關注我,每天進步一點點!!
今天是分享排障案例的一天~事情是這樣:
客戶采購了一套AC+AP實作酒店無線組網,規模大概是百來個AP點位,2.4G和5G都有使用。而這段時間陸續有旅客陸續回報“無線網絡非常差,根本就無法連上使用”,如下:
(為保護隐私,該SSID名稱本文設為“HOTEL_2.4G&5G”)
結果導緻旅客差評和投訴不斷對酒店造成了一定的影響,造成了經濟損失!酒店老闆讓IT部門盡快解決,IT部的工程師測試有線網絡一切正常,完全是無線的問題,通過修改信道、更換新裝置、功率優化、無線隔離等等措施都做了,還是沒有解決。
無奈之下隻能找到廠商來解決。我們在項目現場和IT人員了解後,此問題是近一周才出現的,項目落地時并沒有此類問題。确實比較奇怪,項目落地比較長時間了出現此問題,要麼裝置故障、要麼存在幹擾,然而經過一系列排查,我們發現真相沒有這麼簡單!!
【網絡拓撲】
網絡架構比較簡單,酒店共部署100+AP點位,使用AC控制器集中管理:
說明:
- AC上配置了兩個SSID,分别綁定了所有AP
- SSID配置:
- SSID1僅綁定2.4G:HOTEL_2.4G
- SSID2僅綁定5G頻段:HOTEL_5G
【排障分析】
第一步:嘗試無線優化
1、問題比較顯性,手機和筆記本電腦均無法關聯酒店的無線HOTEL_2.4G或者HOTEL_5G,會提示“無法接入網絡”、“連接配接失敗”、“無線停用”等等;
2、于是我們嘗試做了信道隔離優化、功率優化後還是有這個問題,調優确實一點效果沒有。
第二步:無線幀互動分析
由于無線網絡連接配接不上問題很顯性,那麼問題應該發生在手機與AP1互動的probe、auth、associate和eapol-key階段,抓取出現問題的無線幀如下(使用抓包網卡+omnipeek):
發現無線認證和連接配接均正常,然而發現過了2秒後蘋果手機自己發了Disassoc幀主動聲明解關聯的無線幀,AP1收到後即響應deauth幀表示斷開與蘋果手機了無線關聯:
關聯解除後手機會繼續嘗試連結AP1,但又會出現要麼手機自己聲明解關聯要麼AP聲明解關聯(剔除終端):
到這一刻,我們才意識到現場的無線網絡被攻擊了!原來是deauth攻擊!!
第三步:進一步分析無線攻擊源
我們進一步分析無線幀,發現發出deauth和disassociate解關聯封包的信号強度非常的弱:
而實際上AP1和IPhone XR手機就在我們的抓包網卡旁邊,手機信号應該是非常強的。對此過濾了正常互動的封包:
也就是說,僞造deauth和disassoc攻擊幀是遠處的某個攻擊裝置發出來的是以信号衰減答,而不是蘋果手機和AP1發出來的。一旦AP和蘋果手機接收到無線空間中的deauth和disassoc攻擊幀,就會立馬斷聯!
第四步:确認deauth攻擊方式
deauth攻擊常見的有兩種攻擊對象,一個是攻擊SSID(也就是無線網絡名稱),另一個是攻擊BSSID(也就是特定AP)。為了确定是哪種類型,我們做了如下測試:
| SSID | BSSID | 狀态 | 結果 | 備注 |
| HOTEL_2.4G | 無線AP1 | 啟用 | 無法連接配接 | 原有 |
| HOTEL_2.4G | 無線AP2 | 啟用 | 無法連接配接 | 原有 |
| HOTEL_5G | 無線AP1 | 啟用 | 無法連接配接 | 原有 |
| HOTEL_5G | 無線AP2 | 啟用 | 無法連接配接 | 原有 |
| NEW TEST_2.4G | 無線AP1 | 啟用 | 正常連接配接 | 新增 |
| NEW TEST_2.4G | 無線AP2 | 啟用 | 正常連接配接 | 新增 |
| NEW TEST_5G | 無線AP1 | 啟用 | 正常連接配接 | 新增 |
| NEW TEST_5G | 無線AP2 | 啟用 | 正常連接配接 | 新增 |
測試結果:相同的AP點下建立一個SSID就能正常使用,實錘了是針對SSID的deauth&disassoc攻擊。
【攻擊原理】
問題水落石出,無線就是這麼“脆弱”,通過僞造幾個封包即可讓某AP無線用戶端掉線。其攻擊原理是利用WPA/WPA2加密方式下未對無線管理幀加密的漏洞,黑客就能嗅探到終端和AP實施攻擊,而此無線加密漏洞在WPA3已經得到解決。
上文提到的“Deauth”、“Disassoc”攻擊還出現在:
- 無線密碼破解
- 一些無線裝置的保護機制、或者耍流氓的機制中
- 一些工具軟體上惡意的攻擊、破壞行為
【解決方案】
針對deauth攻擊源追蹤并沒有很好的辦法,隻能根據攻擊信号源的強度去找攻擊裝置(蘭陵王:找我??)
找的比較辛苦但最終還是找到了,原來是隔壁酒店的做的好事。看來商戰手段無處不在,剩下的事情就交給客戶自己去解決了(如果找不到攻擊源就隻能改SSID使用了,但是不排除還會被攻擊)。實話說類似的案例其實也不少的,萬豪就曾幹過此事:
萬豪通過嗅探客人的wifi發起攻擊,隻允許客人使用自己的無線上網。
小雲君網絡
小雲君-HCIE/PMP/網絡規劃師/原廠Engineer/本985。我的公衆号隻搞原創,不搞教育訓練。内容涉及:規劃低中高網絡架構方案、扒一扒不同廠商裝置的産品性能和相容性、分享網絡知識與經驗。網工實戰天花闆,感謝你的關注~
129篇原創内容
公衆号
建議
以後大家遇到類似的問題,可以嘗試修改SSID名稱、手機熱點使用相同的SSID等方式測試,看看是不是可能存在網絡被攻擊了。
下方收藏、在看、點贊三連我,謝謝大家~話題讨論請留言
關注公衆号
我的公衆号隻搞原創,不搞教育訓練。内容涉及:規劃低中高網絡架構方案、扒一扒不同廠商裝置的産品性能和相容性、分享網絡知識與經驗。網工實戰天花闆,感謝你的關注~
我的公衆号隻搞原創,不搞教育訓練。内容涉及:規劃低中高網絡架構方案、扒一扒不同廠商裝置的産品性能和相容性、分享網絡知識與經驗。網工實戰天花闆,感謝你的關注~