以訊框序號過濾偽造封包之無線入侵偵測系統
79
0
0
全文
(2) 以訊框序號過濾偽造封包之無線入侵偵測系統 研 究 生:張成祥. 69 頁. 指導教授:魏大雅 博士. 國立屏東商業技術學院資訊管理系(所). 摘要. 由於現今的無線安全機制大多數只針對封包的資料內容部份,並無 對 802.11 MAC 層的訊框標頭作任何加密防護或安全性認證,導致有意 人士可利用無線網路的安全性缺陷,透過大量發送偽裝的訊框來阻塞無 線網路媒介,使正常使用者無法有效的連線。為能有效偵測 802.11 MAC 層的 DoS 攻擊,本論文提出以訊框序號來過濾偽造的封包,並分析封包 傳輸間的規則性來偵測不合理的傳輸與攻擊行為。本文實作一無線入侵 偵測系統,並模擬解除認證 DoS 攻擊,再以本文所提出之方法來過濾偽 造訊框,最後探討其識別率、錯誤率與效能。本無線入侵偵測系統能以 不更改目前 IEEE 802.11 協定標準下,以 98.963%的識別率成功過濾出偽 裝的惡意訊框,並對惡意人士的無線網路 DoS 攻擊適時發出警報及對應 的警告訊息,來告知網路管理者目前無線網路的即時狀況。. 關鍵詞:無線網路阻斷式攻擊、無線入侵偵測系統、訊框序號、 解除認證攻擊。. -I-.
(3) Abstract Nowadays the most of wireless security mechanism only encrypt for the data payload of packets, no encryption or mutual authentication to 802.11 MAC Header. By the way of flaws in the 802.11 security protocol, an attacker can transmit mass spoofed packets to fill up the medium on wireless network and lead the real client unable to make a connection effectively. In order to detect wireless DoS attacks on 802.11 MAC layer, this thesis propose a spoofed packets filter approach using the sequence number field in 802.11 MAC Header, and analyze the transmission regularity among packets to detect illegal transmission and attack behavior. A WIDS (Wireless Intrusion Detection System) spoofed packets filter is implemented, a deauthentication DoS attack is simulated, and, finally, the hit rate, error rate, and efficiency are evaluated here. Without altering the IEEE 802.11 standard, this approach can filter spoofed packets successfully with 98.963% hit rate. After wireless DoS attacks detected, WIDS will send out the appropriate alarm and warning to notify the administrators in real time.. Key words:Wireless Denial of Service、WIDS (Wireless Intrusion Detection System)、Sequence Number 、Deauthentication Attack. -II-.
(4) 誌 謝. 研究所生涯轉眼間已走到了尾聲,回首這兩年來的日子,讓我收穫良 多,非常感謝指導教授 魏大雅老師給我很大的空間能夠朝自己感興趣的 領域去努力耕耘,研究期間老師提供了我許多的資源及指導,並在我遇 到瓶頸時給予我一盞明燈,這兩年來承蒙老師的照顧才能使我順利畢業。 感激老師及兩位口試委員 陳俊麟教授 與 楊中皇教授在論文審查與 口試期間費心的修正我在論文中的錯誤,並提供寶貴的意見使本論文更 佳的嚴謹而充實,在此致上最誠摯的敬意。 兩年期間,非常感謝本班每位同學的陪伴與研究上的幫助,多虧了各 位才能使我的研究所生涯更加多采多姿,也感謝婷鈺助教在所上對我的 叮嚀及照顧,專科死黨彬弘給我奮發向上的動力,更要感謝我的父母, 不斷的鼓勵我向學,給我最好的教育及資源,沒有他們就沒有今日的我。 最後對所有曾經陪伴我走過求學生涯的朋友們說聲謝謝,感謝你們的出 現,繽紛了我人生中最燦爛的學生歲月。. 張成祥 誌於 國立屏東商業技術學院資管所 民國九十四年六月. -III-.
(5) 目錄 第1章. 緒論 ................................................................................1. 1.1. 簡介.................................................................................................. 1. 1.2. 研究動機.......................................................................................... 2. 1.3. 論文架構.......................................................................................... 3. 第2章 2.1. 文獻探討.........................................................................4. 802.11 MAC層架構 ............................................................................ 4. 2.1.1. 無線媒介連線存取之建立....................................................... 4. 2.1.2. 無線媒介的競爭存取與協調................................................... 5. 2.1.3. 802.11 訊框傳送間隔時間 .......................................................... 7. 2.1.4. 802.11MAC訊框格式 .................................................................. 9. 2.2. 無線媒介存取控制層弱點............................................................ 15. 2.2.1. 無線阻斷服務攻擊(Wireless Denial of Service) ................... 17. 2.2.2. 會談攔截式攻擊 (Session Hijacking)................................... 23. 2.2.3. 驅車式攻擊(War Driving) ...................................................... 24. 2.2.4. 加密破解(Encryption Cracked).............................................. 24. 2.3 2.3.1. 無線網路攻擊之防禦技術............................................................ 26 偽造封包之過濾..................................................................... 26. -IV-.
(6) 2.3.2. 加密破解之防禦..................................................................... 27. 2.3.3. 阻斷服務攻擊之防禦............................................................. 28. 第3章. 研究架構及方法...........................................................30. 3.1. 無線入侵偵測系統........................................................................ 30. 3.2. 系統架構........................................................................................ 31. 第4章. 系統實作.......................................................................39. 4.1. 系統流程........................................................................................ 39. 4.2. 實作環境........................................................................................ 43. 4.3. 解除認證阻斷服務攻擊模擬........................................................ 46. 第5章. 實驗分析及效能評估...................................................50. 5.1. 封包過濾模組之識別率與誤判率分析 ....................................... 50. 5.2. 警報門檻值分析............................................................................ 58. 5.3. 系統效能分析................................................................................ 62. 第6章. 結論 ..............................................................................64. 參考文獻 ........................................................................................66. -V-.
(7) 圖目錄 圖 2-1 RTS/CTS建立連線步驟 .................................................................. 4 圖 2-2 IEEE802.11 MAC層協調功能 ........................................................ 6 圖 2-3 虛擬載波偵測示意圖...................................................................... 8 圖 2-4 802.11 MAC層訊框格式................................................................. 9 圖 2-5 Duration/ID 欄位格式 .................................................................. 12 圖 2-6 連線狀態流程圖 ............................................................................ 18 圖 2-7 解除認證/解除聯結訊框攻擊....................................................... 20 圖 2-8 中間人攻擊(Man-In-The-Middle Attack) ..................................... 24 圖 2-9 發送偽造訊框干擾Airsnort .......................................................... 28 圖 3-1 無線入侵偵測系統架構圖............................................................ 31 圖 3-2. 封包擷取模組架構圖 ................................................................... 32. 圖 3-3. 封包特徵資料庫(PCDB) .............................................................. 36. 圖 4-1 系統流程圖 .................................................................................... 41 圖 4-2 實驗環境架構圖 ............................................................................ 44 圖 4-3 受攻擊時網路流量圖.................................................................... 46 圖 4-4 攻擊時訊框類型分佈圖................................................................ 47 圖 4-5 void11 發送解除認證攻擊............................................................ 48 圖 4-6 無線入侵偵測系統........................................................................ 49. -VI-.
(8) 圖 4-7 系統發送警報訊息........................................................................ 49 圖 5-1 封包判斷樹狀圖 ............................................................................ 51 圖 5-2 訊框序號範圍值之次數分配表.................................................... 57 圖 5-3 訊框間隔時間、信號與訊框序號範圍值之關係........................ 57 圖 5-4 每秒誤判數之次數分佈圖............................................................ 59 圖 5-5 不同攻擊頻率下傳輸流量之變化................................................ 61 圖 5-6 無線入侵偵測系統佔CPU資源趨勢圖 ........................................ 63. -VII-.
(9) 表目錄 表 2-1 訊框類型表 .................................................................................... 10 表 2-2 常見的無線攻擊 ............................................................................ 16 表 2-3 訊框等級表 .................................................................................... 19 表 4-1 實驗設備列表 ................................................................................ 45 表 4-2 攻擊時各訊框類型總數................................................................ 47 表 5-1 無進行攻擊時之封包過濾誤判率................................................ 53 表 5-2 進行攻擊時封包過濾之識別率與誤判率.................................... 55. -VIII-.
(10) 第1章 緒論. 1.1 簡介 隨著無線網路技術的快速進步,無線網路所包含的範圍不斷地延 伸,其標準小至短距離個人無線領域(Wireless Personal Area Network)的 802.15,中至區域領域(Wireless Local Area Network)的 802.11,大至都會 型無線網路(Wireless Metropolitan Area Network)的 802.16,不但在連結的 距離上拉長,且在傳輸的速度上皆有所提升,於是乎越來越多的企業機 關看上了無線技術的便利性與未來的發展,紛紛選擇採用無線技術來部 署組織的內部網路。雖然無線網路是目前市場的潮流,但在這個無線技 術與規格的戰國時代中,非但各家使用的規格不統一,在安全上的漏洞 也是一一被揭露。 無線區域網路不受實體建築的阻隔,並省去了繁瑣的佈線工程,只 要在無線基地台的信號範圍內即可隨意的連接上網,可說是相當便利, 但相對地在安全性方面卻不盡人意,針對 IEEE802.11 無線區域網路而 言,惡意人士也可輕易的透過無線封包探測軟體來擷取到無線頻道上的 所有封包,儘管可利用現有的無線網路加密方式來對封包的內容做加 密,但目前大多數的無線加密機制只針對 Data 部份加密,而忽略了無線 網路的 MAC 層標頭的加密及相互認證動作,導致惡意人士可針對無線. -1-.
(11) MAC 層在安全性上的疏失,藉由高功率的發射器來加以進行阻斷服務 攻擊,迫使真正需要無線網路資源之使用者無法有效連結網路。. 1.2 研究動機 由於現行的 802.11 MAC 層標準所著重的加密大多落實於封包內容 的加密上,而忽略了在 MAC 層標頭上的安全性防護,大部分的安全性 認證或相關的安全研究也大多實作在網路層以上,而無線網路主要是利 用 802.11 MAC(媒介存取控制層)層協定來負責訊框的封裝作業(Core Framing Operation)及無線節點間連線的建立與中斷之協調,因此無線網 路 MAC 層的安全亦顯得相當重要。目前已有多項無線網路的 MAC 層 弱點被提出[15],其中包括虛擬載波偵測攻擊、電力節省攻擊及解除認 證洪水攻擊等,而無線網路的 DoS 攻擊,通常是利用 IEEE802.11 MAC 層協定的安全性缺陷來達成阻斷無線網路服務的使用。無線阻斷服務攻 擊對應的防禦方法在近年來陸續被多位學者所探討,而本研究主要是針 對 802.11MAC 層的解除認證(Deauthentication)與解除聯結(Disassociation) 訊框 DoS 攻擊作探討,期望能在不改變目前的 802.11MAC 層協定架構 下,有效過濾出偽裝的封包,以避免惡意人士的攻擊,本文提出一個防 禦機制以抵抗偽造的解除認證與解除聯結等類無線阻斷服務攻擊,並建 構一無線環境,模擬該類攻擊與防禦機制以評估其效用。. -2-.
(12) 1.3 論文架構 本論文之架構如下:第一章為本研究的動機與目的。第二章為相關 文獻的探討包括 IEEE 802.11MAC 層架構介紹,如 802.11MAC 層訊框標 頭、無線網路媒介存取與協調的簡介,以及無線區域網路的威脅之探討, 並針對無線網路上的各類攻擊作一整理及介紹。第三章對前一章節各種 無線威脅作一分析,本研究提出一適當的偽裝封包過濾演算法來偵測無 線網路上的入侵與攻擊。第四章說明系統的實作及實驗的環境架構。第 五章以本論文提出之偵測方法作識別率、錯誤率與效能上的評估。第六 章為本論文之結論及未來研究之方向。. -3-.
(13) 第2章 文獻探討. 2.1 802.11 MAC 層架構 2.1.1. 無線媒介連線存取之建立. 圖 2-1 RTS/CTS 建立連線步驟. 在無線網路中,當無線存取點間彼此要建立連線前會先利用發送 RTS(Request to Send)/CTS(Clean to Send)兩種訊框來確保傳輸頻道的暢 通,如圖 2-1 所示,將整個連線的建立分為三階段,第一階段,當節點 A 有訊號要傳送給節點 B,會先對外廣播 RTS 訊框,主要目的是要預約 AB 間無線媒介的使用權並要求接收端以外的節點 C 在收到 RTS 訊框後 保持沉默;第二階段,接收端 B 收到 RTS 訊號後會廣播 CTS 訊框給所. -4-.
(14) 有節點,目的是要告訴所有節點,B 節點已保留媒介準備好接收來自 A 的傳輸,並要求 A 以外的節點勿再傳資料給 B;第三階段,A 在收到 CTS 後便會開始傳送控制訊框,B 若成功接收到來自 A 的訊框後便會回 傳 ACK 表示正式建立連線。由於無線網路 MAC 層協定採取正面回應模 式(Positive Acknowledgment)機制,也就是說每一個所發送出去的訊框都 應收到回應,如無收到回應則表示訊框已遺失。由於 RTS/CTS 在整個傳 輸過程中耗費多個訊框,會消耗較多頻寬與時間,故較適用於無線網路 用量密集的環境,部份網卡驅動程式支援使用者可在區域內的無線端點 數很少時自定是否開啟 RTS/CTS 功能。. 2.1.2. 無線媒介的競爭存取與協調. 當無線端點日漸增加時,難免同時會有兩端點以上向同一端點進行 傳輸的碰撞發生,此時無線媒介是藉由兩種協調方式來進行媒介的存取 控 制 如 圖 2-2 , 一 般 而 言 大 部 分 的 無 線 傳 輸 採 用 分 散 式 協 調 功 能 (Distributed Coordination Function, DCF)來進行媒介協調,DCF 是標準 CSMA/CA(Carrier Sense Multiple Access with Collision Avoidance)載波偵 測的基礎,也就是當載波偵測到媒介正處於忙碌時即隨機選定一段延後 時間(Backoff Time)來避免碰撞[10]。. -5-.
(15) 圖 2-2 IEEE802.11 MAC 層協調功能. 資料來源:「802.11 Wireless Networks:The Definitive Guide」[7]. 802.11 的載波偵測分為實體載波偵測(Physical Carrier-Sensing)與虛 擬載波偵測(Virtual Carrier-Sensing),實體載波偵測架構於實體層上,需 藉由實際的硬體來實現,成本較高實用性也較差,而虛擬載波偵測是由 網路配置向量(Network Allocation Vector, NAV)來達成無線媒介競爭協 調,在 802.11 標準中 RTS/CTS 訊框內有一個 Duration 欄位內含 NAV 值, 此 NAV 值會隨時間而遞減,其單位為毫秒(Microsecond, µs),主要是用 來預約此次傳輸所應佔用媒介的時間,如此可防止其它無線端點在傳輸 過程中存取媒介所導致的碰撞,故只要 NAV 值不為 0 則代表媒介目前 正處於忙碌狀態。. -6-.
(16) 2.1.3. 802.11 訊框傳送間隔時間. 訊框間隔即是在各種傳輸模式下每個欲傳送的訊框所必須間隔的最 小時間,在 802.11 標準中用到四種不同的訊框間隔時間來協調在不同傳 輸模式下媒介的存取控制: (1) 短訊框間隔(Short InterFrame Space, SIFS) SIFS 是最小的訊框間隔時間,主要用於某些高優先權的訊框, 例如 RTS/CTS 或 ACK 等較高優先權的訊框。. (2) PCF 訊框間隔(Point coordination function InterFrame Space, PIFS) PIFS 的間隔時間較 SIFS 來的長,主要適用於免競爭作業環境, 較一般的 DIFS 競爭傳輸間隔來的短,以確保在免競爭模式下其 傳送的優先權高於一般競爭模式下的訊框。. (3) DCF 訊框間隔(Distributed coordination function InterFrame Space, DIFS) DIFS 適用於一般的競爭式服務環境下,也是大部分傳輸作業所 採用的訊框間隔時間,訊框間隔時間大於 PIFS。. (4) 延長訊框間隔(Extended InterFrame Space,EIFS) EIFS 通常只有在訊框傳輸發生錯誤時才用到,其無固定的間隔 時間。. -7-.
(17) 以上訊框間隔時間的大小依序是 DIFS>PIFS>SIFS,整個虛擬載波偵 測的過程如圖 2-3,傳送端再發送出的 RTS 訊框會利用 NAV 預約媒介一 段時間以供傳輸,由於 RTS/CTS 是優先權較高的訊框,故接收端在間隔 SIFS 時間後立即發送 CTS 訊框來告知其他端點目前媒介正在使用中, 若不是原傳送端,請勿傳送訊框來以免造成碰撞。. 圖 2-3 虛擬載波偵測示意圖. -8-.
(18) 2.1.4. 802.11MAC 訊框格式. 圖 2-4 802.11 MAC 層訊框格式. IEEE802.11 MAC 的訊框格式如圖 2-4 所示,欄位的傳送順序由左至 右,其中包含 30 bytes 的 802.11MAC 訊框標頭(MAC Header)、0~2312 bytes 的訊框主體(Frame body) 以及 4 bytes 的錯誤檢查碼(Frame Check Sequence, FCS),以下分別說明之。 z 802.11 MAC Header:主要包含以下欄位 (1) Frame Control:佔 16 bits,負責訊框的控制,其中又包含以下欄位 • Protocol Version:用以表示 MAC 層協定的版本,由於 802.11MAC 只有一個版本,其版本編號為 0。 • Type 和 Sub Type:兩欄位共 6 bits 是用來辨識訊框類型的最主要 的欄位,其欄位值與名稱所對應的訊框類型如表 2-1。. -9-.
(19) 表 2-1 訊框類型表 Type. 00 (管理訊框). 01 (控制訊框). 10 (資料訊框). Subtype. 訊框用途. 0000. 聯結請求(Association Request). 0001. 聯結回覆(Association Response). 0010. 重新聯結請求(Reassociation Request). 0011. 重新聯結回覆(Reassociation Response). 0100. 探索請求(Probe Request). 0101. 探索回應(Probe Response). 1000. 烽火訊框(Beacon). 1001. 資料待傳旗標(ATIM). 1010. 解除聯結(Disassociation). 1011. 身分認證(Authentication). 1100. 解除認證(Deauthentication). 1010. 省電模式-輪詢(Power Save-Poll). 1011. 請求傳送(RTS). 1100. 可以傳送(CTS). 1101. 回應(ACK). 1110. 結束免競爭期間(CF-End). 1111. 結束免競爭期間(CF-End) + 免競爭期間回應(CF-ACK). 0000. 資料訊框(Data). 0001. Data + CF-Ack. 0010. Data + CF-Poll. 0011 0100. Data + CF-Ack +CF-Poll 無資料(未傳送資料). 0101. CF-Ack(未傳送資料). 0110. CF-Poll(未傳送資料). 0111. Data + CF-Ack + CF-Poll 保留尚未使用. 11. 資料來源:「802.11 Wireless Networks:The Definitive Guide」. -10-.
(20) • ToDS 與 FromDS:當 ToDs 為 1 時表示此「資料訊框(包括廣播及 群撥訊框)」是要傳送到分散式系統(Distribution System),相對的 當 FromDS 為 1 時表示此資料訊框是從分散式系統所傳送出的。 • More Fragments:當此 bit 設為 1 時表示有未傳送完的分割片段 (Fragments)待傳送,當訊框類型為控制訊框時此欄位必為 0。 • Retry:當此 bit 設定為 1 時表示此訊框為重送的訊框,藉由此欄 位可協助接收端判斷重複的訊框。 • Power Management:此 bit 設為 1 時表示無線端點即將進入省電 模式(Power-Save),設為 0 時表示無線端點保持清醒狀態,通常 無線基地台所傳送的訊框在此欄位必定為 0,因為基地台是不允 許進入省電狀態的。 • More Data:當此 bit 被設為 1 時表示,至少有一個以上的待傳訊 框要傳送給進入省電模式中的無線端點,故無線基地台可利用此 欄位來喚醒睡眠中的無線端點。 • WEP:此 bit 設為 1 時表示該訊框受到 WEP(Wired Equivalent Privacy)加密的保護。 • Order:此 bit 設為 1 時表示目前訊框與訊框片段的傳送是嚴格遵 守順序(Strict Ordering)來傳送的,訊框的傳送順序不可亂跳,不 過如此作法會導致傳送效率的降低。. -11-.
(21) (2) Duration/ID:此欄位包含 16 bits(以左到右編 0-15 位元),以第 14、 15 位元來判斷其功能,如圖 2-5 分以下三種功能:. 圖 2-5 Duration/ID 欄位格式. (a) 設定 NAV 值:當最高位元 15 被設為 0 時表示 Duration/ID 欄位 是用來表示欲預約媒介若干毫秒,也就是 NAV 值,其範圍可從 0 到 32,767,當無線端點需預約更長的媒介使用時間,傳送端會 更新訊框內的的 NAV 值來讓其它無線端點知道傳輸仍在進行, 以避免傳輸受到其他無線端點干擾。 (b) 免競爭模式訊框 NAV 值:在免競爭模式下 Duration/ID 欄位的第 15 位元固定為 1,其餘位元皆為 0,此時 NAV 值為 32768 表示 傳送端與接收端進入免競爭傳輸模式,並利用 Beacon 訊框來告 知其他無線端點,以避免受干擾。 (c) PS-Poll(省電模式-輪詢)訊框:由於休眠中的無線端點必須定時醒. -12-.
(22) 來,故當 Duration/ID 欄位中第 14、15 位元皆為 1 時表示無線端 點剛從省電模式中清醒,發送 PS-Poll 訊框來向基地台詢問是否 有待傳的訊框,PS-Poll 訊框中(Duration/ID 欄位的第 0~13 位元) 含有聯結識別碼(Association ID, AID)主要是用來識別所隸屬的 BSS(Basic Service Set),故當判斷為 PS-Poll 訊框時,Duration/ID 的範圍會落於 49,153~51,159 之間(51,160~65535 保留未使用)。. (3) Address:802.11 MAC 標頭最多可以包含四個 32bits 的 Address 欄 位,通常四個 Address 欄位會依訊框類型而分別代表以下的用途; (a)目的位址:最終目的端的 MAC Address。 (b)來源位址:來源端的 MAC Address。 (c)接收端位址:如接收端為無線端點,則接收端位址同目的端位 址,如接收端為與基地台相連的 Ethernet 端點, 則 接 收 端 位 址 為 基 地 台 無 線 介 面 的 MAC Address。 (d)傳送端位址:通常只適用於無線橋接器,代表將訊框送到另一無 線傳輸系統的無線基地台 MAC Address。 (e)BSSID(Base Service Set ID):在中控型網路中 BSSID 即是基地台 的 MAC Address,主要用來區別不同的無線區域 網路。. -13-.
(23) (4) Sequence Control:此欄位佔 16bits,由 4bits 的訊框片段編號(Fragment Number)和 12bits 的訊框序號(Sequence Number)組成,主要是代表訊 框的順序編號,用於重組訊框片段或判斷重複封包。. (5) Frame body:訊框主體即為資料的部份,可傳送 0~2,312bytes(包含 WEP)。. (6) FCS(Frame Check Sequence):用來檢查訊框序列是否完整無誤,其 計算得範圍從 802.11MAC 層標頭到訊框主體,通常是以 CRC(Cyclic Redundancy Check)作為檢查碼。. -14-.
(24) 2.2 無線媒介存取控制層弱點 802.11 MAC架構在實體層之上,藉由管理訊框和控制訊框來進行連 接無線端點時的溝通與回應,以資料訊框負責在工作站之間的資料傳 輸。在目前的IEEE802.11無線網路標準中只針對資料訊框的封包內容部份 作加密,並無對MAC層標頭進行任何加密或相互認證的動作,導致MAC 層標頭可以很容易的經由軟體被偽造,惡意人士可偽裝成來源端或目的 端的MAC Address來傳送管理訊框或控制訊框的格式,對無線網路的溝通 與協調進行干擾,甚至癱瘓整個無線網路使網路停擺,造成莫大的傷害。 由於IEEE802.11設計上的缺陷導致衍生出許多的攻擊技術,針對無線 網路安全上的不足加以進行攻擊,以下將對常見的無線攻擊類型、相關 技 術 與 目 前 文 獻 中 提 到 的 解 決 方 法 做 一 介 紹 , 並 整 理 至 表 2-2 [1][3][8][9][16][18][25]。. -15-.
(25) 表2-2 常見的無線攻擊 攻擊類型. 攻擊方式 射頻攻擊(RF Jamming): 針對使用中的無線頻道進行電波干擾。 解 除 認 證 (Deauthentication)/ 解 除 聯 結 (Disassociation)攻擊: 發送偽造的解除認證/解除連結訊框使連線 狀態中斷。. DoS. 相關攻擊工具 高功率無線射頻發送 器 Void11、Fatajack、 WLAN-Jack. 虛 擬 載 波 偵 測 攻 擊 (Virtual Carrier Sense Attacks): 更改NAV值為最大使頻道持續忙錄。. 尚無. RTS/CTS/ACK洪水攻擊: 不斷快速地發送RTS/CTS/ACK訊框,不等 AP或其他client回應,以達成攻擊的目的。. Macfld. 電力節省攻擊(Power Save): 利用偽裝的PS-Poll Message或偽造的TIM封 包來讓client保持休眠狀態。. 尚無. 偽造AP(Fake AP): 用軟體偽裝AP發送Beacon訊框,產生數以百 計的AP。. Fake AP、CqureAP、 HostAP. Session Hijacking. Man-In-The-Middle(MITM)攻擊: 偽造client或AP端並從中擷取連線. AirJack、Fatajack、. Encryption Cracked. WEP、LEAP密碼破解:利用發送偽造的訊 框來探試可能的密碼組合。. Airsnort、Asleap、. Monkey Jack 頻道掃描: AiroPeek、AirTraf、 利用監聽程式及工具擷取無線媒介上的訊 Ethereal、KISMET、 War Driving 框傳輸 Mognet、NAI Wireless Sniffer、VPNmonitor. -16-. WEPCrack.
(26) 2.2.1. 無線阻斷服務攻擊(Wireless Denial of Service) 無線網路的阻斷服務攻擊(Denial of Service,DoS)和有線網路上的. DoS攻擊手法並非完全一致,有線網路的阻斷服務攻擊以絕對優勢的頻寬 和處理效能向提供服務的主機發送大量的封包,讓服務主機無法提供正 常服務,而在無線網路上的阻斷服務攻擊,由於IEEE 802.11標準在安全 上的設計並不健全,導致有許多的漏洞可被利用來進行攻擊,絕大部分 是利用偽造真實訊框的欄位內容來欺騙無線基地台或是無線客戶端,並 持續的發送特定的訊框來達到阻斷服務的目的,這類攻擊方式並不需要 大量的頻寬,只需要安裝攻擊軟體和一張支援該軟體的無線網卡即可輕 易達成攻擊的目的。一般來說常見的阻斷服務攻擊有下列幾種方式:. (1) 解 除 認 證 ∕ 解 除 聯 結 訊 框 攻 擊 (Deauthentication/Association. Attack) 每當無線端點欲存取無線資源時,會先向所處區域內的無線基地台 進行身分認證的動作,此時無線端點會向基地台交換身分認證訊框 (Authentication),整個認證的步驟可能包括好幾個程序(依使用的認證演 算法而有所差異),故每個認證訊框的訊框本體中都有其各自的身分認證 交易順序編號(Authentication Transaction Sequence Number)。一旦無線行. -17-.
(27) 動端點找到相容的基地台並通過身分認證後便會開始進行連接網路的動 作,此時會發送聯結要求訊框(Association Request)給基地台試圖加入網 路,在不同的認證與聯結狀態(圖2-6)所能傳送的訊框等級(表2-3)亦有所 不同。在狀態1時由於未經身分認證與聯結故僅能發送第1級訊框,直到 身分認證過後進入狀態2才能發送第2、3等級之訊框,以此類推。資料的 傳輸屬於第3級訊框,需通過身分認證且聯結進入狀態3後才能進行傳 送,故在遭受持續解除認證與解除聯結的攻擊情況下,是無法有效的進 行資料傳輸行為。. 圖 2-6 連線狀態流程圖. 資料來源:「802.11 Wireless Networks:The Definitive Guide」. -18-.
(28) 表2-3 訊框等級表 控制訊框. 管理訊框. 資料訊框. 第1級訊框 RTS. Probe Request. CTS. Probe Response. ACK. Beacon. CF-End. Authentication. CF-End+CF-Ack. Deauthentication. ToDS 與 FromDS 兩欄位皆為0之任 何訊框. ATIM. 第2級訊框 無. Association Request/Response. 無. Disassociation. 第3級訊框 PS-Poll. Deauthentication. 任何訊框. 正當的無線用戶通過認證並建立聯結後表示可以開始進行資料之傳 送,基於IEEE802.11無線網路之特性,802.11 MAC層訊框標頭並未經過 任何相互驗證或加密,導致有心人士可以經由被動式無線監聽軟體(如 Airopeek、Kismet等)探測頻道上的傳輸,並偽造無線基地台或無線端點 的 MAC Address 對 另 一 端 發 送 解 除 認 證 (Deauthentication)或 解 除 聯 結 (Disassociation)訊框,讓已通過認證及聯結的無線端點誤認另一方欲解除 認證或聯結,此時若無線端點有資料欲傳送,便需要重新發送認證或聯. -19-.
(29) 結訊框(圖2-7)。攻擊者藉由不斷的發送解除認證或解除聯結訊框來讓正 當使用者淪於重複執行重新認證與聯結要求的迴圈中而無法傳輸真正的 待傳封包 [5]。一般而言,發送解除認證訊框比解除聯結訊框更具威脅, 因為解除認證會使無線端點執行更多的步驟來回到聯結狀態,又因目前 尚無良好的防範機制,故攻擊者可輕易的利用Void11[26]等解除認證攻擊 軟體達到阻斷攻擊的目的。. 圖 2-7 解除認證/解除聯結訊框攻擊. -20-.
(30) (2) 虛擬載波偵測攻擊(Virtual Carrier Sense Attacks) 虛擬載波偵測(Virtual Carrier Sensing)機制原本是用來避免隱藏節點 (Hidden Terminals)可能產生的碰撞。通常在802.11MAC層訊框標頭利用 Duration欄位來記載網路配置向量值(Network Allocation Vector,NAV), 用來預訂該次傳輸從開始到結束欲佔用媒介多久時間,只要NAV值不為0 即代表媒介目前處於忙碌狀態,非通訊中的端點接收到該類訊框便會依 據NAV值進行等待。基於此特性,惡意人士可能利用修改RTS(Request To Send)/CTS(Clear To Send) 內 的 Duration 欄 位 將 NAV 值 改 為 最 大 值 32767,並持續發送該類訊框約每秒30次便可完全佔據整個無線媒介,讓 其他無線端點無法進入媒介存取競爭,使傳輸無法進行。. (3) RTS/CTS/ACK 洪水攻擊 (Flooding Attack) 大部分的無線網路架構採用分散式協調功能(DCF)進行競爭式存 取,為避免碰撞的發生利用訊框間隔來協調媒介的存取,訊框間隔時間 的長短影響競爭媒介時的優先順序,通常在一般競爭式作業環境下的傳 輸訊框間隔時間為DIFS,而在高優先的傳輸場合,每個訊框在傳送時最 短只需間隔SIFS時間,故一旦以SIFS為間隔時間的高優先權傳輸開始, 如RTS/CTS/ACK等訊框,媒介則立即處於忙碌狀態,一般的資料訊框則 暫停傳送。基於此特性,惡意人士可藉由高功率的信號發送器,在SIFS. -21-.
(31) 的間隔時間內不等待無線用戶端回應,持續的發送高優先權訊框來造成 無線媒介的忙碌,以達到阻斷服務攻擊(DoS)的目的[12]。在Shih-Tsung L. 的研究中[13]也提到利用發送錯誤的FCS(Frame Check Sequence)訊框會 使訊框的間隔時間(IFS)變為EIFS(EIFS>DIFS),直到重新接收到正確的訊 框後IFS才會被設定回DIFS,若持續含有錯誤FCS的RTS/CTS/ACK等訊 框,亦會造成無線傳輸效能上的影響。. (4) 電力節省攻擊(Power Save Attack) 無線網路為考量行動裝置電力有限的問題,故 802.11MAC 標準設計 讓 目 前 無 資 料 要 傳 輸 的 無 線 裝 置 進 入 休 眠 (Sleeping) 或 稱 省 電 模 式 (Power-Saving)的狀態以節省電力。當無線客戶端進入休眠狀態時,無線 基地台會週期性的發送 Beacon 訊框並藉由訊框本體內的資料待傳指示 訊 息 (Traffic Indication Map , 簡 稱 TIM) 與 資 料 待 傳 間 隔 週 期 (TIM Period ),告知無線客戶端目前有無待傳的訊框,以及間隔幾個 Beacon 訊框週期後應甦醒聆聽來自基地台的 TIM 訊息,如 TIM 訊息指出目前 有待傳的訊框要傳送,無線客戶端則會向基地台發送 PS-Poll(Power-Saving Poll)訊框來取得待傳的訊框。而電力節省攻擊可利 用幾種方式進行攻擊:(a)偽造 TIM 訊框:利用發送偽造的 TIM 訊框讓 無線客戶端以為目前基地台內無待傳的資料而持續保持睡眠狀態;(b)偽. -22-.
(32) 造 PS-Poll 訊框:趁無線客戶端進入休眠狀態時發送偽造客戶端的 PS-Poll 訊框來取得基地台內暫存的資料,使原本要傳給真實無線客戶端之資料 流失。. (5) 偽造 AP 攻擊(Fake AP Attack) 由於可利用 HostAP 等軟體和特定的網卡來模擬出無線基地台,並 發送出含有 SSID 的訊框讓無線客戶端連結,惡意人士便利用此一方式 研發出可任意發送出隨機 SSID 的偽造 AP 軟體如 Fake AP,來混淆無線 客戶端,當偽造的 AP 數量極大時便會造成客戶端忙於尋找真實的 AP 而遲遲無法進行連線。. 2.2.2. 會談攔截式攻擊 (Session Hijacking) 此類攻擊方式最常見的便是中間人攻擊(Man-In-The-Middle Attack). 如圖 2-8,中間人攻擊分三步驟進行[24],首先攻擊者先發送解除認證與 解除聯結訊框來中斷無線客戶端與基地台之間的聯結關係;第二步驟, 當雙方聯結中斷後會重新發送聯結與認證請求,此時攻擊者須以較強的 訊號來偽裝無線客戶端和基地台聯結訊框分別來與真實的基地台與無線 客戶端聯結;第三步驟,當連結成功後即成為基地台與無線客戶端之間 的中介者,進而可擷取並分析傳輸間的封包內容。. -23-.
(33) 圖 2-8 中間人攻擊(Man-In-The-Middle Attack). 2.2.3. 驅車式攻擊(War Driving) 驅車式攻擊利用無線網路監聽工具來掃描無線媒介上的頻道,可 探測到目前範圍內有多少數量的基地台,如 NetStumbler 等軟體, 而如 AiroPeek、KISMET 等軟體甚至可以透過雜亂模式(Promiscuous) 將無線媒介上所有的封包給擷取下來,如封包未經加密則可藉由分 析擷取下來的封包來得知目前有多少基地台與 client、它們的 MAC 與 IP 位址甚至是傳輸的封包內容。. 2.2.4. 加密破解(Encryption Cracked). 由於無線網路上的資料傳輸加密大多採用 WEP 進行加密,WEP 採用 一組 64 或 128bits 的 Key 對明文進行對稱式加密,並使用 RC4 加密演算. -24-.
(34) 法,根據 RC4 加密演算法的弱點,在 2001 年 Fluhrer、Mantin 和 Shamir 等人發表了一篇破解 RC4 金鑰的論文[6]之後,網路上也出現了開放程式 碼的破解 WEP 的程式,即便是 128bit 的加密,也可以在短時間內破解。 主要的攻擊方法可分三種[11][17],第一種攻擊方法是採用字典式攻擊法 去廣泛地猜測使用者所選擇的密鑰。第二種攻擊方法是在不知道密鑰的 情況下,傳送已知的明文並等待 IV(Initialization Vector) 被重複使用,並 反向將兩組使用重覆 IV 的密文做 XOR,以解出明文封包。第三種攻擊 方法則是利用 RC4 決定密鑰演算法的漏洞,尋找具有特別特徵 IV(俗稱 Weak IV) 的封包,在收集足夠多資料後反向解出使用者所選的密鑰,此 種方法所耗費的時間也最短,但也較容易被偵測出來,如 Airsnort、 WEPCrack 等軟體便是使用該種方式。不只 WEP 有被破解的危機,Cisco 的 LEAP 安全協定也在 2003 年 8 月由 Joshua Wright 在 DEFCON 駭客會 議中公佈了 LEAP 的弱點,並於 2004 年發表了 asleap 攻擊工具[21]。. -25-.
(35) 2.3 無線網路攻擊之防禦技術 由於 802.11 無線網路標準在安全性方面的不健全,使得無線攻擊種類 不勝枚舉,從實體層到應用層皆有可能遭受到惡意人士的攻擊,許多研 究也陸續探討相對應的防禦與加密技術,來維護無線網路上的安全性, 但這些畢竟只是治標不治本,唯有制訂出更具安全性的無線標準才能有 效防禦駭客的攻擊,因此在 2004 年第三季 IEEE 正式通過了 802.11i 無 線安全標準,希望能夠使無線網絡內傳送的資料能夠安全傳送,確保不 會中途遭第三者攔截甚至解密。在 802.11i 尚未普及前,目前大部份企業 的無線網路設備仍然沿用舊的加密標準(WEP)與 MAC 層協定,因此攻 擊與防禦的問題是不會消失的,以下本研究便整理過去學者所提出的一 些防禦性技術。. 2.3.1. 偽造封包之過濾 在無線環境中惡意人士欲進行攻擊前必定會先進行無線頻道的監. 聽,查看目前區域範圍內有多少基地台與無線行動端點,透過擷取到的 封包觀察其訊框欄位可輕易得知來源端與目的端的MAC Address與其傳 輸是否經過WEP加密等資訊。大部分的DoS攻擊型態都會更改訊框的內 容,藉由持續的發送不合理的訊框來癱瘓無線網路的傳輸,最常見的是 透過偽造MAC Address來進行,因此若能夠過濾出偽造過的封包便可有效. -26-.
(36) 攔截多數攻擊。在Joshua W.的研究[19]中指出藉由分析802.11 MAC層訊 框的訊框序號(Sequence Number,也就是seq-ctl欄位)可用於過濾偽裝的 MAC Address。在無線封包的傳遞時,源自同一實體MAC位址的Sequence Number欄位應是依序遞增的,範圍應落於0~4,095之間,基於此一特性, 若為非遞增成長或短時間內收到數個重複Sequence Number的訊框時則可 能為駭客偽裝過的訊框,並給予過濾。. 2.3.2. 加密破解之防禦 一 般 網 路 上 常 見 的 加 密 破 解 工 具 有 WEPCrack 、 Airosnort ( 針 對. WEP)、Asleap(針對LEAP),此類攻擊通常需要很大量符合特徵的封包來 進行分析,攻擊者往往需要監聽上百萬個加密過的封包才能找到足夠符 合特徵的樣本來破解密鑰。要收集到這個數量的樣本需時可能少則一個 晚上,多則長達數週才可完成,故此類工具為了縮短破解的時間大多採 取主動式攻擊,以發送探測訊框來加快蒐集的速度,在Yu-Xi Lim等人的 研究中[14]指出,最好的防禦方法就是以其人之道還治其人之身,利用已 知的攻擊方法來攻擊或欺騙攻擊者,讓攻擊者無法進行訊框的分析,該 研究利用類似Fake AP的軟體來模擬AP端傳送訊框,並以亂數產生的WEP Key來加密訊框,如此一來此類的加密破解軟體便會受到經過偽造的加密 訊框干擾而影響分析的結果;在陳昱仁[2]等人的研究中也指出此方式可. -27-.
(37) 有效干擾加密破解軟體的分析結果,如圖2-9左邊是Airsnort計算金鑰出現 頻率的長條圖,右邊則是當發送偽造訊框時Airsnort的分析受干擾情況。. (a)探測時WEP KEY機率分布. (b)發送偽造訊框干擾探測. 圖 2-9 發送偽造訊框干擾 Airsnort. 資料來源:「無線入侵偵測系統之研製」. 2.3.3. 阻斷服務攻擊之防禦 在Bellardo和Savage的研究中[4]提出針對兩種無線網路DoS攻擊提出. 防禦方法。(1)解除認證與解除聯結DoS攻擊之防禦:將接收到的解除認 證與解除聯結訊框以一個Buffer來暫存約5~10秒,同時延遲與基地台認證 與聯結解除的執行,分析Buffer內的訊框,若在收到解除認證或解除聯結 訊框後還繼續收到資料訊框的傳輸,則代表該解除認證或解除聯結訊框 可能是偽造的並給予丟棄;若分析的結果無異常則執行與基地台間認證 或聯結的解除。(2)虛擬載波攻擊之防禦:依不同的訊框類型將802.11 MAC標頭內的NAV值分成Low Cap和High Cap兩個等級,此兩等級有各自. -28-.
(38) 的NAV值上限,若訊框的NAV值超過上限則視為可疑訊框,並針對 RTS/CTS/ACK和Data等四類訊框,在傳輸過程中的順序與間隔時間關係 進行分析,再視情況丟棄封包,或發送NAV值為0的訊框來放棄媒介的佔 用,抵制虛擬載波攻擊,Low cap通常被使用於跟隨在ACK或CTS等管理 訊框之後的訊框(如資料訊框);High cap通常適用於當有大量的資料訊框 要傳送前的CTS或ACK等管理訊框。. -29-.
(39) 第3章 研究架構及方法 3.1 無線入侵偵測系統 現今入侵偵測系統已成為大型企業用來維護企業內部安全不可或缺 的系統之ㄧ,準確度高的入侵偵測系統能有效幫助系統管理者執行不同 的系統安全性政策。由於無線網路的技術的誕生,許多企業採用無線網 路來部署內部網路架構,卻忽略無線網路安全性的缺陷,且目前尚未有 良好的偵測機制來預防無線網路上的攻擊,導致企業內部網路暴露在外 部危機中。大多的阻斷服務攻擊皆藉具備三大特性:(1)偽裝與修改封包 內容;(2)單位時間內大量發送;(3)重複傳送同一訊框。故本研究提出一 偽造封包過濾機制來協助無線入侵偵測系統偵測 DoS 攻擊,先以封包過 濾模組來初步過濾偽造的封包,再根據封包分析模組的規則比對來偵測 出攻擊。 現行入侵偵測系統最大的缺點便是在攻擊規則與特徵比對的技術常 出現誤判,亦即將正常的網路存取行為誤認為攻擊行為的狀況,當誤判 率過高時,管理人員疲於調查追蹤錯誤的警訊,會造成安全設備與安全 管理人員的效率降低。因軟體式的入侵偵測系統多半有效能上的瓶頸, 當效能跟不上網路流量的速度,就會開始掉封包﹙Drop Packets﹚,導致 封包資訊不完全而容易造成誤判,本論文便以降低無線入侵偵測的誤判. -30-.
(40) 率及提高偵測的正確率為宗旨,並進行各項實驗的評估與改善,以追求 整體的高準確率以及良好的效能,本論文在第五章亦會針對誤判率與效 能進行分析,擬在效能與偵測準確度上取得較佳的均衡點。. 3.2 系統架構. 圖 3-1 無線入侵偵測系統架構圖. 本研究依運作流程主要分為四個模組與一特徵資料庫如圖 3-1,分 別是「封包擷取模組(Packet Capture Module,PCM)」、「封包過濾模組 (Packet Filter Module,PFM)」 、「封包分析模組(Packet Analysis Module, PAM)」 、 「警告發送模組(Warning Alarm Module,WAM)」及「封包特徵. -31-.
(41) 資料庫(Packet Characteristic Database,PCDB)」 。本系統利用封包擷取模 組探測並以 KISMET[23]無線網路監聽工具擷取在無線媒介上傳送的所 有訊框,經由封包過濾模組判斷是否為偽造訊框後,將 802.11 MAC 層 標頭的訊框資訊寫入特徵資料庫,封包分析模組自特徵資料庫中,取出 源自同一 MAC Address 的來源封包進行規則分析,以判斷是否為攻擊訊 框,警告發送模組分別對 PFM 和 PAM 兩模組的錯誤計數器進行監控, 如在單位時間內的錯誤次數超出預先設定的門檻值,便發送警報。本系 統各模組之詳細功能與介紹如下:. (1) 封包擷取模組(Packet Capture Module). 圖 3-2. 封包擷取模組架構圖. -32-.
(42) 圖 3-2 為本模組架構圖,首先利用 HostAP Driver[21]來驅動無線網 卡進入雜亂模式(Promiscuous Mode),並使用 Libpcap 所提供的 Function 來擷取 802.11 封包的標頭,最後透過 Ethereal 應用程式將封包資訊傳給 KISMET 程式進行訊框標頭及訊框本體的分析。. (2) 封包過濾模組(Packet Filter Module) 封包過濾模組是本研究之主軸,主要是以 IEEE802.11 MAC 層訊框 格式中的 seq-ctl 欄位為主要的過濾基準,Joshua Wright 亦在 2003 年提 到此一過濾方式是可偵測出偽造的封包[19],因同一來源端的「訊框序 號」在封包未遺失的情況下應為連續且遞增的,故當接收到解除認證或 解除聯結訊框時,便可依此特性分析來自同一 MAC address 訊框的「訊 框序號」是否有連續且無明顯之斷層,以初步過濾掉偽造的訊框。但如 單純使用 sequence number 來檢測無線訊框,很容易造成誤判的情況,因 無線網路標準的控制訊框(如 RTS、CTS、ACK 等)並無 sequence number 欄位,而基地台仍會將這些控制訊框納入「訊框序號」的累加計算,故 當進行大量資料傳輸時,即有可能因間隔了太多 ACK 訊框而使 sequence number 有較大的落差而造成誤判,故本研究在收到 ACK 訊框後將「訊 框序號範圍值」加 50 以避免因控制訊框導致的「訊框序號」落差。無線 網路封包,會因為距離遠近會導致訊號強弱不一,而使封包遺失造成的 誤判問題,為考慮此一問題,本研究在封包過濾上加入「封包間隔時間. -33-.
(43) (Packet Interval Time)」與「信號強弱(Signal)」兩因子,根據兩變數動態 的計算應給予的「訊框序號範圍值(Sequence Number Range)」 ,並設立一 加權值 x 來加強「信號強弱」因子的影響成分,本研究之「訊框序號範 圍值」計算公式(4.1)與「目前訊框序號最大門檻值」計算公式(4.2)如下:. ⎛ (arr _ time − l _ arr _ time) ⎞ ⎟⎟ + y ……(4.1) seq _ rge = ceil ⎜⎜ signal × x ⎠ ⎝ mseq _ num = (lseq _ num + seq _ rge) mod 4096 ……………(4.2) • seq_rge : Sequence Number Range, 訊框序號間隔範圍值。 • arr_time :目前封包抵達時間(Microsecond)。 • l_arr_time :上一個相同來源之封包抵達時間(Microsecond)。 • (att_time-l_arr_time) :Packet Interval Time (p_itv_time),相同來源封包 之間隔時間(Microsecond)。 • signal :信號強弱值(0~255)。 • x :加權變數,本研究設定為 100。 • y :最低訊框序號間隔門檻值。 • ceil :無條件進位函數。 • seq_num:目前封包的 Sequence Number。 • lseq_num:上一個相同來源封包的 Sequence Number。 • mseq_num:目前封包 Sequence Number 的最大門檻值。. -34-.
(44) 本研究利用計算出的 seq_rge 值來推論「訊框序號最大門檻值 (mseq_num)」 ,但因「訊框序號」的合理範圍值應在 0~4095 間遞增循環, 故目前的「訊框序號值」不一定會落於前一個同來源的「訊框序號」與 「訊框序號最大門檻值」之間(lseq_num<seq_num<mseq_num),當計算 出的「序號門檻值」超出 4095 後便會從 0 開始重新累加,故可能會有「序 號門檻值」小於目前訊框序號(mseq_num<seq_num)的情況,為考慮此因 素本研究之偽造封包過濾演算法如下,當符合條件式時,序號錯誤計數 器(err_seq)則會進行累加。 if(mseq_num>lseq_num) { if(seq_num<lseq_num || seq_num>mseq_num) err_seq++; } else { if(seq_num<lseq_num && seq_num>mseq_num) err_seq++; }. -35-.
(45) (3) 封包特徵資料庫(Packet Characteristic Database). 圖 3-3. 封包特徵資料庫(PCDB). 封包特徵資料庫內分兩資料表 pkt_chk 與 pkt_info,其中 pkt_chk 資 料表只紀錄每個來源端 MAC Address 其最新一個封包的「訊框序號值」 (Source Sequence Number, s_seq_num)和抵達時間(Source Arrived Time, s_arr_time),主要用來輔助計算「訊框序號範圍值(seq_rge)」與「封包間 隔時間(p_itv_time)」 ;而 pkt_info 用來儲存封包擷取模組所擷取下來的每 個封包 IEEE 802.11 MAC 層標頭資訊,包括來源端實體位址(src_mac)、 來源端訊框序號(s_seq_nem)、封包抵達間隔時間(p_itv_time)、信號強弱 值(signal)、訊框序號容許間隔範圍值(seq_rge)、封包類型(pkt_type)、判 斷結果(determine),目的是要作為本研究所提出方法之準確度分析之用。. -36-.
(46) (4) 封包分析模組(Packet Analysis Module) 因大部分惡意人士在進行無線網路阻斷服務攻擊大多依循下列步 驟: step1. 無線網路監聽:找尋基地台與目前正在傳輸的無線端點 step2. 竊取無線網路封包:竊取傳輸中無線端點的封包內容 step3. 大量發送偽造無線網路封包:偽造正當封包之來源位址大量 發送同一類訊框。. 故本模組主要定義封包的狀態檢視規則庫,針對目前封包類型與傳 輸量作分析,用來偵測無線網路阻斷服務攻擊在不同階段時,常出現的 不合理情況(如:短時間內不斷的傳送 CTS、RTS 封包,或在接收解除聯 結封包後還收到資料封包…等)。. (5) 警告發送模組(Warning Alarm Module) 本模組對不同事件定義了警告發送的門檻值,目的在於監視錯誤計 數器是否達到警報發送的標準,錯誤計數器會在我們設定的單位時間內 (1 second)歸零一次,當封包過濾模組與封包分析模組判斷封包為不合法 封包時,根據事件的類型會使該事件的錯誤計數器進行累加,當單位時 間內錯誤計數器超過我們所設定的門檻值時,則發出文字訊息及聲音警 告。由於以往入侵偵測系統常見的問題即是存在過多的報警資訊,即使. -37-.
(47) 在沒有直接針對入侵檢測系統本身的惡意攻擊時,入侵檢測系統也會發 出大量報警,故警報門檻值的設立對我們的系統來說也是一項值得分析 的重點。. -38-.
(48) 第4章 系統實作 4.1 系統流程 此論文擬以本研究提出的封包過濾方法來實作一個無線入侵偵測系 統,並以無線網路 DoS 攻擊工具 Void11 發送解除認證攻擊,以測試本 系統的偵測準確度,主要目的是有效偵測出無線網路的異常封包,判斷 出哪些封包為攻擊封包並提出警告,以避免阻斷服務攻擊行為的發生。 本系統選用無線監聽工具 KISMET 的開放原始碼搭配 Prism2 晶片的 SENAO-2011CD 無線網卡,作為無線封包擷取模組基礎平台,並在 KISMET 上以 C++開發本無線入侵偵測系統其他模組。本系統之安裝平 台如下: •. 作業系統:RedHat9 (Kernel-2.4.20-8). •. 資料庫:MySql-3.23.54. •. 程式語言:C++. •. 無線網卡:SENAO-2011CD (Prism2 晶片). •. 需求軟體:HostAP drivers、Libpcap、Ethereal、KISMET. 安裝 KISMET 軟體必需依序先安裝 HostAP drivers、Libpcap、Ethereal 等,我們使用的網卡為 Prism2 晶片故需安裝 HostAP driver 來作為無線 網卡的驅動程式,以便將無線網卡切換到雜亂模式,而 libpcap 是 Unix. -39-.
(49) 或 Linux 從核心擷取網絡封包的必備工具,它是獨立於系統的 API Socket,為底層的網絡監控提供了一個可移植的框架,可用於網絡統計 收集、安全監控、網絡調適等應用,我們利用 Libpcap 來將封包從 Kernel Mode 擷取,再傳送到 User Mode 的 Ethereal 程式,Ethereal 是一個開放 原始碼的網路協定分析與監控程式,我們利用它來解析封包的類型。 當封包進入本系統時,整個流程依序先由封包擷取模組將接收到的 封包從核心傳送到本系統中,再經由封包過濾模組過濾出偽裝的封包, 並在儲存至封包特徵資料庫後,由封包分析模組分析封包間的異常行 為,避免阻斷式攻擊,最後再由警告發送模組來決定是否發送警報。本 論文以偵測解除認證或解除聯結 DoS 攻擊為例,整個系統的偵測流程將 如圖 4-1 所示:. -40-.
(50) 圖 4-1 系統流程圖. -41-.
(51) 如上圖所示,經由封包擷取模組監聽無線網路媒介上傳輸的封包, 每當接收到封包時,會檢視 pkt_chk 資料表內是否有該來源端的 MAC Address 資料,如已有紀錄則更新該來源端的訊框序號,接著由封包過 濾模組偵測是否有偽造封包的情形,主要以訊框的抵達間隔時間 (p_itv_time) 和 信 號 強 弱 值 (signal) 兩 欄 位 來 計 算 「 訊 框 序 號 範 圍 值 (seq_rge)」 ,該值是我們用來判斷偽造封包的主要過濾條件,只要目前封 包的序號不落於系統計算出的範圍值內,則判斷為偽造封包,序號錯誤 計數器(err_seq)加 1。 由於本研究以解除認證 DoS 攻擊為主要攻擊方式,故我們在封包分 析模組建立了針對解除認證攻擊的兩條規則,其規則如下: •. 規則一:每當收到解除認證或解除聯結訊框時,連線中斷計數 器 (client_disconnects) 會 加 1 , PAM 會 偵 測 單 位 時 間 內 (1 秒)client_disconnects 是否超過門檻值 5。. •. 規則二:偵測在收到解除認證/解除聯結訊框後是否還收到資料 訊框。. 根據 Bellardo 的研究指出只要當每秒發送 30 個解除認證或解除聯結 訊框即可完全阻塞整個無線媒介的存取,故當攻擊頻率高時,可由規則 一偵測出異常,當攻擊頻率低時,因為原傳輸端仍會繼續傳送資料訊框, 則可由規則二來檢視出異常情況。. -42-.
(52) 警告發送模組決定了警報響起的門檻值,監聽各個錯誤計數器是否 超越門檻值,由於入侵偵測系統最重要的就是警報的準確性,過低的門 檻值容易造成系統的誤判,產生過多的警報;過高的門檻值又會造成準 確度的降低,產生警報未發送的情況,故門檻值的訂定亦決定了系統的 效益,本系統目前門檻值經由第五章的實驗分析結果,訂為當 err_seq 計 數 器 大 於 10 時 ( 即 每 秒 鐘 偵 測 出 10 個 以 上 偽 裝 封 包 ) 及 client_disconnects 計數器大於 5 時(即每秒鐘收到超過 5 個解除認證或解 除聯結訊框)發出警報。. 4.2 實作環境 為測試本無線入侵偵測系統之偵測準確度,本研究擬建置一無線區 域網路環境,採用 IEEE 802.11b 的傳輸協定,傳輸頻帶為 2.4GHz,每 秒傳輸速度約 11Mbps。在 A、B 兩無線客戶端點彼此進行傳輸時,發送 偽造封包執行無線 DoS 攻擊,同時觀察無線 DoS 攻擊的成效及其攻擊 特性,同時以本研究之無線入侵偵測系統來偵測無線網路 DoS 攻擊,統 計受攻擊時的網路流量、偽造封包過濾的成效、系統負載及警告發佈的 門檻值等,整個實驗環境架構如圖 4-2,由於本研究為模擬真實環境下 的無線媒介存取情況,故在已具備無線上網的教學大樓內架設實驗平 台,進行本研究測試,該教學大樓原有五台無線基地台,分別是三台 SSID(Service Set Identifier)為 cisco 及兩台 SSID 為 default 的基地台,本. -43-.
(53) 實驗再另外架設一台 SENAO AP (SSID 為 MyAP)當作實驗基地台,整個 環境所使用的設備如表 4-1。 無線端點 A、B 為本實驗所架設的無線存取點,為了讓無線媒介間 保持較高頻寬的傳輸速度,以方便我們觀察攻擊時無線流量情況,故我 們在 A、B 兩點間使用 FTP 協定傳輸進行相互傳送,而其它基地台與無 線端點為原無線環境下的 AP 與 Client 端,如此一來可讓實驗結果更符 合實際無線區域網路情況,在此一環境下攻擊者利用無線端點 A、B 在 傳輸之間發送解除認證的無線 DoS 攻擊訊框,並以本研究之無線入侵偵 測系統監聽無線媒介上的訊框,作出分析與警報。. 圖 4-2 實驗環境架構圖. -44-.
(54) 表 4-1. 實驗設備列表. 設備名稱. 說明. 無線行動端點 A. 透過 SENAO AP 與 B 進行 FTP 傳輸 MAC Address: 00:01:24:EF:C7:26. 無線行動端點 B. 透過 SENAO AP 與 A 進行 FTP 傳輸 MAC Address: 00:07:50:CA:CD:16. 無線行動端點 C. 透過 Acer AP 進行 Stream Video 連線 MAC Address: 00:04:23:92:1C:1D. 無線行動端點 D. 透過 Gemtek AP 進行 Stream Video 連線 MAC Address: 00:0C:F1:2D:69:EA. 無線行動端點 E. 透過 Cisco AP 進行 Stream Video 連線 MAC Address: 00:04:23:7B:E6:F7. 攻擊者. 無線入侵偵測系統. 主機設備: P3-800 + 128MB Ram 使用平台: Linux RedHat9: Kernel-2.4.20-8 網卡: SENAO-SL2011CD 晶片組: Intersil Prism2 網卡驅動程式: hostap-driver-0.2.5 802.11 DoS 攻擊程式: void11-0.2.0 MAC Address: 00:02:6F:01:30:7C 主機設備: P4-1.8G + 512MB Ram 使用平台: Linux RedHat9 Kernel-2.4.20-8 網卡:SENAO-SL2011CD(Intersil Prism2 晶片組) 網卡驅動程式: hostap-driver-0.2.5 無線網路監控程式: kismet-2004-10-R1 資料庫: MySQL-3.23.54 程式語言:C++ MAC Address: 00:02:6F:01:30:79. SENAO AP (SSID:MyAP). • 廠牌:SL-2011AP 神腦無線寬頻分享器 (IEEE802.11b) MAC Address:00:02:6F:01:0B:B2. Gemtek AP (SSID: default). • 廠牌:D-Link Gemtek 無線基地台 (IEEE802.11b) MAC Address:00:90:4B:08:75:D1. Acer AP (SSID: default). • 廠牌:Acer 高速無線基地台 (IEEE802.11b). Cisco AP x3 (SSID:cisco). MAC Address: 00:01:24:F2:0D:FE • 廠牌: Cisco 350AP 無線基地台 (IEEE802.11b) MAC Address:00:40:96:56:E9:A8 MAC Address: 00:40:96:58:10:A9 MAC Address: 00:40:96:56:4B:E8. -45-.
(55) 4.3 解除認證阻斷服務攻擊模擬 圖 4-3 為無線端點 A 與無線端點 B 在進行大量 FTP 傳輸時遭受解除 認證攻擊的網路流量情況,在尚未收到攻擊時的傳輸量約為 360KB 左 右,當 25 秒時攻擊者以 void11 工具偽裝 SENAO AP 的 MAC Address(圖 4-5),並以每杪 100 個解除認證訊框的頻率,對 SENAO AP 聯結的無線 端點發出 DoS 攻擊,此時無線媒介被攻擊者的解除認證封包所佔據,網 路流量降到幾乎為零, 直到 70 秒時停止攻擊後,無線端點 A 重新與 AP 聯結,並逐漸恢復傳輸,表 4-2 為整個攻擊過程中訊框類型的封包個 數分佈及各類訊框傳輸量,並繪製成圖 4-4,可得知管理訊框類型佔 57.46%,這是由於烽火訊框(Beacon)以及攻擊者大量發送解除認證訊框 所導致。. 圖 4-3 受攻擊時網路流量圖. -46-.
(56) 表 4-2 攻擊時各訊框類型總數 訊框類型 Beacon Deauthentication Probe Request Probe Response 管理訊框 Authentication Reassociation Request Reassociation Resqonse Acknowledgment 控制訊框 RTS CTS TCP 資料訊框 UDP ICMP. 封包數. Bytes. 512,887 72,120 10,302 3,503 2,890. 6,559 2,404 171 90 85. 2,279. 43. 1,680. 42. 48,622 780 140 3,353,863 1,617 146. 3,473 39 10 3,418 6 2. 圖 4-4 攻擊時訊框類型分佈圖. -47-. 總封包/Bytes 數. 605,661 packets /9,394 bytes. 49,542 packets / 3,522 bytes 3,355,626 packets / 3,426 bytes.
(57) 圖 4-5 void11 發送解除認證攻擊. 圖 4-6 為本無線入侵偵測系統的監聽情況,本系統監聽各頻道的封 包,檢測是否有異常情況發生並統計接收的總封包數及記錄封包資訊, 亦可得知目前訊號可接收範圍內的無線基地台數與無線端點個數,在 void11 發出解除認證攻擊時,本系統會利用本研究所提出之動態訊框序 號過濾法偵測訊框是否遭受偽裝,並以封包分析模組中的規則過濾異常 的封包傳送行為,偵測解除認證 DoS 攻擊現象,針對兩種異常行為分別 發出文字及聲響警報來提示管理者(圖 4-7),管理人員可經由警告訊息得 知,是哪一來源端遭受封包偽造且發送解除認證攻擊,以便進行追查。 本研究採取動態的方式來過濾偽造封包,藉由計算「訊框序號範圍 值」來決定封包是否遭偽裝,並設立警報門檻值來避免過多與遺失的警 報,因此本研究將在下一章節分析在不同的門檻值與攻擊頻率下識別 率、誤判率以及警報數的影響,最後再針對本方法的處理效能作一評估。. -48-.
(58) 圖 4-6 無線入侵偵測系統. 圖 4-7 系統發送警報訊息. -49-.
(59) 第5章 實驗分析及效能評估 本章節主要是針對本研究提出之封包過濾方法做各式模擬實驗,目 的分別如下:(1)分析本無線入侵偵測系統對於偽裝封包的識別度與誤判 率之高低;(2)分析在不同攻擊頻率下,警報門檻值設定的評估;(3)最後 分析本入侵偵測系統對系統資源的消耗性,包括 CPU 與記憶體的佔用 率;整個測試分析的環境架構如同第四章實驗環境所示。. 5.1 封包過濾模組之識別率與誤判率分析 本研究的封包過濾模組之演算法如下所示. ⎛ (arr _ time − l _ arr _ time) ⎞ ⎟⎟ + y seq _ rge = ceil⎜⎜ × 100 signal ⎝ ⎠ 在計算「訊框序號範圍值(Sequence Range,seq_rge)」時有設立一個 最低序號範圍值的門檻 y,也就是說本演算法所計算出的「訊框序號範 圍值」必定會大於 y,為使無線媒介保持高負載的傳輸率,故實驗的無 線端點是以約 300KB 的速度進行大量傳輸的 FTP 傳輸,本實驗設定的 最低門檻值從 0 到 100,每間隔 10 測量一次,目的是測試本封包過濾演 算法在各門檻值下,受到解除認證攻擊時的識別率與錯誤率,並選擇較 合適的門檻值來做過濾。 在識別率與錯誤率的分析上,本論文所定義的識別率. -50-.
(60) (distinguish_rate)與錯誤率(error_rate)依照圖 5-1 的樹狀圖來進行分類計 算,本論文將識別率的定義為能成功的從攻擊者所發送的封包中辨識出 為偽造的比率,而錯誤率則是以統計的方法將型一誤差 (將正常封包判 斷為攻擊封包,False-Positive)與型二誤差 (將攻擊封包判斷為正常封 包,False-Negative)所發生的機率給予加總,識別率及錯誤率的計算公式 分別如下:. distinguis h _ rate =. error _ rate =. true _ negative × 100 % false _ pkt. false _ positive + false _ negative × 100 % total _ pkts. 正常封包判斷為正常封包 (true_positive) 正常封包(true_pkts). 正常封包判斷為攻擊封包 (false_positive). 總封包數 攻擊封包判斷為攻擊封包. (total_pkts). (true_negative) 攻擊封包(false_pkts) 攻擊封包判斷為正常封包 (false_negative) 圖 5-1 封包判斷樹狀圖. -51-.
(61) 為測試在攻擊時與非攻擊時,不同門檻值對於誤判率與識別率影響 情況,在本論文架設的無線環境下分別進行實驗 A(進行攻擊)與實驗 B(不進行攻擊),先以區間測量方法,分 10 個區間來觀察門檻值落於那 一個區間時,有較佳的識別率與錯誤率比值,再對該區間內的門檻值做 連續型的遞增分析,找出最佳的門檻值 y: •. 實驗 A:在不進行解除認證攻擊下以兩無線端點進行 FTP 傳輸,在 每秒平均傳輸率約 300Kbytes 下耗時 4 分鐘,觀察本無線入侵偵測 系統在封包過濾模組上誤判率的情況。. 表 5-1 為在不進行 DoS 攻擊時的情況,由表中可得知,不同門檻值 下的誤判率高低,當無線入侵偵測系統的序號最低範圍門檻值設的越 小,會因計算所得的範圍值較小而使誤判率較高,如門檻值 y 設為 0 時 誤判率高達 4.37%,在提高為 10 後誤判率下降到 3.07%,門檻值 y 在 20 到 100 之間,錯誤率約保持在 2%~3%之間。由於當門檻值設的太高可能 會使得對偽造封包的識別率下降,有失封包過濾的主要意義,故不能單 以追求最低錯誤率來決定門檻值 y,需對攻擊時各門檻值下的識別率加 以考慮,才能有效評估出最佳的門檻值設定,因此在實驗 B 部份會模擬 以發送解除認證封包對傳輸中的 FTP 連線進行 DoS 攻擊,並檢視本系統 在不同門檻值間隔下對於攻擊封包的識別率與誤判率的變化。. -52-.
(62) 表 5-1 無進行攻擊時之封包過濾誤判率. •. 總封包數. 共 11487 個封包. 門檻值 y. 誤判率. 0. 誤判次數(False-Positive) 502. 10. 353. 3.07%. 20. 329. 2.86%. 30. 315. 2.74%. 40. 303. 2.64%. 50. 287. 2.50%. 60. 275. 2.39%. 70. 272. 2.37%. 80. 266. 2.32%. 90. 264. 2.30%. 100. 258. 2.25%. 4.37%. 實驗 B:在兩無線端點進行和實驗 A 相同條件的 FTP 傳輸,在傳輸 經過兩分半鐘後,開始發送解除認證 DoS 攻擊,並觀察在不同門檻 值下封包過濾模組的錯誤率與識別率情形。. 由表 5-2(a)可以得知在門檻值在 100 以內皆有高達 98%以上的識別 率時,其中又以門檻值為 0 時,所得到的識別率為 99.383%最高,但相 對的誤判率也最高,過高的誤判率會造成管理人員忙於處理錯誤的警 報,反觀門檻值為 100 時雖然僅有 1.739%的誤判率,但是對於攻擊封包 的識別率也略為下降到 98.598%,相對低於其他門檻值的識別率,為了 找出最佳的門檻值,本論文採用常用的 F 值來計算本研究無線入侵偵測 系統的精確率(Precision)和召回率(Recall)情況,以幫助我們找出最佳的. -53-.
(63) 門檻值,F 值的計算公式如下: 2 PR 2TP = P + R 2TP + FP + FN TP TP P= , R= TP + FP TP + FN F=. TP:True-Positive(合法封包判斷為合法封包) FP:False-Positive(偽造封包判斷為合法封包) FN:False-Negative(合法封包判斷為偽造封包). 觀察表 5-2(a)中 F 值可得知當門檻值設為 60 時其識別率與誤判率的 F 值為最高,也就是說當門檻值設為 60 左右時,具有相對較高的成效, 故本論文為計算出最佳效能的門檻值落於何值,再針對落於 60±5 範圍內 的門檻值 y 作連續型的遞增,並觀察 F 值變化,以求出明確的最佳門檻 值,表 5-2(b)即為門檻值 y 在 55 到 65 之間識別率、誤判率與 F 值變化 情形,由表中可得知當門檻值落於 58 時 F 值為 98.866%最高,即有相對 較高的識別率與較低的錯誤率,超過 58 以後 F 值則逐漸往下降。故本 研究選擇以 58 做為本封包過濾模組之過濾演算法的序號範圍值的最小 門檻。. -54-.
(64) 表 5-2 進行攻擊時封包過濾之識別率與誤判率 (a) 離散型遞增序號門檻值 總封包數 14548 個. 攻擊封包 3567 個. 正常封包 10981 個. 最低序號範 True-Negative False-Negative False-Positive 識別率 誤判率 圍門檻值 次數 次數 次數. F值. 0. 3545. 361. 22. 99.383% 2.633% 98.229%. 10. 3542. 263. 25. 99.299% 1.980% 98.674%. 20. 3542. 244. 25. 99.299% 1.849% 98.763%. 30. 3540. 225. 27. 99.243% 1.732% 98.842%. 40. 3535. 219. 32. 99.103% 1.725% 98.847%. 50. 3530. 217. 37. 98.963% 1.746% 98.834%. 60. 3529. 210. 38. 98.935% 1.705% 98.862%. 70. 3525. 209. 42. 98.823% 1.725% 98.848%. 80. 3522. 206. 45. 98.738% 1.725% 98.849%. 90. 3519. 205. 48. 98.654% 1.739% 98.840%. 100. 3517. 203. 50. 98.598% 1.739% 98.840%. (b) 連續型遞增序號門檻值 總封包數 10432 個. 攻擊封包 1768 個. 正常封包 8664 個. 最低序號範 True-Negative False-Negative False-Positive 識別率 誤判率 圍門檻值 次數 次數 次數. F值. 55. 3530. 164. 37. 98.963% 1.712% 98.857%. 56. 3530. 163. 37. 98.963% 1.705% 98.862%. 57. 3530. 163. 37. 98.963% 1.705% 98.862%. 58. 3530. 162. 37. 98.963% 1.698% 98.866%. 59. 3529. 162. 38. 98.935% 1.705% 98.862%. 60. 3529. 162. 38. 98.935% 1.705% 98.862%. 61. 3528. 161. 39. 98.907% 1.705% 98.862%. 62. 3528. 161. 39. 98.907% 1.705% 98.862%. 63. 3527. 161. 40. 98.879% 1.712% 98.857%. 64. 3527. 161. 40. 98.879% 1.712% 98.857%. 65. 3527. 161. 40. 98.879% 1.712% 98.857%. -55-.
(65) 圖 5-2 顯示了在門檻值設為 58 時,兩無線端點進行 FTP 傳輸的 Sequence Number Range 次數分佈圖,由圖中得知, 「訊框序號範圍值」 大多落於 150~200 之間,這是因為我們所進行的 FTP 傳輸屬 TCP 傳輸, 故每次傳完資料封包後就會收到 ACK 控制訊框,由於我們在第三章有 提到,控制訊框不具 Sequence Number 欄位,但從基地台所發送的 ACK 訊框,仍會自動地進行訊框序號的累加,故本偵測系統會在收到 ACK 後,將「訊框序號範圍值」增加 50,以避免封包過濾模組的誤判,也就 是說只要在 ACK 後的下一個訊框,系統計算得到的「訊框序號範圍值」 必定在 108 以上,故在本實驗環境架構下的「訊框序號範圍值」約有 90% 落於 200 以內,而大於 200 的值可能是因訊號太低或兩封包之間隔時間 太長所導致,圖 5-3 即為訊框訊號範圍值與信號及訊框間隔時間的關係 圖,由圖中便可清處可觀察到,當信號值愈小或封包間隔時間愈長,便 會使得「訊框序號範圍值」越大,此設計是為了考量無線行動端點在移 動或漫遊時因信號衰減所可能造成的封包遺失,當遺失的封包過多便會 造成無線入侵偵測系統的誤判,且攻擊者也無法以信號過弱的發送器來 達到攻擊的目的,因此本過濾方法可動態給予信號值較弱的無線端點一 個較大的「訊框序號範圍值」來避免不必要的過濾。. -56-.
(66) 6000. 5689. 5000. 4000. 次 3000 數 2000 1248. 1000. 2. 3. 1. 6. 11 00. 12 00. 13 00. 14 15 00 00 以 上. 47. 6. 10 00. 15. 90 0. 27. 80 0. 70 0. 53. 34. 60 0. 96. 50 0. 25 0. 20 0. 15 0. 10 0. 50. 0. 158. 30 0. 53. 40 0. 268 0. 訊框序號. 1. 圖 5-2 訊框序號範圍值之次數分配表. 10. 250. 9 8. 200. 7 訊. 框. 6 間. 信150 號 平 均 值100. 隔 5 時. 間. 3. 秒. (. 4. ) 2. 50. 1 0. 0 0. 30. 62. 87. 113 139 167 194 222 248 282 324 375 418 458 496 564 671 805 1078 1590 2920. 訊框序號範圍值. 圖 5-3 訊框間隔時間、信號與訊框序號範圍值之關係. -57-. signal p_itv_time.
(67) 5.2 警報門檻值分析 由於近年來入侵偵測系統最讓人詬病的問題就是假警報過多,也就 是將正常的封包誤認為惡意封包並發出警報,當假警報過多時,管理人 員便會浪費多餘的時間在處理假警報上,這對於資訊人員來說,是一筆 額外的成本,為能有效降低假警報的產生,本無線入侵偵測系統的警報 發送模組利用即時監測各項錯誤計數器,並設定每個錯誤計數器之門檻 值來界定使否需要發送警報,由於本論文僅就解除認證攻擊與偽造封包 兩種作探討,故在實作警報門檻值部份目前只設立兩門檻值分別用來監 視每秒內判斷為偽造封包的個數(err_seq)與每秒內收到解除認證或解除 聯結訊框的個數(client_disconnect),為能有效訂定此兩門檻值,在本小 節分別做兩模擬實驗來分析警報計數器的門檻值。 實驗 A:在兩無線端點歷時約 5 分鐘的高速 FTP 傳輸下,總共傳送 了 16,271 個封包,有 232 個封包被判斷為偽造封包,誤判率約為 1.43%。 在分析過誤判的封包資訊後可以得到每秒內的誤判次數分配,由圖 5-4 可得知,有 121 次的誤判間隔時間是發生是一秒以上,顯示在大多情況 下每秒鐘內只會有一次誤判,但此實驗也發現即使在正常傳輸情況下仍 可能產生一秒鐘發生高達 10 次的誤判,為能考慮此現象本論文在封包過 濾模組的警報門檻值便設定當每秒內偵測到的錯誤序號計數器(err_seq) 值大於 10 時則發出警報。. -58-.
(68) 120. 121. 100. 80 發 生 次 60 數 37. 40. 20 2. 1. 1. 1. 1. 3. 4 每秒內誤判數. 8. 9. 10. 0 1. 2. 圖 5-4 每秒誤判數之次數分佈圖. 實驗 B:在兩無線端點進行 FTP 傳輸時,以不同的攻擊頻率發送解 除認證訊框並分析對網路傳輸的影響情況,攻擊頻率分別為每秒傳送 1、5、10 個解除認證訊框,目的是為了解在何種攻擊頻率下,才會對網 路傳輸造成影響,並由此來界定解除認證計數器的門檻值設立。 圖 5-5 是在不同的攻擊頻率下 FTP 傳輸流量的變化情形,圖 5-5(a) 為每秒僅發送 1 個解除認證訊框的情形,由圖中可見傳輸效能雖然會受 解除認證所影響而有所波動,但是仍然可以進行連線傳輸,最高傳輸率 仍可達到將近 400KBytes,尚在使用者的容許範圍內,不會造成太大的 困擾;圖 5-5(b)則是在每秒發送 5 個解除認證訊框的情形可以明顯看見,. -59-.
(69) 傳輸的最高速率降到只有約 180Kbytes,且整體傳輸率也較(a)來的差; 圖 5-5(c)是以每秒 10 個解除認證訊框的頻率來發送攻擊,由圖中可觀察 到,解除認證攻擊約在傳輸經過 30 秒後開始進行,一旦開始攻擊後整個 FTP 傳輸流量快速下降到趨近於 0,無線連線也就此被中斷。 由本小節的實驗數據可得知只要當解除認證的攻擊頻率到達每秒發 送 5 個訊框,便會對網路的傳輸造成影響,故本論文擬將解除認證計數 器的門檻值設為 5,也就是說只要當每秒鐘接收到超過 5 個解除認證, 便達到警報發送的標準,系統會經由警報發送模組將警報訊息顯示在系 統畫面上。. -60-.
(70) (a) 每秒發送 1 個解除認證訊框. (b) 每秒發送 5 個解除認證訊框. (c) 每秒發送 10 個解除認證訊框 圖 5-5 不同攻擊頻率下傳輸流量之變化. -61-.
(71) 5.3 系統效能分析 在以往的入侵偵測系統中,使用大量的統計方法來對封包加以進行 特徵分析,往往佔用 CPU 和記憶體的大量資源,如此一來便很容易在傳 輸量大時發生錯誤甚至產生系統當機的情況,本入侵偵測系統的目的, 便是以最簡單快速的方法過偵測出最多的攻擊行為,因此,為測試本無 線入侵偵測系統的效能,本論文觀察本研究提出之無線入侵偵測系統在 執行後,程式佔本機 CPU 的資源使用率情況,本入侵偵測系統所使用的 CPU 為 P4-Mobile 1.8GHz,圖 5-6 即為本入侵偵測系統在不同的無線網 路流量下所消耗的 CPU 使用率,在 40 秒以前無線網路端點僅保持連線 狀態不進行傳輸,此時本系統所佔的 CPU 使用率不到 1%,在 40 秒後 無線端點開始進行大量 FTP 傳輸,傳輸速率約在 350Kbytes/seconds,此 時程式佔 CPU 約 5%~6%的使用率,因需判斷大量封包,故消耗較多 CPU 使用率,但仍屬低 CPU 使用率,在 140 秒後開始發送解除認證攻擊,攻 擊頻率約在每秒 50 個攻擊訊框,此時因無線端點受到解除認證 DoS 攻 擊,傳輸服務被阻斷,故無線網路上的流量減少,系統所要過濾的封包 數量減少,反而使得程式佔 CPU 的使用率降到 2%~3%,由以上可得知, 本系統在處理效能上主要是受無線媒介上封包的傳輸量所影響,當傳輸 量愈大愈快速時,本系統的負載就愈重,在本機所測試的結果顯示,本 過濾程式佔用 CPU 的資源尚在可接受範圍內,即使在高流量的傳輸下也. -62-.
數據
+7
相關文件
For the data sets used in this thesis we find that F-score performs well when the number of features is large, and for small data the two methods using the gradient of the
The PLCP Header is always transmitted at 1 Mbit/s and contains Logical information used by the PHY Layer to decode the frame. It
In order to detect each individual target in the crowded scenes and analyze the crowd moving trajectories, we propose two methods to detect and track the individual target in
This thesis will focus on the research for the affection of trading trend to internationalization, globlization and the Acting role and influence on high tech field, the change
In this thesis, we propose a Density Balance Evacuation Guidance base on Crowd Scatter Guidance (DBCS) algorithm for emergency evacuation to make up for fire
[23] Tiantong You, Hossam Hassanein and Chi-Hsiang Yeh, “PIDC - Towards an Ideal MAC Protocol for Multi-hop Wireless LANs,” Proceedings of the IEEE International Conference
This thesis studies how to improve the alignment accuracy between LD and ball lens, in order to improve the coupling efficiency of a TOSA device.. We use
(英文) In this research, we will propose an automatic music genre classification approach based on long-term modulation spectral analysis on the static and dynamic information of
