的找到更为有效的阻断方法,同时结合发现、学习、反馈等过程,动态调整该方法,从而达到可靠的阻断效果。
           
       

        阻断知识库及管理
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友 微信微信
收藏收藏 分享分享 支持支持 反对反对
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|文字版|手机版|DIY编程器网 ( 桂ICP备14005565号-1 )

GMT+8, 2024-11-16 02:50 , 耗时 0.093570 秒, 21 个查询请求 , Gzip 开启.

各位嘉宾言论仅代表个人观点,非属DIY编程器网立场。

桂公网安备 45031202000115号

DIY编程器群(超员):41210778 DIY编程器

DIY编程器群1(满员):3044634 DIY编程器1

diy编程器群2:551025008 diy编程器群2

QQ:28000622;Email:libyoufer@sina.com

本站由桂林市临桂区技兴电子商务经营部独家赞助。旨在技术交流,请自觉遵守国家法律法规,一旦发现将做封号删号处理。

快速回复 返回顶部 返回列表