802.11无线网络拒绝服务攻击与安全防护技术研究

◆杨春雷 银 伟 邢国强

802.11无线网络拒绝服务攻击与安全防护技术研究

◆杨春雷 银 伟 邢国强

（95899部队 北京 100085）

802.11网络因开放信道、控制帧/管理帧缺乏认证手段等原因，容易遭受拒绝服务攻击。研究针对802.11网络的拒绝服务攻击技术，包括伪冒攻击、资源消耗攻击、协议漏洞攻击和信道干扰技术等。同时研究相应的安全防护机制，包括低开销的系统级别的安全防护手段、信号图谱、难题策略、信道变更、空间避让、哈希技术等。

拒绝服务攻击；安全防护；DoS；无线网络安全；802.11网络

0 引言

随着802.11无线网络的广泛应用，安全问题成为无线网络的研究热点方向。虽然目前有部分研究工作关注安全协议和密钥交换机制[1，2，3]，但是，802.11网络仍然面临拒绝服务攻击威胁，因为这些攻击在安全协议启动之前就可以实施。针对802.11网络的攻击可以分别三大类：私密性攻击、完整性攻击和可用性攻击。拒绝服务攻击的目的是阻止合法的客户访问网络资源，这类攻击经常伴随更加严重的攻击，例如构建虚假的接入点，引诱客户端进行连接。目前大多数安全研究都集中在针对私密性和完整性的攻击，很少有研究关注拒绝服务攻击。但是，随着802.11在家庭和商业上的广泛部署，拒绝服务攻击越来越占据主导位置。而且目前没有有效的方法能阻止拒绝服务攻击。

无线网络的开放信道特征使得它比有线网络更容易遭受拒绝服务攻击[4]。目前研究人员主要聚焦针对802.11网络介质访问层和物理层的拒绝服务攻击[4,5]。但是，大多数工作都在研究拒绝服务攻击是如何实施的，而极少关注对抗拒绝服务攻击的方法。

在802.11网络中，有三种类型的帧，包括数据帧、控制帧和管理帧，数据帧封装了上层协议的数据。控制帧对数据报文的传递起到辅助作用，比如预约信道、确保数据帧可靠传递等。管理帧起到管理网络的作用，例如加入和离开某个无线网络。表一列出了一些管理帧和控制帧。早期，控制帧和管理帧都没有经过认证，因此很容易受到拒绝服务攻击。后来802.11w提出使用信息完整码对管理帧进行签名，防止管理帧被伪造，但是这种机制要求事先建立共享密钥才能起到保护管理帧的作用，那么，在共享密钥交换之前的管理帧仍然面临被伪造的威胁。本文将面向802.11网络，研究针对管理帧和控制帧的拒绝服务攻击和防范技术。

表1 802.11网络管理帧与控制帧

1 拒绝服务攻击

拒绝服务攻击目的是阻止合法节点正常访问网络资源。MAC层的拒绝服务攻击可以划分为假冒攻击，资源耗尽攻击和介质访问攻击。在假冒攻击中，攻击者假冒客户或者无线接入点实施攻击行为。在资源耗尽中，攻击者产生大量的随机MAC地址，发送大量请求，目的是消耗共享的网络资源。在介质访问攻击中，攻击目标为802.11 分布式协同功能（DCF），常见攻击方式是信道阻塞攻击。另一种攻击划分方式是基于网络层来划分。在本文中，我们主要聚焦物理层与MAC层。

1.1 伪冒攻击

在伪冒攻击中，攻击者伪装成客户端或者无线接入点的MAC地址实施攻击。由于无线信道的开放性，攻击者能够很容易嗅探到数据帧，从而获得网络中节点的身份信息，进而使用驱动软件来伪装成这些身份。这类攻击主要有以下几种方式。

1.1.1解除认证攻击

在开始通信之前，802.11客户端需要在无线接入点处进行认证。另外，客户端和无线接入点之间通过交换解除认证请求消息来解除认证。该消息没有受到密码体制的保护，很容易被伪造。利用这个漏洞，攻击者就可以攻击无线接入点或者客户端，迫使无线接入点和客户端退出已认证状态，拒绝后续的数据报文。如果持续进行解除认证攻击，客户端就无法连接到网络中。通过这种方式可以攻击BSS中任意一个或者所有的客户端[5]。Airjack， Void11及KisMAC工具都具备该功能。

1.1.2解除连接攻击

类似地，上述方法也可以攻击认证之后的连接建立协议。802.11标准只允许客户端与一个无线接入点建立连接关系。与认证协议相似，客户端或者无线接入点通过发送解除连接关系请求来解除连接关系。这个请求没有经过认证体制保护，因此容易被伪造。通过这种攻击方式可以达到同攻击认证协议一样的效果。

1.1.3节省能量攻击

为了节省能量，802.11客户端能够在不需要发送和接收数据时启动休眠模式。在这段时间内，无线接入点会缓存去往该客户端的报文，直到客户端向接入点发送Polling请求数据。攻击者伪造客户端的身份向接入点发送Polling报文，导致接入点向客户端发送数据报文。而客户端正处于休眠模式，无法接收数据，所有的报文将会被丢失。TIM（Traffic Indication Map）是信号帧中用于告诉休眠节点是否有缓存数据的报文。攻击者可以伪造无线接入点向客户端发送虚假的TIM，让客户端认为在无线接入点处没有数据。节能模式另一个漏洞源自于用于同步目的的管理帧。同步信息包括TIM间隔和时间戳宣告。伪造管理帧，攻击者可以迫使客户端无法与无线接入点进行同步，从而无法在恰当的时间醒来[5]。

1.2 资源消耗攻击

资源消耗攻击的对象通常是共享的资源，如无线接入点。通过耗尽接入点的处理器和内存资源，它将无法向其他合法的客户端提供服务。这类攻击通常后续伴随更复杂的攻击，例如伪造接入点劫持其余的客户端。

（1）Probe请求泛洪

在802.11无线网络中，客户端通常使用Probe请求来扫描无线服务。接入点通常会回应Probe请求，并告诉客户端网络参数，便于客户端后续连接。攻击者可以伪装成很多不同MAC地址的终端，发送大量的Probe请求报文，这样会耗尽无线接入点的内存和CPU处理时间，使得其无法处理合法的客户请求[4]。

（2）认证请求泛洪

在认证过程中，为了响应认证请求，接入点会为已成功认证的客户端划分内存用以存储客户端的信息。在认证请求泛洪中，攻击者伪装成很多具有不同MAC地址的客户端向接入点发送认证请求，导致接入点内存和CPU的耗尽。通过这种攻击，接入点无法响应合法客户端的认证请求，导致合法客户端无法与接入点建立连接并使用网络资源。

（3）连接请求泛洪

接入点将客户端连接请求包含的数据存放到内存中的连接表中。802.11标准指定该表最多存放2007个连接。当这个表溢出时，接入点将拒绝后续客户端的连接请求。当破解了WEP或WPA2之后，攻击者伪装成很多具有不同MAC地址的终端，在接入点通过认证，接着泛洪连接请求，导致连接表溢出]6]。如果无线接入点没有使用访问控制列表过滤掉非法的MAC地址，那么攻击者就很容易发起认证请求泛洪和连接请求泛洪攻击。

根据802.11规范，接入点在未认证的状态下不会响应连接请求，但是在现实中发现很多接入点并没有这么做，不管有没有经过认证，都会直接响应连接请求[4]。

（4）介质访问攻击

RTS和CTS是802.11控制报文，用来预约信道，解决隐藏节点问题。在RTS和CTS帧格式中，有一个信道占用时间宣告字段，用来告诉邻居节点信道将会被占用多久。邻居节点收到该报文，会让出这段时间，之后再启动发送机制。ACK帧也是802.11控制报文，用来告诉发送端数据已经成功投递，其帧格式也有一个信道占用时间宣告字段，作用与RTS/CTS相同。攻击者可以不断注入虚假的RTS/CTS或者ACK帧，通过设定信道占用时间宣告字段迫使周围节点无法发送数据[4,5,7]。

1.3 协议漏洞

802.1X是认证协议，主要通过四次握手完成。这个过程基于主密钥（PMK：Pairwise Master Key）产生临时密钥（PTK：Pairwise Transient Key）。攻击者可以在消息2传递完毕后，向客户端发送一条伪造的带有不同随机数的消息[8,9]，导致客户端计算出一个新的PTK。那么四次握手就无法进行下去，因为客户端的PTK与接入点的PTK不同。

TkiP的QoS扩展存在一个漏洞[10]。TKIP密钥流独立于帧的优先级。另外，计算出的消息完整性校验码（MIC）取决于帧的优先级。如果我们捕获到一个优先级别为x的帧，但是使用优先级y重放它。假定y的TSC序列号小于重放帧的TSC序列号，那么重放帧会通过TSC校验，接收端会使用正确的密钥流对该重放帧进行解码。同样，它也能通过ICV完整性校验，因为ICV完整性校验只是CRC校验和。但是，优先级的改变导致接受者期望一个不同的消息完整性码（MIC）。因此MIC校验会失败。第二次重放这个帧会触发第二次MIC校验失败，导致接入点关闭TKIP数据交换一分钟。每隔一分钟重复这个过程就会导致拒绝服务攻击。

1.4 干扰

持续干扰器[11]不停的向外发送噪音。噪音包括随机陡增能量或者数据报文。但是发送随机完整的数据报文可能会被入侵检测系统报警。随机的陡增能量则可能会被认作为周边共享同一频率非802.11设备产生的。

将一个802.11商业设备转换为干扰器，需要作以下工作：（1）禁用载波侦听机制；（2）重新设置SIFS等帧间空隙以及禁用退步算法；（3）不等待ACK；（4）在数据队列中注入大量的报文等待发送。

2 安全防护机制

2.1 低开销的系统级别的安全防护手段

Bellardo和Savage[5]以实验的方法对802.11拒绝服务攻击进行了研究，并提出了一些轻量级的修改，主要解决两类拒绝服务攻击：身份伪造和介质访问攻击。身份伪造攻击包括解除认证攻击、解除连接攻击和节能攻击。介质访问攻击包括RTS/CTS伪造带来的载波侦听漏洞，主要提出了以下安全防护方法。

（1）延迟响应请求

Bellardo和Savage[5]提出延迟响应解除认证请求和解除连接请求的方法（通常缓存该请求5到10秒钟）来对抗解除认证和解除连接攻击。在这段时间内，如果接入点收到来自客户端的数据报文，说明解除认证或者解除连接请求是伪造的，因为正常情况下发送解除认证或者解除连接请求后是不会再发送数据报文的。

（2）限制信道占用时间大小

在RTS/CTS、ACK和数据帧中都含有信道占用时间的宣告，Bellardo和Savage[5]提出限制信道占用时间宣告的大小，超过这个值将拒绝更新NAV（network allocation vector）。如果攻击者持续发送伪造的RTS等控制报文，限制大小的方法也会失效。另外，他们还提出对802.11控制报文进行认证，防止它们被伪造，从根本上解决信道占用的问题。

2.2 信号图谱

Faria和Cheriton[12]提出使用信号图谱技术来对抗伪造身份攻击。信号图谱是指接入点对客户端信号强度的测量值。通过信号图谱可以更好的识别攻击者。通常情况下，攻击者很难像改变MAC地址一样改变它的信号图谱。在拒绝服务攻击中，大多数的攻击都是依靠伪造MAC地址来实施。在实验中，Faria和Cheriton发现信号图谱与客户端的位置很相关，临近的客户端含有相似的信号图谱。因此，若攻击者的信号图谱与被伪冒者的信号图谱不同，则可以检测到攻击。

他们同样发现当一个静态的客户端突然之间产生大量报文时，这些报文很大概率上会产生相似的信号图谱。因此，当一个攻击者伪装成多个MAC地址发起资源耗尽攻击时很容易被识别出来。通过信号图谱，而不是MAC地址或者其他由客户端提供的信息，接入点能够根据能量强度识别客户端。

Faria和Cheriton[12]主要解决了两类拒绝服务攻击问题。第一类是资源耗尽攻击，攻击者发送大量的认证请求，目的是消耗接入点的资源。第二类是假冒攻击，攻击者克隆接入点或者客户端的MAC地址。如果攻击者假冒客户端向接入点发送解除认证请求，那么比较信号图谱就能够检测到这种攻击。但是，当攻击者与受害者在地理上互相临近的时候，信号图谱就失去作用了。另外，信号图谱虽然能区分不同的地理位置，但是难以确定攻击者的准确位置。

2.3 难题策略

Martinovic[13]提出在认证之前，客户端首先得解答一个问题。客户端需要侦听已与接入点建立连接关系的节点的通信，根据信号强度是否强于NST（Neighborhood Signal Threshold）确定哪些节点位于自己周边，并将这些节点划为邻居。需要把邻居列表信息也添加到认证请求中。周围已认证的邻居收到该请求时，对请求进行校验。如果请求的信号强度大于NST，但是自己不在列表中，或者请求信号强度小于NST，而自己在列表中，则向接入点发送一个警告，接入点随后会拒绝该认证请求。如果攻击者改变位置和传输能量级别，而不观察周边节点通信情况，就会因为邻居列表信息错误而被拒绝认证。同时如果接入点发现从一个邻居区域内收到过多的认证请求，也会拒绝后续的认证请求。这个策略假定无线信号衰减是对称的。同时邻居节点的警告信息能够对认证过程起到关键作用。攻击者可以伪造邻居发送虚假警告信息，导致合法节点无法通过认证。

2.4 信道变更和空间避让

Xu等人[14]提出两个策略防止MAC层和物理层的干扰。第一个是信道变更，也是频谱逃逸技术。合法节点通过改变信道而防止干扰。第二个策略是空间避让。被干扰的节点通过移动的方式来逃避干扰。为了检测信道访问错误，他们提出基于门限的信道侦听机制来区分正常的MAC层正常延迟以及恶意行为导致的非正常延迟。如果信道侦听时间大于门限值，则判定存在拒绝服务攻击。

2.5 哈希保证管理报文的完整性

认证请求、解除认证请求、连接建立请求、解除连接请求、Probe探测、信标帧Beacon等都是管理报文，被用来发起或者终止会话。不像数据报文可以被加密，管理报文必须被所有的客户端侦听到并且理解，它们通常是明文传递的。正因为这样，需要防止攻击者伪造这些报文。802.11w[15]是为了保护解除认证、解除连接和健壮行为帧而提出的。受到保护的健壮行为帧包括：频谱管理、QoS、DLS、Block ACK等。802.1X是基于四次握手的认证协议。在第三条消息中，接入点将IGTK密钥传递给客户端，用来保护管理报文。使用IGTK密钥，通信双方对发送的管理报文进行哈希，生成消息完整码MIC（message integrity code）。MIC由通信双方使用共享密钥进行哈希生成，确保了攻击方无法伪造报文，因此能确保管理报文的完整性。

3 总结

802.11网络信道开放，容易遭受拒绝服务攻击。本文从伪冒攻击、资源消耗攻击、协议漏洞攻击和信道干扰技术等方面研究针对802.11网络的拒绝服务攻击技术，并对信号图谱、难题策略、信道变更、空间避让和哈希技术等安全防护机制进行综述。

[1]S. Adam, I. John, and D. R. Aviel, "A key recovery attack on the 802.11b wired equivalent privacy protocol (WEP)," ACM Trans. Inf. Syst. Secur., vol. 7(2), pp. 319-332.

[2]R. F. Scott, M. Itsik, and S. Adi, "Weaknesses in the KeyScheduling Algorithm of RC4", Revised Papers from the 8thAnnual International Workshop on Selected Areas in Cryptography, 2001,pp. Pages,

[3]A. Atul, "Architecture and techniques for diagnosing faults in IEEE 802.11 infrastructure networks," MobiCom '04: Proceedings of the 10th annual international conference on Mobile computing and networking, pp. 30-44.

[4]M. Bernaschi, F. Ferreri, and L. Valcamonici, "Access points vulnerabilities to DoS attacks in 802.11 networks," Wirel. Netw., vol. 14(2), pp. 159-169, 2008.

[5]J. Bellardo and S. Savage, "802.11 denial-of-service attacks: real vulnerabilities and practical solutions," 2003 Location,Berkeley, CA, USA, pp. 15-27, 2003.

[6]Prabhaker Mateti, The Handbook of Information Security. Dayton: John Wiley & Sons, Inc, 2005.

[7]B. Chen and V. Muthukkumarasamy, "Denial of Service Attacks Against 802.11 DCF," in Proceedings of the IADIS International Conference: Applied Computing 2006, 2006 Location, School of Information and Communication Technology, Griffith University, Australia

[8]Changhua He and John C. Mitchell. Analysis of the 802.11i 4-way handshake. In Proceedings of WiSec, pages 43–50, 2004.

[9]Changhua He and John C Mitchell. Security analysis and improvements for ieee 802.11i. In Proceedings of NDSS, pages 90–110, 2005.

[10]Mathy Vanhoef and Frank Piessens. Practical verification of WPA-TKIP vulnerabilities. In Proceedings of AsiaCCS, pages 427–436, 2013.

[11]Mathy Vanhoef and Frank Piessens. Advanced wi-fi attacks using commodity hardware. In Proceedings of ACSAC, pages 256–265, 2014.

[12]B. F. Daniel and R. C. David, "Detecting identity-based attacks in wireless networks using signalprints," in Proceedings of the 5th ACM workshop on Wireless security, 2006 Location,Los Angeles, California, pp. 43-52.

[13]M. Ivan, A. Z. Frank, W. Matthias, W. Christian, and B. S. Jens, "Wireless client puzzles in IEEE 802.11 networks: security by wireless", Proceedings of the first ACM conference on Wireless network security, Alexandria, VA, USA, 2008,

[14]X. Wenyuan, W. Timothy, T. Wade, and Z. Yanyong, "Channel surfing and spatial retreats: defenses against wireless denial of service", Proceedings of the 3rd ACM workshop on Wireless security, Philadelphia, PA, USA, 2004,pp. Pages,

[15]IEEE 802.11w-2009. IEEE standard, 2009.