无线入侵防御系统WIPS简介

1.1  WIPS简介

WIPS（Wireless Intrusion Prevention System，无线入侵防御系统）是针对802.11协议开发的二层协议检测和防护功能。WIPS通过对信道进行监听及分析处理，从中检测出威胁网络安全、干扰网络服务、影响网络性能的无线行为或设备，并提供对入侵的无线设备的反制，为无线网络提供一套完整的安全解决方案。

1.2  WIPS方案的组成元素

WIPS由Sensor、AC以及网管软件组成。

• 开启WIPS功能的AP称为Sensor，Sensor负责监听无线信道，并将收集的信息经过简单加工后，上传至AC进行综合分析。
• AC会分析攻击源并对其实施反制，同时向网管软件输出日志信息。
• 网管软件提供丰富的图形界面，提供系统控制、报表输出、告警日志管理功能。

1.3  WIPS支持的功能

WIPS支持以下功能：

• 攻击检测：提供多种攻击方式的攻击检测功能。WIPS通过分析侦听到的802.11报文，来检测针对WLAN网络的无意或者恶意的攻击，并以告警的方式通知网络管理员。
• Signature检测：通过配置Signature规则实现自定义攻击行为的检测。
• 设备分类：通过侦听无线信道的802.11报文来识别无线设备，并对其进行分类。
• 反制：对非法设备进行攻击，使其它设备无法关联到非法设备，从而保护用户网络的安全。

1.4  攻击检测

1.4.1  泛洪攻击检测

泛洪攻击是指通过向无线设备发送大量同类型的报文，使无线设备会被泛洪攻击报文淹没而无法处理合法报文。WIPS通过持续地监控AP或客户端的流量来检测泛洪攻击。当大量同类型的报文超出上限时，认为无线网络正受到泛洪攻击。

1. 鉴权请求帧泛洪攻击

攻击者通过模拟大量的客户端向AP发送鉴权请求帧，AP收到大量攻击报文后无法处理合法客户端的鉴权请求帧。

2. 探查请求/关联/重关联泛洪攻击

攻击者通过模拟大量的客户端向AP发送探查请求/关联请求/重关联请求帧，AP收到大量攻击报文后无法处理合法客户端的探测请求/关联请求/重关联请求帧。

3. EAPOL-Start泛洪攻击

IEEE 802.1X标准定义了一种基于EAPOL（EAP over LAN，局域网上的可扩展认证协议）的认证协议，该协议通过客户端发送EAPOL-Start帧开始一次认证流程。AP接收到EAPOL-Start后会回复一个EAP-Identity-Request，并为该客户端分配一些内部资源来记录认证状态。攻击者可以通过模拟大量的客户端向AP发送EAPOL-Start来耗尽该AP的资源，使AP无法处理合法客户端的认证请求。

4. 广播/单播解除鉴权泛洪攻击

攻击者通过仿冒AP向与其关联的客户端发送广播/单播的解除鉴权帧，使得被攻击的客户端与AP的关联断开。这种攻击非常突然且难以防范。单播取消鉴权攻击是针对某一个客户端，而广播取消鉴权攻击是针对与该AP关联的所有客户端。

5. 广播/单播解除关联泛洪攻击

攻击原理同广播/单播解除鉴权泛洪攻击。攻击者是通过仿冒AP向与其关联的客户端发送广播/单播解除关联帧，使得被攻击的客户端与AP的关联断开。这种攻击同样非常突然且难以防范。

6. RTS/CTS泛洪攻击

在无线网络中，通信双方需要遵循虚拟载波侦听机制，通过RTS（Request to Send，发送请求）/CTS（Clear to Send，清除发送请求）交互过程来预留无线媒介，通信范围内的其它无线设备在收到RTS和（或）CTS后，将根据其中携带的信息来延迟发送数据帧。RTS/CTS泛洪攻击利用了虚拟载波侦听机制的漏洞，攻击者能通过泛洪发送RTS和（或）CTS来阻塞WLAN网络中合法无线设备的通信。

7. Block ACK泛洪攻击

该攻击通过仿冒客户端发送伪造的Block ACK帧来影响Block ACK机制的正常运行，导致通信双方丢包。

8. Null-Data泛洪攻击

该攻击通过仿冒合法客户端向与其关联的AP发送Null-Data帧，并且将Null-Data帧的节电位置位，使得AP误认为合法的客户端进入省电模式，将发往该客户端的数据帧进行暂存。如果攻击者持续发送Null-Data帧，当暂存帧的存储时间超过AP暂存帧老化时间后，AP会将暂存帧丢弃，妨害了合法客户端的正常通信。

9. Beacon泛洪攻击

该攻击是通过发送大量的Beacon帧使客户端检测到多个虚假AP，导致客户端选择正常的AP进行连接时受阻。

10. EAPOL-Logoff泛洪攻击

在EAPOL认证环境中，当通过认证的客户端需要断开连接时，会发送一个EAPOL-Logoff帧来关闭与AP间的会话。但AP对接收到的EAPOL-Logoff帧不会进行认证，因此攻击者通过仿冒合法客户端向AP发送EAPOL-Logoff帧，可以使AP关闭与该客户端的连接。如果攻击者持续发送仿冒的EAPOL-Logoff帧，将使被攻击的客户端无法保持同AP间的连接。

11. EAP-Success/Failure泛洪攻击

在使用802.1X认证的WLAN环境中，当客户端认证成功时，AP会向客户端发送一个EAP-Success帧（code字段为success的EAP帧）；当客户端认证失败时，AP会向客户端发送一个EAP-Failure帧（code字段为failure的EAP帧）。攻击者通过仿冒AP向请求认证的客户端发送EAP-Failure帧或EAP-Success帧来破坏该客户端的认证过程，通过持续发送仿冒的EAP-Failure帧或EAP-Success帧，可以阻止被攻击的客户端与AP间的认证。

1.4.2  畸形报文检测

畸形报文攻击是指攻击者向受害客户端发送有缺陷的报文，使得客户端在处理这样的报文时会出现崩溃。WIPS利用Sensor监听无线信道来获取无线报文，通过报文解析检测出具有某些畸形类型特征的畸形报文，并发送告警。

1. IE长度非法检测

该检测是针对所有管理帧的检测。信息元素（Information Element，简称IE）是管理帧的组成元件，每种类型的管理帧包含特定的几种IE。报文解析过程中，当检测到该报文包含的某个IE的长度为非法时，该报文被判定为IE长度非法的畸形报文。完成报文解析过程后，当检测到IE的剩余长度不为0时，该报文被判定为IE长度非法的畸形报文。

2. 重复IE检测

该检测是针对所有管理帧的检测。当解析某报文时，该报文所包含的某IE重复出现时，则判断该报文为重复IE畸形报文。因为厂商自定义IE是允许重复的，所以检测IE重复时，不检测厂商自定义IE。

3. 多余IE检测

该检测是针对所有管理帧的检测。报文解析过程中，当检测到既不属于报文应包含的IE，也不属于reserved IE时，判断该IE为多余IE，则该报文被判定为多余IE的畸形报文。

4. 报文长度非法检测

该检测是针对所有管理帧的检测。当解析完报文主体后，IE的剩余长度不等于0时，则该报文被判定为报文长度非法的畸形报文。

5. IBSS和ESS置位异常检测

该检测是针对Beacon帧和探查响应帧进行的检测。当报文中的IBSS和ESS都置位为1时，由于此种情况在协议中没有定义，所以该报文被判定为IBSS和ESS置位异常的畸形报文。

6. 畸形Authentication帧检测

该检测是针对认证帧的检测。当检测到以下情况时请求认证过程失败，会被判断为认证畸形报文。

• 当对认证帧的身份认证算法编号（Authentication algorithm number）的值不符合协议规定，并且其值大于3时；
• 当标记客户端和AP之间的身份认证的进度的Authentication Transaction Sequence Number的值等于0时；
• 当标记客户端和AP之间的身份认证的进度的Authentication Transaction Sequence Number 的值等于1，且状态代码status code不为0时；
• 当标记客户端和AP之间的身份认证的进度的Authentication Transaction Sequence Number的值大于4时。

7. 畸形Association-Request帧检测

该检测是针对关联请求帧的检测。当收到关联请求帧中的SSID的长度等于0时，判定该报文为畸形关联请求报文。

8. 畸形的HT IE检测

该检测是针对Beacon、探查响应帧、关联响应帧、重关联请求帧的检测。当检测到以下情况时，判定为HT IE的畸形报文，发出告警，在静默时间内不再告警。

• 解析出HT Capabilities IE的SM Power Save值为2时；
• 解析出HT Operation IE的Secondary Channel Offset值等于2时。

9. Duration超大检测

该检测是针对单播管理帧、单播数据帧以及RTS、CTS、ACK帧的检测。如果报文解析结果中该报文的Duration值大于指定的门限值，则为Duration超大的畸形报文。

10. Null-probe-Response检测

该检测是针对探查响应报文。当检测到该帧为非Mesh帧，但同时该帧的SSID Length等于0，这种情况不符合协议（协议规定SSID Length等于0的情况是Mesh帧），则判定为无效探查响应报文。

11. Invalid-Deauth-Code检测

该检测是针对解除认证畸形帧的检测。当解除认证畸形帧携带的Reason code的值属于集合[0，67～65535]时，则属于协议中的保留值，此时判定该帧为含有无效原因值的解除认证畸形报文。

12. Invalid-Disassoc-Code检测

该检测是针对解除关联帧的检测。当解除关联帧携带的Reason code的值属于集合[0，67～65535]时，则属于协议中的保留值，此时判定该帧为含有无效原因值的解除关联畸形报文。

13. SSID超长检测

该检测是针对Beacon、探查请求、探查响应、关联请求帧的检测。当解析报文的SSID length大于32字节时，不符合协议规定的0～32字节的范围，则判定该帧为SSID超长的畸形报文。

14. Fata-Jack检测

该检测是针对认证帧的检测。Fata-Jack畸形类型规定，当身份认证算法编号即Authentication algorithm number的值等于2时，则判定该帧为Fata-Jack畸形报文。

15. Invalid-Source-Address检测

该检测是针对所有管理帧的检测。当检测到该帧的TO DS等于1时，表明该帧为客户端发给AP的，如果同时又检测到该帧的源MAC地址为广播或组播，则该帧被判定为Invalid-Source-Address畸形报文。

16. Overflow-EAPOL-Key检测

该检测是针对EAPOL-Key帧的检测。当检测到该帧的TO DS等于1且其Key Length大于0时，则判定该帧为Key长度超长的EAPOL报文。Key length长度异常的恶意的EAPOL-Key帧可能会导致DOS攻击。

1.4.3  Spoofing检测

Spoofing攻击是指攻击者仿冒其他设备，从而威胁无线网络的安全。例如：无线网络中的客户端已经和AP关联，并处于正常工作状态，此时如果有攻击者仿冒AP的名义给客户端发送解除认证/解除关联报文就可能导致客户端下线，从而达到破坏无线网络正常工作的目的；又或者攻击者仿冒成合法的AP来诱使合法的客户端关联，攻击者仿冒成合法的客户端与AP关联等，从而可能导致用户账户信息泄露。

1. AP仿冒AP

该仿冒是指攻击者使用AP仿冒正常工作的AP的MAC地址，向客户端发送报文的行为。WIPS通过报文的接收时间和报文中的时间戳计算出AP的启动时间，并与之前记录的该AP的启动时间进行比较来判断是否发生仿冒。如果计算出的本次AP启动时间早于之前计算出的AP启动时间，则判定为发生AP仿冒AP攻击。

WIPS通过侦听无线网络内的Beacon或探查响应帧报文来检测AP仿冒AP行为。

2. AP仿冒客户端

该仿冒是指攻击者使用AP仿冒合法客户端的MAC地址发送报文。WIPS通过检测AP发送的报文中的MAC地址是否存在于客户端列表中来判断是否有仿冒发生。如果该AP的MAC地址存在于客户端列表中，则判定为发生了AP仿冒客户端。

3. 客户端仿冒AP

该仿冒是指攻击者使用客户端仿冒合法AP的MAC地址发送报文。WIPS通过检测客户端发送的报文中发送端的MAC地址是否存在于AP列表中来判断是否有仿冒发生。如果该客户端的MAC地址存在于AP列表中，则判定为发生了客户端仿冒AP。

1.4.4  Weak IV检测

WEP安全协议使用的RC4加密算法存在一定程度的缺陷，当其所用的IV值不安全时会大大增加其密钥被破解的可能性，当IV值的第一个字节小于16（10进制）且第二个字节为FF时，该类IV值即被称为Weak IV。WIPS特性通过检测每个WEP报文的IV值来预防这种攻击。

1.4.5  Omerta检测

Omerta是一个基于802.11协议的DoS攻击工具，它通过向信道上所有发送数据帧的客户端回应解除关联帧，使客户端中断与AP的关联。Omerta发送的解除关联帧中的原因代码字段为0x01，表示未指定。由于正常情况下不会出现此类解除关联帧，因此WIPS可以通过检测每个解除关联帧的原因代码字段来检测这种攻击。

1.4.6  广播解除关联帧/解除认证帧攻击检测

当攻击者仿冒成合法的AP，发送目的MAC地址为广播地址的解除关联帧或者解除认证帧时，会使合法AP下关联的客户端下线，对无线网络造成攻击。

1.4.7  客户端禁用802.11n 40MHz检测

支持802.11n标准无线设备可以支持20MHz和40MHz两种带宽模式。在无线环境中，如果与AP关联的某个无线客户端禁用了40MHz带宽模式，会导致AP与该AP关联的其它无线客户端也降低无线通信带宽到20MHz，从而影响到整个网络的通信能力。WIPS通过检测无线客户端发送的探测请求帧来发现禁用40MHz带宽模式的无线客户端。

1.4.8  节电攻击检测

对于处于非节电模式下的无线客户端，攻击者可以通过发送节电模式开启报文（Null帧），诱使AP相信与其关联的无线客户端始终处于睡眠状态，并为该无线客户端暂存帧。被攻击的无线客户端因为处于非节电模式而无法获取这些暂存帧，在一定的时间之后暂存帧会被自动丢弃。WIPS通过检测节电模式开启/关闭报文的比例判断是否存在节电攻击。

1.4.9  非法信道检测

用户可以设置合法信道集合，并开启非法信道检测，如果WIPS在合法信道集合之外的其它信道上监听到无线通信，则认为在监听到无线通信的信道上存在入侵行为。

1.4.10  软AP检测

软AP是指客户端上的无线网卡在应用软件的控制下对外提供AP的功能。攻击者可以利用这些软AP所在的客户端接入公司网络，并发起网络攻击。WIPS通过检测某个MAC地址在无线客户端和AP这两个角色上的持续活跃时长来判断其是否是软AP，不对游离的无线客户端进行软AP检测。

1.4.11  Windows网桥检测

当一个连接到有线网络的无线客户端使用有线网卡建立了Windows网桥时，该无线客户端就可以通过连接外部AP将外部AP与内部有线网络进行桥接。此组网方式会使外部AP对内部的有线网络造成威胁。WIPS会对已关联的无线客户端发出的数据帧进行分析，来判断其是否存在于Windows网桥中。

1.4.12  未加密设备检测

在无线网络中，如果有授权AP或信任的无线客户端使用的配置是未加密的，网络攻击者很容易通过监听来获取无线网络中的数据，从而导致网络信息泄露。WIPS会对信任的无线客户端或授权AP发出的管理帧或数据帧进行分析，来判断其是否使用了加密配置。

1.4.13  热点攻击检测

热点攻击指恶意AP使用热点SSID来吸引周围的无线客户端来关联自己。攻击者通过伪装成公共热点来引诱这些无线客户端关联自己。一旦无线客户端与恶意AP关联上，攻击者就会发起一系列的安全攻击，获取用户的信息。用户通过在WIPS中配置热点文件，来指定WIPS对使用这些热点的AP和信任的无线客户端进行热点攻击检测。

1.4.14  AP扮演者攻击检测

在AP扮演者攻击中，攻击者会安装一台恶意AP设备，该AP设备的BSSID和ESSID与真实AP一样。当该恶意AP设备在无线环境中成功扮演了真实AP的身份后，就可以发起热点攻击，或欺骗检测系统。WIPS通过检测收到Beacon帧的间隔是否小于Beacon帧中携带的间隔值来判断其是否为攻击者扮演的恶意AP。

1.4.15  绿野模式检测

当无线设备使用802.11n 绿野模式时，不可以和其他802.11a/b/g 设备共享同一个信道。通常当一台设备侦听到有其他设备占用信道发送和接收报文的时候，会延迟报文的发送直到信道空闲时再发送。但是802.11a/b/g设备不能和绿野模式的AP进行通信，无法被告知绿野模式的AP当前信道是否空闲，会立刻发送自己的报文。这可能会导致报文发送冲突、差错和重传。

1.4.16  蜜罐AP检测

攻击者在合法AP附近搭建一个蜜罐 AP，通过该AP发送与合法AP SSID相似的Beacon帧或Probe Response帧，蜜罐AP的发送信号可能被调得很大以诱使某些授权客户端与之关联。当有客户端连接到蜜罐AP，蜜罐AP便可以向客户端发起某些安全攻击，如端口扫描或推送虚假的认证页面来骗取客户端的用户名及密码信息等。因此，需要检测无线环境中对合法设备构成威胁的蜜罐AP。WIPS系统通过对外部AP使用的SSID进行分析，若与合法SSID的相似度值达到一定阈值就发送蜜罐AP告警。

1.4.17  中间人攻击检测

在中间人攻击中，攻击者在合法AP和合法客户端的数据通路中间架设自己的设备，并引诱合法客户端下线并关联到攻击者的设备上，此时攻击者就可以劫持合法客户端和合法AP之间的会话。在这种情况下，攻击者可以删除，添加或者修改数据包内的信息，获取验证密钥、用户密码等机密信息。中间人攻击是一种组合攻击，客户端在关联到蜜罐AP后攻击者才会发起中间人攻击，所以在配置中间人攻击检测之前需要开启蜜罐AP检测。

1.4.18  无线网桥检测

攻击者可以通过接入无线网桥侵入公司网络的内部，对网络安全造成隐患。WIPS通过检测无线网络环境中是否存在无线网桥数据以确定周围环境中是否存在无线网桥。当检测到无线网桥时，WIPS系统即产生告警，提示当前无线网络环境存在安全隐患。如果该无线网桥是Mesh网络时，则记录该Mesh链路。

1.4.19  关联/重关联DoS攻击检测

关联/重关联DoS攻击通过模拟大量的客户端向AP发送关联请求/重关联请求帧，使AP的关联列表中存在大量虚假的客户端，达到拒绝合法客户端接入的目的。

1.4.20  AP泛洪攻击检测

AP设备在完成部署后通常是固定不动的，正常情况下WIPS通过检测发现网络环境中的AP设备的数目达到稳定后不会大量增加。当检测到AP的数目超出预期的数量时， WIPS系统即产生告警，提示当前无线网络环境存在安全隐患。

1.4.21  WIPS学习表项的攻击检测

如果攻击者通过发送大量报文来增加WIPS的处理开销等。通过检测周期内学习到设备的表项来判断是否需要对表项学习进行限速处理。设备在统计周期内学习到的AP或客户端表项达到触发告警阈值，设备会发送告警信息，并停止学习AP表项和客户端表项。

当WIPS检测到某个无线设备在设定的时间内没有收发报文，则会将该无线设备的状态从active切换到inactive，这段时间即为非活跃时间。如果该无线设备在设定的老化时间内没有收发报文，则会删除该无线设备的表项。

1.5  Signature检测

Signature检测是指用户可以根据实际的网络状况来配置Signature规则，并通过该规则来实现自定义攻击行为的检测。WIPS利用Sensor监听无线信道来获取无线报文，通过报文解析，检测出具有某些自定义类型特征的报文，并将分析检测的结果进行归类处理。

每个Signature检测规则中最多支持配置6条子规则，分别对报文的6种特征进行定义和匹配。当设备解析报文时，如果发现报文的特征能够与已配置的子规则全部匹配，则认为该报文匹配该自定义检测规则，设备将发送告警信息或记录日志。

可以通过子规则定义的6种报文特征包括：

• 帧类型
• MAC地址
• 序列号
• SSID长度
• SSID
• 报文中指定位置的字段取值