《访问控制攻击.docxVIP

访问控制攻击:这些攻击使用无线或者规避无线局域网访问控制方法，比如APMAC过滤器和802.1X端口访问控制，进而试图穿透网络。AP-MAC过滤器:无线MAC地址过滤功能通过MAC地址允许或拒绝无线网络中的计算机访问广域网，有效控制无线网络内用户的上网权限。如果您开启了无线网络的MAC地址过滤功能，并且过滤规则选择了“禁止列表中生效规则之外的MAC地址访问本无线网络”，而过滤列表中又没有任何生效的条目，那么任何主机都不可以访问本无线网络。端口访问控制:当无线工作站与AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过，则AP为用户打开这个逻辑端口，否则不允许用户上网。802.1x除提供端口访问控制能力之外，还提供基于用户的认证系统及计费，特别适合于公共无线接入解决方案。802.1x认证过程:整802.1x的认证过程可以描述如下:(1) 客户端向接入设备发送一个EAPoL-Start报文，开始802.1x认证接入;(2) 接入设备向客户端发送EAP-Request/Identity报文，要求客户端将用户名送上来;(3) 客户端回应一个EAP-Response/Identity给接入设备的请求，其中包括用户名;(4) 接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中，发送给认证服务器;(5) 认证服务器产生一个Challenge，通过接入设备将RADIUS Access-Challenge报文发送给客户端，其中包含有EAP-Request/MD5-Challenge;(6) 接入设备通过EAP-Request/MD5-Challenge发送给客户端，要求客户端进行认证;(7) 客户端收到EAP-Request/MD5-Challenge报文后，将密码和Challenge做MD5算法后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回应给接入设备;(8) 接入设备将Challenge，Challenged Password和用户名一起送到RADIUS服务器，由RADIUS服务器进行认证;(9)RADIUS服务器根据用户信息，做MD5算法，判断用户是否合法，然后回应认证成功、失败报文到接入设备。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束;(10) 如果认证通过，用户通过标准的DHCP协议(可以是DHCP Relay) ，通过接入设备获取规划的IP地址;(11) 如果认证通过，接入设备发起计费开始请求给RADIUS用户认证服务器;(12)RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕.驾驶攻击：驾驶攻击也称为接入点映射，这是一种在驾车围绕企业或住所邻里时扫描无线网络名称的活动。要想进行驾驶攻击你就要具备一辆车、一台电脑（膝上型电脑）、一个工作在混杂模式下的无线以太网网卡，还有一个装在车顶部或车内的天线。因为一个无线局域网可能仅局限于一栋办公楼的范围内，外部使用者就有可能会入侵网络，获得免费的企业内部网络连接，还可能获得公司的一些记录和其他一些资源。用全方位天线和全球定位系统，驾驶攻击者就能够系统地将802.11b无线接入点映射地址映射。有无线局域网地公司迫使增加保证只有有访问权利地用户才能接入网络地安全装置。安全装置包括使用有线对等保密（WEP）加密标准、互联网加密协议或者Wi-Fi受保护地访问，再加上防火墙或非军事区的使用。欺骗性接入点：在防火墙内部安装不安全的接入点，在受信任网络中创建开放后门。假接入点（AP）构成了一个特别棘手的问题，因为在许多公共热点，你并不知道可靠的AP和登录网页应该的样子。如果你被欺骗，连接到一个假的接入点，“恶魔双子星”会在最佳位置来发动对你的攻击。一个假的接入点可以显示热点的登录页面，看起来像一个合法的登录页，以获得你的信用卡号码。它可以截取虚拟个人网络（VPN）连接请求，并试图伪装成合法的VPN网管。它甚至可以尝试模仿任何你可能尝试访问的SSL保护的网站。在所有这些攻击中，假的接入点（和服务器）正视图利用你的疏忽来验证你在和谁通信——从热点AP和登录网站，到VPN网关和SSL服务器。因此，你最好的防御措施就是坚持在你提供任何敏感信息（如密码，信用卡号码）前对服务器身份进行验证。点对点连接：直接连接到不安全的站点，避开安全的接入点，进而攻击站点。MAC欺骗：MAC地址欺骗目前很多网络都使用Hub进行连接的，众所周知，数据包经过Hub传输到其他网段时，Hub只是简单地把数据包复制到其他端口。因此，对于利用Hub组成的网络来说，没有安全而言，数据包很容易被用户拦截分析并实施网络攻击（MAC地址欺骗、IP地址欺骗及更高