忆龙2009:检测IDS攻击的技术
2009-12-29 22:53
344 查看
目前IDS攻击检测主要包括802.11报文泛洪攻击检测、AP Spoof检测以及Weak IV检测。
为了及时发现WLAN网络中的恶意或者无意的攻击,我们通过记录信息或者发送日志信息的方式通知网络管理者。
IDS攻击检测通过持续的监控每台设备的流量大小来预防这种泛洪攻击。当流量超出可容忍的上限时,该设备将被认为要在网络内泛洪从而被锁定,此时如果使能了动态黑名单,检查到的攻击设备将被加入动态黑名单。
IDS支持下列报文的泛洪攻击检测。
认证请求/解除认证请求(Authentication / De-authentication);
关联请求/解除关联请求/重新关联请求(Association / Disassociation / Reassociation);
探查请求(Probe request);
空数据帧;
Action帧;
检测IDS攻击可以通过识别每个WEP报文的IV来预防这种攻击,当一个有弱初始化向量的报文被检测到时,这个检测将立刻被记录到日志中。
为了及时发现WLAN网络中的恶意或者无意的攻击,我们通过记录信息或者发送日志信息的方式通知网络管理者。
1. 泛洪攻击检测
泛洪攻击(Flooding攻击)是指WLAN设备会在短时间内接收了大量的同种类型的报文。此时WLAN设备会被泛洪的攻击报文淹没而无法处理真正的无线终端的报文。IDS攻击检测通过持续的监控每台设备的流量大小来预防这种泛洪攻击。当流量超出可容忍的上限时,该设备将被认为要在网络内泛洪从而被锁定,此时如果使能了动态黑名单,检查到的攻击设备将被加入动态黑名单。
IDS支持下列报文的泛洪攻击检测。
认证请求/解除认证请求(Authentication / De-authentication);
关联请求/解除关联请求/重新关联请求(Association / Disassociation / Reassociation);
探查请求(Probe request);
空数据帧;
Action帧;
2. Weak IV攻击检测
在使用WEP加密的时候,对于每一个报文都会使用初始化向量(IV,Initialization Vector),IV和Key一起作为输入来生成Key Stream,使相同密钥产生不同加密结果。当一个WEP报文被发送时,用于加密报文的IV也作为报文头的一部分被发送。如果客户端使用不安全的方法生成IV,例如始终使用固定的IV,就可能会暴露共享的密钥,如果潜在的攻击者获得了共享的密钥,攻击者将能够控制网络资源。检测IDS攻击可以通过识别每个WEP报文的IV来预防这种攻击,当一个有弱初始化向量的报文被检测到时,这个检测将立刻被记录到日志中。
3. Spoofing攻击检测
这种攻击的潜在攻击者将以其他设备的名义发送攻击报文。例如:一个欺骗的解除认证的报文会导致无线客户端下线。Spoofing攻击检测也支持对广播解除认证和广播解除关联报文进行检测。当接收到这种报文时将立刻被定义为欺骗攻击并被记录到日志中。相关文章推荐
- 忆龙2009:检测IDS攻击的技术
- 常见的WiFi攻击技术及检测方法总结
- 动态的入侵检测技术IDS
- 忆龙2009:WLAN IDS介绍
- 高级Mysql攻击技术(翻译blackhat 2009文章)
- 四年300个攻击技术总结(2006-2009)
- 灰帽黑客:正义黑客的道德规范、渗透测试、攻击方法和漏洞分析技术(第3版)
- SQL注入技术和跨站脚本攻击的检测
- 网络攻击技术开篇——SQL Injection
- AI范围检测(指定范围内攻击)
- 高级碰撞检测技术
- 忆龙2009:修改SQL Server数据库sa密码后iMC出现异常问题的解决方法
- 网络安全之---Cookie攻击与防范技术
- 从僵尸网络追踪到入侵检测 第4章 Honeyd动态模板防御扫描软件攻击二
- Web漏洞处理--http host头攻击漏洞处理方案/检测到目标URL存在宽字节跨站漏洞/ 检测到目标URL存在SQL注入漏洞
- 深度学习技术系列(1):Mosaic Model — 不良图片检测开源模型
- SQL Injection攻击检测工具
- 工业视觉检测关键技术
- 数据挖掘技术(五)——离群点检测