의심스러운 이벤트를 wlan

Share

|

일단 충분한 수의 네트워크에 문제가 통계가 모여있는 적절한 무선 id를 시작할 수있습니다 찾고 의심스러운 이벤트를 나타내는가 능성이 악의적인 공격을합니다. 이러한 이벤트가 될 수 적하 목록의 임재의 특정 프레임 유형, 주파수의 프레임을 전송, 프레임 구조 및 시퀀스 번호의 이상 유무, 트래픽 흐름 편차, 그리고 예기치 않은 주파수를 사용합니다. 합시다 분류가 이벤트에는 품질 무선 id를 조정할 수있다는 경고에 대한 문제를 감지하고있습니다.

1 rf / 물리 계층 이벤트

• 추 송신기의 영역입니다.

• 채널을 사용하는가 보호 wlan에서 사용되지 않습니다.

• 중복 채널이있습니다.

• 갑작스런 운영 채널을 변경하여 하나 이상의 모니터 무선 장치입니다.

• 손실의 신호 품질, 높은 수준의 소음, 또는 낮은 snr.

이러한 이벤트를 나타낼 수있습니다 연결 또는 네트워킹 문제, 중증 네트워크를 잘못 구성, 악의 장치를 배치, 고의는지, 그리고 계층 1과 계층 2 남자 -이 -는 - 중간 공격을합니다.

이 관리 / 통제 프레임 이벤트

• 네트워크 프레임 주파수의 증가 정상적으로 존재합니다.

• 프레임의 비정상적인 크기입니다.

• 알 수없는 프레임 유형입니다.

• 불완전, 손상, 또는 변형된 프레임을합니다.

• 홍수의 deassociate / deauthenticate 프레임을합니다.

• 상용 reassociation에서 프레임을 사용하지 않고 네트워크를 로밍합니다.

• 프레임 밖으로 시퀀스입니다.

• 상용 프로브 요청합니다.

• 프레임을 사용하여 essid 차이가 wlan essid.

• 프레임을 사용하여 브로드 캐스트 essid ( "모두").

• 프레임을 사용하여 자주 사용하거나 임의로 변경 essid.

• 프레임을 사용하여 essid 또는 다른 필드를 일반에 대한 특정 침입 도구입니다.

• 프레임을 사용하여 mac 주소가 acl에 포함되지 않습니다.

• 프레임을 사용하여 중복 mac 주소입니다.

• 프레임을 사용하여 자주 사용하거나 임의로 변경 mac 주소입니다.

이러한 이벤트를 나타낼 수있습니다 네트워크에 잘못된 구성 및 연결 문제, 강한 rf 간섭을 wardrivers을 사용하여 활성화된 검색 도구의 면적, mac 주소 스푸핑을 wlan을 원하지 않는 고객에 연결되어 wlan, 시도를 추측하거나 약하므 - 강제로 폐쇄 essid, 또는 더 많은 고급 공격자 맹글링을 제어 및 관리 프레임을 발사 계층 2 남자 -이 -는 - 중간 또는 dos 공격을합니다.

3 802.1x/eap 프레임 이벤트

• 불완전, 손상, 또는 잘못된 802.1x 프레임을합니다.

• 프레임을 사용하여 eap 형식에 의해 구현되지 않음 wlan.

• 여러 개의 eap 인증 요청 및 응답 프레임을합니다.

• 여러 개의 eap 실패 프레임을합니다.

• eap eap 로그오프 프레임 홍수를 시작하고있습니다.

• eap 프레임의 비정상적인 크기 ( "eap - 중 - 죽음").

• 조각난 eap 프레임의 작은 크기입니다.

• eap 프레임을 사용하여 불량 인증 길이입니다.

• eap 프레임을 사용하여 불량 인증 자격 증명합니다.

• eap 프레임에 여러 개의 md5 과제를 요청합니다.

• eap 프레임이 원래부터 불법 authenticators (악의 액세스 포인트).

• 미완 802.1x/eap 인증을 처리합니다.

이러한 이벤트를 나타낼 수있습니다 시도를 무시하고 802.1x 인증 체계를 비롯하여 재치 악의 802.1x 장치를 배치 및 액세스 약하므 - 강제 또는 고급 dos 공격을 해제하는 인증 메커니즘입니다. 물론 변형된 802.1x 프레임 수에 따른 강한 rf 간섭과 다른 레이어를 하나 문제가있습니다.

4 wep - 관련 행사

• 암호화되지 않은 무선 트래픽을 제시합니다.

• 트래픽이 암호화된와 함께 알 수없는 wep 키입니다.

• 트래픽이 암호화된와 wep 키는 서로 다릅니다.

• 약한 4 프레임입니다.

• 프레임을 사용하여 반복적인 맞거나 연속입니다.

• 4 변화가없습니다.

• 대체를 원래 wep에서보다 안전한 솔루션을 같은 작업입니다.

• wep 키 로테이션에 실패했습니다.

이러한 이벤트를 나타낼 수있습니다 심한 네트워크 보안 잘못된 구성, 불안 레거시 장비를 사용하고, 사용자 위반의 보안 정책을 악의 무선 장치를 배치, 또는 사용의 트래픽 주사 도구 (wepwedgie, reinj)에 의해 고급 크래커입니다.

5 일반적인 연결성 / 교통 흐름을 행사

• 연결 손실을합니다.

• 갑작스런 급등의 대역폭을 소비합니다.

• 갑자기 감소하는 네트워크 처리량을합니다.

• 갑자기 지연이 인상에 지점을 -가 - 포인트 링크입니다.

• 증가 패킷을 조각화 수준입니다.

• 잦은 재전송합니다.

이러한 이벤트는 프롬프트가 미래의 수사를 찾을 수의 정확한 원인은이 문제를 감지합니다. 지능형 id 추론 엔진이 있어야 링크가 이러한 문제를 서로 다른 카테고리의 이벤트, 그래서 부분적으로 자동화에 대한 조사 문제가있습니다.

6 기타 이벤트

• 연관된가 아니라 인증, 호스트입니다.

• 테러 공격에 대한 높은 네트워크 레이어 트리거링의 "전통"id입니다.

• 원하지 않는 액세스 지점 관리 트래픽을합니다.

• 지속적인 중복 또는 반복적인 데이터 패킷입니다.

• 데이터 패킷과 함께 손상된 데이터 링크 계층 체크섬 / 마이크입니다.

• 홍수가 여러 개의 동시 네트워크 연결하려고 시도합니다.

이러한 이벤트를 성공 또는 실패를 나타낼 수있습니다 크래커 공격을하는 호스트와 함께 잘못 구성된 보안 설정, 시도를 액세스 및 다시 구성 배치된 액세스 포인트를 사용하는 트래픽을 주사 도구, 고급 dos 공격 802.11i - 활성화된 호스트, 또는 시도를 제압가 통신 버퍼와 함께 다수의 연결을 유선 또는 무선 쪽. 다시, 모든 사례 프레임이나 패킷이 손상될 수있습니다으로 간주 물리 계층 문제, 같은 간섭과 낮은 신호 강도를합니다.

이제 쉽게 인식할 수있는 많은 인재풀의 공격 징후가의 선행 이벤트 목록입니다. 다른 방법으로,이 방법을 약하므 - 강제 폐쇄 essid를 사용하여 두 개의 클라이언트가 pcmcia 카드와 wellenreiter. 우리는 그것에 대해 설명하지 않았다 공격이 섹션을 시도하기 때문에 우리는 결코 그것을 사용하는 essid_jack 또는 dinject은 훨씬 더 효율적이고 절약 자원입니다. 이 같은 순서 - 강제 공격을 생성 프레임을 사용하여 변경 essid와 mac 주소 (wellenreiter의 방법을 모호한는 공격자의 카드 공급 업체 및 정체성)을합니다.

대부분의 이벤트가 윤곽이 될 수있습니다 탈선의 결과가 아닌 사용자가 악의적인 공격을 계획이다. 사용자는 플러그가 원하지 않는 무선 장치 또는 사용 간섭 - 생성 기기 (블루투스, 무선 카메라, cordless 휴대폰)입니다. 그들에 연결할 수있는 통신을 사용하지 않고 wep /하는데 경우에 통신을 허용합니다 (이 큰 실수를 관리자의 측면) 또는 미스 / 피하 펌웨어를 업그레이 드하십시오 ( "만약 그것이 작동하지 않는 문제 해결을"), 즉 제작 귀하의 802.11i - 기반 보안을 전개 노력이 무용지물입니다. 어떤 시스템이나 네트워크 관리자가 알고 인정하는 방법 굴복하고 일부 사용자 수있습니다.