客户端事件检测级别与签名描述

客户端事件检测级别与签名描述提供了关于无线客户端相关事件的检测级别和详细描述的简要概述。这些分类有助于理解和管理无线网络中事件的严重程度。检测级别从低到高不等，表示客户端相关事件的潜在影响。签名描述提供了关于每个事件的性质和特征的具体细节，有助于及时识别和适当应对无线环境中的潜在问题。这些功能共同增强了网络管理员主动应对客户端相关事件、提升网络安全性和性能的能力。

客户端事件检测级别

可配置用于客户端事件的检测级别。

低

• 检测有效的客户端误关联

中

• 检测断开站点攻击
• 检测 Omerta 攻击
• 检测 FATA-Jack 攻击
• 检测 Block ACK 拒绝服务攻击
• 检测热点攻击
• 检测未加密的有效客户端
• 检测省电模式拒绝服务攻击

高

• 检测 EAP 速率异常
• 检测速率异常
• 检测 Chop Chop 攻击
• 检测 TKIP 重放攻击
• IDS 签名 – 空中劫持
• IDS 签名 – ASLEAP
• 检测幽灵隧道客户端攻击

客户端事件 - 名称与描述

列出可用的客户端事件签名，以及用户指南和工程中的描述。

检测 Block ACK DoS

在802.11e中引入、在802.11n D3.0中增强的 Block ACK 机制存在内置的 DoS 漏洞。Block ACK 机制允许发送方使用 ADDBA 请求帧来指定接收方应期待的序列号窗口。接收方只接受该窗口内的帧。攻击者可以伪造 ADDBA 请求帧，导致接收方重置其序列号窗口，从而丢弃不在该范围内的帧。

非常容易受到低信噪比客户端以及其他移动设备（具有较差客户端驱动行为）的误报。建议除非客户非常注重安全且愿意根据客户端基线调整阈值，否则禁用。

检测 ChopChop 攻击

ChopChop 是一种针对 WEP 加密网络的明文恢复攻击。它通过逐字节截断捕获的帧，然后尝试所有256个可能的最后字节值（带校验和）来实现。正确的猜测会导致接入点重新传输该帧。当发生这种情况时，帧会再次被截断。

建议禁用，因为此攻击基于 WEP，而 WEP 不应再使用。

检测断开站点攻击

断开攻击可以通过多种方式发起；其结果是客户端被反复有效地与接入点断开连接。

容易受到误报，特别是在某些客户端与 Wi-Fi 断开/解除关联的情况下。建议禁用，除非客户非常注重安全且愿意根据客户端基线调整阈值。

检测 EAP 速率异常

为了验证无线客户端，WLAN 可以使用 802.1X，基于扩展认证协议（EAP）框架。在进行 EAP 数据包交换并成功验证用户后，接入点会向客户端发送 EAP-Success。如果用户验证失败，则会发送 EAP-Failure。在此攻击中，EAP-Failure 或 EAP-Success 帧被伪造，从接入点发向客户端，以破坏客户端的认证状态。这会混淆客户端状态，导致其断开与接入点的连接。攻击者通过持续发送 EAP Success 或 Failure 消息，实际上可以阻止客户端在 WLAN 中与接入点进行认证。

在 EAP 环境中容易出现误报。如果采取了适当的安全措施（如 WPA2 使用 RADIUS 和启用验证的有效证书等），风险较低。建议禁用，除非客户非常注重安全且愿意根据客户端基线调整阈值。

检测 FATA-Jack 攻击结构

FATA-Jack 是一种 802.11 客户端 DoS 工具，试图通过伪造包含无效认证算法编号的认证帧来断开目标站点。

建议启用，除非 WIDS 正在监控开放/公共 WLAN 网络。

检测 Hotspotter 攻击

Hotspotter 攻击是一种恶意双胞胎攻击，试图诱导客户端连接到恶意接入点。许多企业员工在机场、咖啡馆、商场等 Wi-Fi 热点区域使用笔记本电脑。他们在笔记本上配置了热点服务提供商的 SSID。不同热点服务提供商使用的 SSID 广为人知。这使攻击者能够在企业场所附近设置带有热点 SSID 的接入点。当企业笔记本客户端探测热点 SSID 时，这些恶意接入点会响应并邀请客户端连接。当客户端连接到恶意接入点时，可以对客户端发起多种安全攻击。Airsnarf 是一种常用的黑客工具，用于发起这些攻击。

建议禁用，尤其是在密集 WLAN 环境中或监控的 WLAN 被许多邻近 WLAN 环绕时。误报率很高，大多数威胁已被其他 WIDS 签名覆盖。

**检测 Meiners 节能 DoS 攻击

为了节省电力，无线客户端会周期性“休眠”，在此期间无法传输或接收。客户端通过向接入点发送带有 Power Management 位开启的帧，表示其打算休眠。接入点随后开始缓冲发往该客户端的流量，直到客户端表示已唤醒。攻击者可以利用此机制，通过伪造（spoofed）帧代表客户端向接入点发送，欺骗接入点相信客户端已休眠。这将导致接入点缓冲大部分甚至全部发往客户端的帧。

在密集环境或客户端快速漫游的短时间内，可能会出现较高的误报。建议禁用，除非客户非常注重安全且愿意根据客户端基线调整阈值，因为客户端非常激进地使用 PS-Poll。

检测 Omerta 攻击

Omerta 是一种 802.11 DoS 工具，在收到数据帧后向所有站点发送解除关联帧。Omerta 攻击的特征是带有原因码 0x01 的解除关联帧。该原因码为“未指明”，在正常情况下不会使用。

由于攻击的性质，无法进行精确设备识别，但可以进行大致定位。建议启用。

检测速率异常

许多 DoS 攻击通过大量 802.11 管理帧淹没接入点或多个接入点。这些管理帧包括认证/关联帧，旨在填满接入点的关联表。其他管理帧洪水，如探测请求洪水，也会消耗接入点的过多处理能力。

在密集环境或大量客户端和/或接入点的区域，容易出现误报。建议禁用，除非客户非常注重安全且愿意根据客户端基线调整阈值。

检测 TKIP 重放攻击

TKIP 易受到重放（通过 WMM/QoS）和明文发现（通过 ChopChop）攻击。这影响 WPA 和 WPA2 中所有使用 TKIP 的场景。攻击者通过在其他 QoS 队列中重放捕获的 TKIP 数据帧，操控 RC4 数据和校验和，以每分钟一字节的速度推导出明文。针对 ARP 帧并猜测已知载荷，攻击者可以提取完整的明文和 MIC 校验和。利用提取的 MIC 校验和，攻击者可以反向推导 MIC AP 到站点的密钥，并伪造未来的消息，符合 MIC 规范，从而开启更高级的攻击。

仅在监控基于 TKIP 的 SSID 时启用。现在所有 SSID 应该使用 WPA2（采用 AES 而非 TKIP）。建议禁用，除非客户有基于 TKIP 的 WLAN。

检测未加密的有效客户端

经过授权（有效）客户端在未加密模式下传输流量，是安全风险。攻击者可以使用嗅探器（sniffer）软件工具嗅探未加密的流量。这些数据包随后被重组，生成原始消息。

建议启用，除非监控的 WLAN 是开放的。监控开放 SSID 时不应启用，因为会产生大量警报。

检测有效客户端误关联

此功能不检测攻击，而是监控授权（有效）无线客户端及其在网络中的关联情况。有效客户端误关联可能对网络安全构成威胁。监控的误关联类型包括：

1. 授权客户端关联到Rogues接入点：有效客户端连接到Rogues接入点。
2. 与外部 AP 关联的授权客户端：在此背景下，外部 AP 指任何无效且非Rogues的 AP。
3. 与蜜罐接入点关联的授权客户端：蜜罐是指不合法的接入点，但使用已被指定为有效/受保护的 SSID。
4. 临时连接模式下的授权客户端：已加入临时网络的有效客户端。

建议在对安全性要求较高的客户中启用此功能，以防止客户端连接到非HPE Aruba Networking或非监控的WLAN SSID。

检测AirJack

AirJack是一套用于802.11(a/b/g)原始帧注入和接收设备驱动程序。它旨在作为所有需要访问原始协议的802.11应用的开发工具。然而，其中一个工具允许用户强制所有用户从接入点断开。

建议禁用，除非针对极高安全性要求的客户。

检测ASLEAP

ASLEAP是为Linux系统创建的工具，用于攻击Cisco LEAP认证协议。

建议禁用，除非HPE Aruba Networking WIDS是监控使用LEAP的Cisco WLAN的叠加层。

检测空探测响应

空探测响应攻击可能导致许多802.11 NIC的固件崩溃或锁死。在此攻击中，客户端的探测请求帧将由包含空SSID的探测响应进行回应。许多流行的NIC卡在接收此类探测响应后会锁死。

建议禁用，除非观察到大量未知原因的断开连接。大多数现代NIC不易受到此类攻击的影响。

最后修改时间：2024年3月12日（0fa8d52）