无线D.O.S攻击的常用方法
    关于无线攻击有多种方法，本节主要说明常用的方法。

1  关于无线连接验证及客户端状态
    1．关于无线连接验证
    先来回顾前面提及的无线网络环境，无线客户端都是需要通过一个验证来实现连接无线接 入点的。AP上的验证可采用开放式密钥验证或者预共享密钥验证两种方式。一个工作站可以同 时与多个AP进行连接验证，但在实际连接时，同一时刻一般还只是通过一个AP进行的。图 8-14所示为使用密码来进行连接验证。
    2．关于无线客户端状态
    IEEE 802.11定义了一种客户端状态机制，用于跟踪工作站舟份验证和关联状态。无线 客户端和AP基于IEEE标准实现这种状态机制，如图8-15所示。成功关联的客户端停留在 状态3，才能进行无线通信。处于状态1和状态2的客户端在通过身份验证和关联前无法参 与WLAN数据通信过程。
    在图8-15中，无线客户端根据它们的关联和认证状态，可以为3种状态中的任意一种。
    了解下述内容对理解无线D.O.S攻击有着很大作用，为方便更多读者理解，这里制作了 图8-15的对应列表，请大家结合表8-1的内容对照查看。    

明白了上述的内容，下面就来学习实际的攻击是怎样实现的。

2 Auth Flood攻击
    验证洪水攻击，国际上称之为Authentication Flood Attack，全称即身份验证洪水攻击， 通常被简称为Auth D.O.S攻击，是无线网络拒绝服务攻击的一种形式。该攻击目标主要针 对那些处于通过验证、和AP建立关联的关联客户端，攻击者将向AP发送大量伪造的身份 验证请求帧（伪造的身份验证服务和状态代码），当收到大量伪造的身份验证请求超过所能 承受的能力时，AP将断开其他无线服务连接。
    一般来说，所有无线客户端的连接请求会被AP记录在连接表中，当连接数量超过AP 所能提供的许可范围时，AP就会拒绝其他客户端发起的连接请求。为方便大家理解，图8-16 所示是身份验证洪水攻击原理图，可以看到攻击者对整个无线网络发送了伪造的身份验证 报文。

1．身份验证攻击实现及效果    
    为了开展验证洪水攻击，攻击者会先使用一些看起来合法但其实是随机生成的MAC地 址来伪造工作站，然后，攻击者就可以发送大量的虚假连接请求到AP。对AP进行持续且 猛烈的虚假连接请求，最终会导致无线接入点的连接列表出现错误，合法用户的正常连接也 会被破坏。
    可以使用的工具有很多，比如在Linux下比较有名的MDK2/3，或者早一点的Voidll 等。那么，在开始攻击之前，一般会先使用Airodump-ng查看当前无线网络状况。如图8-17 所示，这是在正常情况下探测到的无线接入点和已经连接的无线客户端。

具体攻击可以使用MDK3工具实现，该软件可以通过无线网卡发射随机伪造的AP信号， 并可根据需要设定伪造AP的工作频道，下面就以Ubuntu环境为例进行演示。一般设定为 预干扰目标AP的同一频道。
    具体命令如下：

  参数解释：  

●  网卡：此处用于输入当前的网卡名称，这里就是mon0。

  ●  a：Authentication D.O.S模式，即验证洪水攻击模式。

  ●  ．a：攻击指定的AP，此处需要输入AP的MAC地址，这里就是基于图8—17所探测到的SSID为Belkin的AP。
    ●  ．s：发送数据包速率，但并不精确，这里为200，实际发包速率会保存在150～250个包／秒，可以不使用该参数。
    按【Enter]键后就能看到MDK3伪造了大量不存在的无线客户端SSID与AP进行连接， 而且也出现了很多显示为AP responding或者AP seems to beNVULNERABLE的提示。图 8-18所示为对SSID为Belkin的AP进行Auth D.O.S攻击。

图8-18
    图8-19所示为向SSID为Belkin、频道为1的无线接入点正常通信进行Auth D.O.S攻击。 可以看到，在使用Airodump-ng监测界面的下方，瞬间出现了大量的伪造客户端，且连接对 象均为“OO:1C:DF:60:C1:94”。此时的合法无线客户端虽然不是所有的都受到影响，但已经 出现了不稳定的情况。   

 同样地，使用前面介绍过的图形化工具也可以实现， Java图形化版本Charon的工作界面，该 工具通过事先监测到的无线客户端 MAC，可对指定无线客户端进行定点攻 击。在图8-22中可以看到该攻击工具伪 造了大量不存在的客户端MAC来对目标 AP进行连接验证。由于工具一样，只是加 了个图形界面，所以这里不再赘述。

    2．身份验证攻击典型数据报文分析
    在察觉到网络不稳定时，应该立即着 手捕获数据包并进行分析，这样是可以迅 速识别出Auth D.O.S攻击的。   图8-23所示为在Auth D.O.S攻击开始后，无线网络出现不稳定状况时，使用Wireshark 抓包的结果分析，可以看到有大量连续的802.11 Authentication数据报文提示出现。

 图8-23
    双击打开图8-23中的任意一个802.11 Auth数据包，可以看到图8-24所示的数据包结构 详细说明，包括类型、协议版本、时间、发送源MAC、目标MAC等。按照有线网络D.O.S 攻击的经验，管理员貌似可通过抓包来识别和记录攻击者主机的无线网卡MAC，不过遗憾 的是，单纯靠这样来识别Auth攻击者是不太可行的，正如大家所见，这些无线客户端MAC 都是伪造的。

    除了Wireshark之外，也可以使用OmniPeek进行无线网络数据包的截取和分析。当遭 遇到强烈的Auth D.O.S攻击时，已经连接的无线客户端会明显受到影响，出现断网频繁、 反复重新验证无法通过等情况。当网络中出现此类情况时，无线网络的管理员、安全人员应 引起足够的重视，并迅速进行响应和处理。

8,3.3 Deauth Flood攻击
    取消验证洪水攻击，国际上称之为De-authentication Flood Attack，全称即取消身份验证 洪水攻击或验证阻断洪水攻击，通常被简称为Deauth攻击，是无线网络拒绝服务攻击的一 种形式，它旨在通过欺骗从AP到客户端单播地址的取消身份验证帧来将客户端转为未关联／ 未认证的状态。对于目前广泛使用的无线客户端遁配器工具来说，这种形式的攻击在打断客 户端无线服务方面非常有效和快捷。一般来说，在攻击者发送另一个取消身份验证帧之前， 客户端会重新关联和认证以再次获取服务。攻击者反复欺骗取消身份验证帧才能使所有客户 端持续拒绝服务。
    为了方便读者理解，绘制了一张取消身份验证洪水攻击原理图，大家可以好好理解一下， 在图8-25中可看到攻击者为了将所有已连接的无线客户端“踢下线”，对整个无线网络发送 了伪造的取消身份验证报文。    

1．取消身份验证攻击实现及