基础设施事件检测级别与签名描述

基础设施事件检测级别与签名描述提供了关于无线客户端相关事件的检测级别和详细描述的简要概述。这些分类有助于理解和管理无线网络中事件的严重程度。检测级别从低到高不等，表示客户端相关事件的潜在影响。签名描述提供了关于每个事件的性质和特征的具体细节，有助于及时识别和采取适当的应对措施，以应对无线环境中的潜在问题。共同，这些特性增强了网络管理员主动应对客户端相关事件的能力，从而改善网络安全和性能。

基础设施事件检测级别

可配置的基础设施事件检测级别。

低

检测 AP 冒充
检测 Windows 桥接
IDS 签名 - 解除认证广播
IDS 签名 - 去关联广播

中等

使用有效的 SSID 检测临时网络 – 有效 SSID 列表根据接入点配置自动配置。
检测畸形帧持续时间长

高

检测接入点冒充
检测临时网络
检测有效的 SSID 滥用
检测无线桥接
检测 802.11 40 MHz 不兼容性设置
检测主动的 802.11n 绿色场模式
检测 AP 食物攻击
检测客户端洪泛攻击
检测不良的 WEP
检测 CTS 速率异常
检测 RTS 速率异常
检测无效的地址组合
检测格式错误的帧 – HT IE
检测格式错误的帧关联请求
检测格式错误的帧 – 认证
检测溢出 IE
检测溢出 EAPOL 密钥
检测信标错误信道
检测具有无效 MAC OUI 的设备
检测幽灵隧道服务器攻击

基础设施事件 - 名称与描述

列出可用的基础设施事件签名，以及用户指南和工程中的描述。

检测 802.11n 40 MHz 不耐设置

当客户端将 HT 能力不耐比特设置为表示其无法参与 40 MHz BSS 时，接入点必须对所有客户端使用较低的数据速率。网络管理员通常希望知道是否有设备在广告 40 MHz 不耐，因为这可能影响网络性能。

启用此功能以指示在配置或监控 HT40+ ESSID 时，是否有客户端设置了不耐比特。当客户端设置了不耐比特时，可能会降低信道吞吐量。这不是安全相关问题。建议禁用。

检测主动 802.11n Greenfield 模式

当 802.11 设备使用 HT 操作模式时，它们不能与 802.11a/b/g 站点共享同一信道。不仅不能与传统设备通信，而且它们使用传输媒介的方式不同，这会导致冲突、错误和重传。

如果附近的 WLAN 以 Greenfield 模式广播，可能会生成详细的警报。尽管如此，Greenfield 已经非常罕见。建议禁用。

检测临时网络

临时网络是一组无线客户端，它们在没有使用接入点的情况下相互形成网络。就网络管理员而言，临时无线网络是不受控制的。如果不使用加密，它们可能会暴露敏感数据给外部窃听者。如果设备连接到有线网络并启用桥接，临时网络也可能像Rogues接入点一样工作。此外，临时网络可能会使客户端设备暴露于病毒和其他安全漏洞中。因此，许多管理员选择禁止临时网络。

这可能会生成非常详细的警报，因为诸如打印机、启用临时网络的移动设备等都可能被检测到。除非在 WLAN 覆盖区域内对设备有严格控制，且事件响应团队可以调查和处理警报，或者环境是高安全性客户，政策要求检测临时设备，否则建议禁用。

检测使用有效 SSID 的临时网络

如果未授权的临时网络使用与授权网络相同的 SSID，可能会误导合法客户端连接到错误的网络。如果客户端连接到恶意的临时网络，可能会发生安全漏洞或攻击。

虽然这种情况比基本的临时网络检测更少见，因为它需要临时网络配置有有效的 ESSID，但这也可能表明恶意意图。建议为任何安全意识强的客户启用。

检测接入点洪泛攻击

假接入点（Fake AP）是一种工具，最初用于通过广播包含数百个不同地址的信标帧来阻止 wardriver。这在 wardriver 眼中会表现为区域内有数百个接入点，从而隐藏真实的接入点。攻击者可以使用此工具向企业或公共热点广播虚假信标，迷惑合法用户，并增加客户端操作系统的处理负担。

如果担心大量客户端断开连接的报告，可以启用此功能。根据配置的阈值，这可能会产生较高的误报率。重启接入点或网关时，签名可能会重新触发，导致误报。如果接入点/访问管理器表已满（看到 254 个 BSSID，可以增加但会消耗更多的接入点处理能力），也可能触发误报。建议为任何高安全性客户启用。

检测接入点冒充

在接入点冒充攻击中，攻击者设置一个接入点，假装是有效接入点的 BSSID 和 ESSID。接入点冒充攻击可以用于中间人攻击、Rogues接入点试图绕过检测，或蜜罐攻击。

这是一种非常明确的攻击类型，恶意行为者伪造有效的 ESSID/BSSID。如果采取了适当的安全措施（如 WPA2 使用 RADIUS 和有效证书并启用验证等），风险较低。WPA2-PSK 应使用非常强的密码。开放的 SSID 会更容易受到攻击。除非管理的 WLAN 是“开放”的，或者客户是高安全意识客户，否则建议禁用。

检测无线托管网络

启用此功能后，可以检测到无线托管网络的存在。

检测到无线托管网络时，此功能会发送“无线托管网络”警告级别的安全日志消息和 wlsxWirelessHostedNetworkDetected SNMP trap。如果有客户端连接到托管网络，此功能还会发送“客户端已连接到托管网络”警告级别的安全日志消息和 wlsxClientAssociatedToHostedNetworkDetected SNMP trap。

检测 WIFI-Direct P2P 组

AOS 现在支持检测和控制与 Wi-Fi Direct 组相关的设备。Wi-Fi Direct 是一种无线托管网络的形式，具有许多相同的特性和概念，例如：

托管网络组和组长的概念。
作为客户端可以关联的 BSS 所建立的 softAP。
软AP的 BSSID 的推导，尽管不同设备的表现不同。
设备同时连接到 WLAN 基础设施并托管无线 BSSID 的能力。
设备允许从一个网络共享或访问到另一个网络的能力。

检测 AP 冒充

AP 冒充攻击涉及入侵者发送伪造的帧，使其看起来像来自合法的 AP。攻击者很容易做到这一点，因为有现成的工具可以注入带有任何用户想要的 MAC 地址的无线帧。伪造合法 AP 的帧是许多无线攻击的基础。

可被攻击者用来强制客户端重新密钥，以更快地确定加密密钥（例如使用弱 WPA2-PSK）。建议启用。

检测不良 WEP

这是检测已知为弱的 WEP 初始化向量。破解 WEP 密钥的主要手段是长时间捕获 802.11 帧，并搜索仍被许多遗留设备使用的此类弱实现。

WEP 不应再在任何地方使用。建议禁用，除非目标是保护一个过时的基于 WEP 的 WLAN。

检测信标错误信道

在此类攻击中，入侵者在与 AP 广告的信标帧不同的信道上伪造信标包。

容易产生误报，因为当附近或监控的 WLAN 经常变换信道（这是非常常见的）时会触发，只有在大量出现时才适用，即使如此，也可能是误报。建议禁用。

检测客户端泛洪

存在伪造 AP 工具，可用于攻击无线入侵检测系统本身，通过生成大量伪造客户端，填充内部表格，若成功，会使无线入侵系统不堪重负，导致拒绝服务（DoS）。

可以启用，但通常是对 WIDS 的攻击。类似于 AP 洪水，可能导致误报。如果启用，阈值应设置为最高150。建议禁用，除非客户对安全非常重视，愿意根据客户端基线调整阈值。

检测 RTS 速率异常

RF 媒介可以通过虚拟载波感知（Virtual Carrier Sensing）使用清除发送（CTS）事务进行预留。发射站向接收站发送准备好发送（RTS）帧，接收站回应 CTS 帧。所有接收这些 CTS 帧的站点将在帧中的持续时间字段指定的时间内避免在无线媒介上传输。攻击者可以利用虚拟载波感知机制，通过传输大量 RTS 和/或 CTS 帧，对 WLAN 发起拒绝服务（DoS）攻击。这会导致 WLAN 中的其他站点推迟传输，攻击者实际上可以用此攻击阻塞授权站点。

这是非常常见的误报，通常表明客户端驱动程序存在问题，需要对已知客户端环境进行基线分析，以区分“正常”与“异常”。主要是基于 DoS 的攻击，旨在中断传输。建议禁用，除非客户对安全非常重视，愿意根据客户端基线调整阈值。

检测 CTS 速率异常

RF 媒介可以通过 RTS 事务进行虚拟载波感知预留。发射站向接收站发送 RTS 帧，接收站回应 CTS 帧。所有接收这些 RTS 帧的站点将在帧中的持续时间字段指定的时间内避免在无线媒介上传输。攻击者可以利用虚拟载波感知机制，通过传输大量 RTS 和/或 CTS 帧，对 WLAN 发起拒绝服务（DoS）攻击。这会导致 WLAN 中的其他站点推迟传输，攻击者实际上可以用此攻击阻塞授权站点。

检测设备具有不良 MAC OUI

MAC 地址的前三个字节，称为 MAC 组织唯一标识符（OUI），由 IEEE 分配给已知制造商。通常，使用伪造 MAC 地址的客户端不会使用有效的 OUI，而是使用随机生成的 MAC 地址。

非常冗长的误报，由虚拟 MAC 以及不断发布的新 MAC 地址 OUIs 引发。建议禁用。

检测无效地址组合

在此类攻击中，入侵者可以导致 AP 传输去认证和解除关联帧给所有客户端。触发此类情况的原因包括在源地址字段中使用广播或多播 MAC 地址。

这是对 WLAN 的拒绝服务（DoS）攻击。格式错误的帧、客户端驱动程序问题、邻近的坏 AP 等都可能触发此类攻击。误报率极高，通常不构成安全威胁。建议禁用，除非客户对安全非常重视，所有客户端设备都经过管理、测试和追踪。

检测溢出 EAPOL 密钥

某些在接入点中使用的无线驱动程序未能正确验证 EAPOL 密钥字段。带有无效广告长度的恶意 EAPOL 密钥包可能触发 DoS 或潜在的代码执行。这只能在成功的 802.11 关联交换后实现。

建议禁用，除非 HPE Aruba Networking WIDS 作为叠加层。对于性能不佳的客户端或非常密集的客户端环境，可能会显示误报。仅在 HPE Aruba Networking WLAN 作为叠加层且客户对安全高度重视时启用。

检测溢出 IE

某些在接入点中使用的无线驱动程序未能正确解析供应商特定的 IE 标签。向 AP 发送的恶意关联请求中包含不适当长度（过长）的 IE，可能导致拒绝服务（DoS）并可能引发代码执行。关联请求必须在成功的 802.11 认证交换后发送。

检测格式错误的关联请求

某些在接入点中使用的无线驱动程序未能正确解析关联请求帧中的 SSID 信息元素标签。带有空 SSID（即零长度 SSID）的恶意关联请求可能触发拒绝服务（DoS）或潜在的代码执行。

检测格式错误的认证帧

不符合规范的 802.11 认证帧可能暴露某些未正确实现错误检查的驱动程序中的漏洞。此功能检测认证帧中的异常值。

检测格式错误的 HT IE

IEEE 802.11n 高吞吐（High Throughput）信息元素（HT IE）用于传达关于 802.11n 网络的信息。包含格式错误的 HT IE 的管理帧可能导致某些客户端实现崩溃，潜在地在被恶意攻击者传输时成为可利用的漏洞。

检测大持续时间的格式错误帧

虚拟载波感知攻击通过修改 802.11 MAC 层实现，允许周期性发送随机持续时间值。这种攻击可以在 ACK、数据、RTS 和 CTS 帧类型上使用大持续时间值，从而阻止合法用户访问信道。

建议禁用。由于其他厂商的 AP 也经常发送大持续时间帧，可能会导致误报，且会引起延长的持续时间和长时间的占用。

检测配置错误的 AP

可以配置一系列参数以定义有效 AP 的特征。此功能主要用于网络中使用非 HPE Aruba Networking AP 时，因为 HPE Aruba Networking 网关无法配置第三方 AP。这些参数包括 WEP、WPA、MAC 地址的 OUI、有效信道和有效 SSID。

建议禁用，除非监控第三方 WLAN。可能会因性能不佳的客户端或密集的客户端环境而产生误报，也可能检测到在不同位置的 AP 冒充。如果启用，仅适用于物理环境受控且对安全高度重视的客户。

检测 Windows 桥接

Windows 桥接发生在关联到 AP 的客户端同时连接到有线网络并启用桥接的情况下。

建议对安全重视的客户启用。通常误报较少。

检测无线桥接

无线桥接通常用于连接多个建筑物。然而，攻击者可能在网络内部放置（或由授权人员放置）无线桥接，以扩展企业网络到建筑物外部。无线桥接与Rogues AP 略有不同，因为它们不使用信标，也没有关联的概念。大多数网络不使用桥接——在这些网络中，桥接的存在意味着存在安全问题。

建议启用，但非 HPE Aruba Networking 无线桥接必须标记为“有效”。不会在 ArubaOS Mesh 上触发，但可能在其他厂商的 Mesh 解决方案上触发。

检测广播去认证

去认证广播试图断开所有范围内的站点。此攻击不是向特定 MAC 地址发送伪造的去认证帧，而是将帧发送到广播地址。

建议启用，可能需要现场排查以缩小源头。

检测广播解除关联

通过向广播地址（FF:FF:FF:FF:FF:FF）发送解除关联帧，攻击者可以断开网络上的所有站点，造成大范围的拒绝服务（DoS）。

建议启用，可能需要现场排查以缩小源头。

检测 NetStumbler

NetStumbler 是一款流行的 wardriving 应用，用于定位 802.11 网络。与某些网卡配合使用时，NetStumbler 会生成特征帧，可以被检测到。NetStumbler 3.3.0 版本对特征帧进行了微调。

建议禁用，不再是常见的威胁向量。

检测有效 SSID 滥用

如果未授权的 AP（邻居或干扰源）使用与授权网络相同的 SSID，可能会欺骗合法客户端连接到错误的网络。如果客户端连接到恶意网络，可能会发生安全漏洞或攻击。

建议启用。

检测 Wellenreiter

Wellenreiter 是一种被动无线网络发现工具，用于收集附近 AP 的 MAC 地址、SSID、信道和安全设置。它被动监听无线流量，某些版本（1.4、1.5 和 1.6）还会发送主动探测，目标是已知的默认 SSID。

建议禁用，因为它基于 WEP，而 WEP 不应再使用。

最后修改时间：2024年3月12日（0fa8d52）