图2 进行Deauth攻击过程中

    
    使用Omnipeek对无线网络进行监控，可以发现出现大量的Deauth数据包文。如下图3所示。
   

　　图3 捕获到大量的Deauth数据包文

    
    使用Omnipeek对捕获的数据包进行分析，可以看到下图4中红色箭头所指的黑框中标出很明显的Deauthentication提示，同时可看到该数据包文来源即Source处表明为FF:FF:FF:FF:FF:FF，即为广播报文。

上一页  [1] [2] [3] [4] 下一页

图4使用Omnipeek对捕获的数据包进行分析

    
    在Linux环境下也可以使用tcpdump进行无线Deauthentication数据包的捕获，只要设置好参数及网卡即可，效果如下图5所示。

　　图5 使用tcpdump对无线报文进行捕获

     
    在已连接的合法无线客户端上，通过长时间Ping无线路由器，可以很清楚地看到遭到Deauth攻击的效果。在Deauth攻击进行的时候，原本正常的网络传输呈现了极不稳定的状态，连接直接出现中断。

　　图6 出现明显的网络中断

上一页  [1] [2] [3] [4] 下一页

    3.应对方法

　　保持定时监控无线网络的连接状态，当出现大量的Deauthentication请求，并且每个请求只存在很短时间就消失时，应该立即开始使用Omnopeek等工具进行无线检测其来源如MAC等。对于大型企业用户，可以使用一些专业网络工具配合来实现。

　　如下图7所示，在企业通过事先部署的无线探测设备，可以轻易追踪到企业内部出现的可疑信号发生源。

　　图7 部署无线传感器后的监测效果

上一页  [1] [2] [3] [4]