無線阻斷服務攻擊(Wireless Denial of Service)

無線網路的阻斷服務攻擊(Denial of Service，DoS)和有線網路上的

DoS攻擊手法並非完全一致，有線網路的阻斷服務攻擊以絕對優勢的頻寬 和處理效能向提供服務的主機發送大量的封包，讓服務主機無法提供正 常服務，而在無線網路上的阻斷服務攻擊，由於IEEE 802.11標準在安全 上的設計並不健全，導致有許多的漏洞可被利用來進行攻擊，絕大部分 是利用偽造真實訊框的欄位內容來欺騙無線基地台或是無線客戶端，並 持續的發送特定的訊框來達到阻斷服務的目的，這類攻擊方式並不需要 大量的頻寬，只需要安裝攻擊軟體和一張支援該軟體的無線網卡即可輕 易達成攻擊的目的。一般來說常見的阻斷服務攻擊有下列幾種方式：

(1) 解 除 認 證 ∕ 解 除 聯 結 訊 框 攻 擊 (Deauthentication/Association

Attack)

每當無線端點欲存取無線資源時，會先向所處區域內的無線基地台 進行身分認證的動作，此時無線端點會向基地台交換身分認證訊框

(Authentication)，整個認證的步驟可能包括好幾個程序(依使用的認證演 算法而有所差異)，故每個認證訊框的訊框本體中都有其各自的身分認證 交易順序編號(Authentication Transaction Sequence Number)。一旦無線行

動端點找到相容的基地台並通過身分認證後便會開始進行連接網路的動 作，此時會發送聯結要求訊框(Association Request)給基地台試圖加入網 路，在不同的認證與聯結狀態(圖2-6)所能傳送的訊框等級(表2-3)亦有所 不同。在狀態1時由於未經身分認證與聯結故僅能發送第1級訊框，直到 身分認證過後進入狀態2才能發送第2、3等級之訊框，以此類推。資料的 傳輸屬於第3級訊框，需通過身分認證且聯結進入狀態3後才能進行傳 送，故在遭受持續解除認證與解除聯結的攻擊情況下，是無法有效的進 行資料傳輸行為。

圖 2-6 連線狀態流程圖

資料來源：「

802.11 Wireless Networks

The Definitive Guide

表2-3 訊框等級表

控制訊框 管理訊框 資料訊框

第1級訊框

RTS Probe Request

CTS Probe Response

ACK Beacon CF-End Authentication CF-End+CF-Ack Deauthentication

ATIM

ToDS 與 FromDS 兩欄位皆為0之任 何訊框

第2級訊框 Association Request/Response 無

Disassociation

無

第3級訊框

PS-Poll Deauthentication 任何訊框

正當的無線用戶通過認證並建立聯結後表示可以開始進行資料之傳 送，基於IEEE802.11無線網路之特性，802.11 MAC層訊框標頭並未經過 任何相互驗證或加密，導致有心人士可以經由被動式無線監聽軟體(如

Airopeek、Kismet等)探測頻道上的傳輸，並偽造無線基地台或無線端點 的 MAC Address 對 另 一 端 發 送 解 除 認 證 (Deauthentication)或 解 除 聯 結 (Disassociation)訊框，讓已通過認證及聯結的無線端點誤認另一方欲解除 認證或聯結，此時若無線端點有資料欲傳送，便需要重新發送認證或聯

結訊框(圖2-7)。攻擊者藉由不斷的發送解除認證或解除聯結訊框來讓正 當使用者淪於重複執行重新認證與聯結要求的迴圈中而無法傳輸真正的 待傳封包 [5]。一般而言，發送解除認證訊框比解除聯結訊框更具威脅，

因為解除認證會使無線端點執行更多的步驟來回到聯結狀態，又因目前 尚無良好的防範機制，故攻擊者可輕易的利用Void11[26]等解除認證攻擊 軟體達到阻斷攻擊的目的。

圖 2-7 解除認證/解除聯結訊框攻擊

(2) 虛擬載波偵測攻擊(Virtual Carrier Sense Attacks)

虛擬載波偵測(Virtual Carrier Sensing)機制原本是用來避免隱藏節點 (Hidden Terminals)可能產生的碰撞。通常在802.11MAC層訊框標頭利用 Duration欄位來記載網路配置向量值(Network Allocation Vector，NAV)，

用來預訂該次傳輸從開始到結束欲佔用媒介多久時間，只要NAV值不為0 即代表媒介目前處於忙碌狀態，非通訊中的端點接收到該類訊框便會依 據NAV值進行等待。基於此特性，惡意人士可能利用修改RTS(Request To Send)/CTS(Clear To Send) 內 的 Duration 欄 位 將 NAV 值 改 為 最 大 值 32767，並持續發送該類訊框約每秒30次便可完全佔據整個無線媒介，讓 其他無線端點無法進入媒介存取競爭，使傳輸無法進行。

(3) RTS/CTS/ACK 洪水攻擊 (Flooding Attack)

大部分的無線網路架構採用分散式協調功能(DCF)進行競爭式存 取，為避免碰撞的發生利用訊框間隔來協調媒介的存取，訊框間隔時間 的長短影響競爭媒介時的優先順序，通常在一般競爭式作業環境下的傳 輸訊框間隔時間為DIFS，而在高優先的傳輸場合，每個訊框在傳送時最 短只需間隔SIFS時間，故一旦以SIFS為間隔時間的高優先權傳輸開始，

如RTS/CTS/ACK等訊框，媒介則立即處於忙碌狀態，一般的資料訊框則 暫停傳送。基於此特性，惡意人士可藉由高功率的信號發送器，在SIFS

的間隔時間內不等待無線用戶端回應，持續的發送高優先權訊框來造成 無線媒介的忙碌，以達到阻斷服務攻擊(DoS)的目的[12]。在Shih-Tsung L.

的研究中[13]也提到利用發送錯誤的FCS(Frame Check Sequence)訊框會 使訊框的間隔時間(IFS)變為EIFS(EIFS>DIFS)，直到重新接收到正確的訊 框後IFS才會被設定回DIFS，若持續含有錯誤FCS的RTS/CTS/ACK等訊 框，亦會造成無線傳輸效能上的影響。

(4) 電力節省攻擊(Power Save Attack)

無線網路為考量行動裝置電力有限的問題，故 802.11MAC 標準設計 讓 目 前 無 資 料 要 傳 輸 的 無 線 裝 置 進 入 休 眠 (Sleeping) 或 稱 省 電 模 式

(Power-Saving)的狀態以節省電力。當無線客戶端進入休眠狀態時，無線 基地台會週期性的發送 Beacon 訊框並藉由訊框本體內的資料待傳指示 訊 息 (Traffic Indication Map ， 簡 稱 TIM) 與 資 料 待 傳 間 隔 週 期 (TIM

Period )，告知無線客戶端目前有無待傳的訊框，以及間隔幾個 Beacon 訊框週期後應甦醒聆聽來自基地台的 TIM 訊息，如 TIM 訊息指出目前 有 待 傳 的 訊 框 要 傳 送 ， 無 線 客 戶 端 則 會 向 基 地 台 發 送

PS-Poll(Power-Saving Poll)訊框來取得待傳的訊框。而電力節省攻擊可利 用幾種方式進行攻擊：(a)偽造 TIM 訊框：利用發送偽造的 TIM 訊框讓 無線客戶端以為目前基地台內無待傳的資料而持續保持睡眠狀態；(b)偽

造 PS-Poll 訊框：趁無線客戶端進入休眠狀態時發送偽造客戶端的 PS-Poll 訊框來取得基地台內暫存的資料，使原本要傳給真實無線客戶端之資料 流失。

(5) 偽造 AP 攻擊(Fake AP Attack)

由於可利用 HostAP 等軟體和特定的網卡來模擬出無線基地台，並 發送出含有 SSID 的訊框讓無線客戶端連結，惡意人士便利用此一方式 研發出可任意發送出隨機 SSID 的偽造 AP 軟體如 Fake AP，來混淆無線 客戶端，當偽造的 AP 數量極大時便會造成客戶端忙於尋找真實的 AP 而遲遲無法進行連線。