D.O.S,全称为Deny of service,是网络攻击最常见的一种。它故意攻击网络协议的缺陷或直接通过某种手段耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使 目标系统服务停止响应甚至崩溃,而在此攻击中并不入侵目标服务器或目标网络设备。这些服务资源包括网络宽带、系统堆栈、开放的进程。或者允许的连接。这种 攻击会导致资源耗尽,无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。任何资源都有一个极限,所以总能找到一个方法使请求的值大于该极限值,导致所提供的服务资源耗尽。
这里我们讲述的是有线D.O.S攻击的延伸--无线D.O.S中的其中一种类型:关联洪水攻击。
1.关联洪水攻击原理
无线接入点内置了一个列表即“连接状态表”,里面可显示出所有与该AP建立连接的无线客户端状态。
关联洪水攻击,国际上称之为Association Flood Attack,全称即关联洪水(泛洪)攻击,通常被简称为Asso攻击,是无线网络拒绝服务攻击的一种形式。它试图通过利用大量模仿的和伪造的无线客户端关联来填充AP的客户端关联表,从而达到淹没AP的目的。在802.11层,共享解密身份验证有缺陷,很难再用。仅有的其他备选项就是开放身份验证(空身份验证),该身份验证依赖于较高级别的身份验证,如802.1x或VPN。
开放身份验证允许任何客户端通过身份验证然后关联。利用这种漏洞的攻击者可以通过创建多个到达已连接或已关联的客户端来模仿很多客户端,从而淹没目标AP的客户端关联表,具体情况如下图1所示。客户端关联表溢出后,合法客户端将无法再关联,于是拒绝服务攻击即告完成。此类攻击和之前提及的Authentication Flood Attack表现很相似,但是原理却不同。
图1 无线DOS之Asso洪水攻击