图4使用Omnipeek对捕获的数据包进行分析
在Linux环境下也可以使用tcpdump进行无线Deauthentication数据包的捕获,只要设置好参数及网卡即可,效果如下图5所示。
图5 使用tcpdump对无线报文进行捕获
在已连接的合法无线客户端上,通过长时间Ping无线路由器,可以很清楚地看到遭到Deauth攻击的效果。在Deauth攻击进行的时候,原本正常的网络传输呈现了极不稳定的状态,连接直接出现中断。
图6 出现明显的网络中断
3.应对方法
保持定时监控无线网络的连接状态,当出现大量的Deauthentication请求,并且每个请求只存在很短时间就消失时,应该立即开始使用Omnopeek等工具进行无线检测其来源如MAC等。对于大型企业用户,可以使用一些专业网络工具配合来实现。
如下图7所示,在企业通过事先部署的无线探测设备,可以轻易追踪到企业内部出现的可疑信号发生源。
图7 部署无线传感器后的监测效果
