关注我,每天进步一点点!!
今天是分享排障案例的一天~事情是这样:
客户采购了一套AC+AP实现酒店无线组网,规模大概是百来个AP点位,2.4G和5G都有使用。而这段时间陆续有旅客陆续反馈“无线网络非常差,根本就无法连上使用”,如下:
(为保护隐私,该SSID名称本文设为“HOTEL_2.4G&5G”)
结果导致旅客差评和投诉不断对酒店造成了一定的影响,造成了经济损失!酒店老板让IT部门尽快解决,IT部的工程师测试有线网络一切正常,完全是无线的问题,通过修改信道、更换新设备、功率优化、无线隔离等等措施都做了,还是没有解决。
无奈之下只能找到厂商来解决。我们在项目现场和IT人员了解后,此问题是近一周才出现的,项目落地时并没有此类问题。确实比较奇怪,项目落地比较长时间了出现此问题,要么设备故障、要么存在干扰,然而经过一系列排查,我们发现真相没有这么简单!!
【网络拓扑】
网络架构比较简单,酒店共部署100+AP点位,使用AC控制器集中管理:
说明:
- AC上配置了两个SSID,分别绑定了所有AP
- SSID配置:
- SSID1仅绑定2.4G:HOTEL_2.4G
- SSID2仅绑定5G频段:HOTEL_5G
【排障分析】
第一步:尝试无线优化
1、问题比较显性,手机和笔记本电脑均无法关联酒店的无线HOTEL_2.4G或者HOTEL_5G,会提示“无法接入网络”、“连接失败”、“无线停用”等等;
2、于是我们尝试做了信道隔离优化、功率优化后还是有这个问题,调优确实一点效果没有。
第二步:无线帧交互分析
由于无线网络连接不上问题很显性,那么问题应该发生在手机与AP1交互的probe、auth、associate和eapol-key阶段,抓取出现问题的无线帧如下(使用抓包网卡+omnipeek):
发现无线认证和连接均正常,然而发现过了2秒后苹果手机自己发了Disassoc帧主动声明解关联的无线帧,AP1收到后即响应deauth帧表示断开与苹果手机了无线关联:
关联解除后手机会继续尝试链接AP1,但又会出现要么手机自己声明解关联要么AP声明解关联(剔除终端):
到这一刻,我们才意识到现场的无线网络被攻击了!原来是deauth攻击!!
第三步:进一步分析无线攻击源
我们进一步分析无线帧,发现发出deauth和disassociate解关联报文的信号强度非常的弱:
而实际上AP1和IPhone XR手机就在我们的抓包网卡旁边,手机信号应该是非常强的。对此过滤了正常交互的报文:
也就是说,伪造deauth和disassoc攻击帧是远处的某个攻击设备发出来的所以信号衰减答,而不是苹果手机和AP1发出来的。一旦AP和苹果手机接收到无线空间中的deauth和disassoc攻击帧,就会立马断联!
第四步:确认deauth攻击方式
deauth攻击常见的有两种攻击对象,一个是攻击SSID(也就是无线网络名称),另一个是攻击BSSID(也就是特定AP)。为了确定是哪种类型,我们做了如下测试:
| SSID | BSSID | 状态 | 结果 | 备注 |
| HOTEL_2.4G | 无线AP1 | 启用 | 无法连接 | 原有 |
| HOTEL_2.4G | 无线AP2 | 启用 | 无法连接 | 原有 |
| HOTEL_5G | 无线AP1 | 启用 | 无法连接 | 原有 |
| HOTEL_5G | 无线AP2 | 启用 | 无法连接 | 原有 |
| NEW TEST_2.4G | 无线AP1 | 启用 | 正常连接 | 新增 |
| NEW TEST_2.4G | 无线AP2 | 启用 | 正常连接 | 新增 |
| NEW TEST_5G | 无线AP1 | 启用 | 正常连接 | 新增 |
| NEW TEST_5G | 无线AP2 | 启用 | 正常连接 | 新增 |
测试结果:相同的AP点下新建一个SSID就能正常使用,实锤了是针对SSID的deauth&disassoc攻击。
【攻击原理】
问题水落石出,无线就是这么“脆弱”,通过伪造几个报文即可让某AP无线客户端掉线。其攻击原理是利用WPA/WPA2加密方式下未对无线管理帧加密的漏洞,黑客就能嗅探到终端和AP实施攻击,而此无线加密漏洞在WPA3已经得到解决。
上文提到的“Deauth”、“Disassoc”攻击还出现在:
- 无线密码破解
- 一些无线设备的保护机制、或者耍流氓的机制中
- 一些工具软件上恶意的攻击、破坏行为
【解决方案】
针对deauth攻击源追踪并没有很好的办法,只能根据攻击信号源的强度去找攻击设备(兰陵王:找我??)
找的比较辛苦但最终还是找到了,原来是隔壁酒店的做的好事。看来商战手段无处不在,剩下的事情就交给客户自己去解决了(如果找不到攻击源就只能改SSID使用了,但是不排除还会被攻击)。实话说类似的案例其实也不少的,万豪就曾干过此事:
万豪通过嗅探客人的wifi发起攻击,只允许客人使用自己的无线上网。
小云君网络
小云君-HCIE/PMP/网络规划师/原厂Engineer/本985。我的公众号只搞原创,不搞培训。内容涉及:规划低中高网络架构方案、扒一扒不同厂商设备的产品性能和兼容性、分享网络知识与经验。网工实战天花板,感谢你的关注~
129篇原创内容
公众号
建议
以后大家遇到类似的问题,可以尝试修改SSID名称、手机热点使用相同的SSID等方式测试,看看是不是可能存在网络被攻击了。
下方收藏、在看、点赞三连我,谢谢大家~话题讨论请留言
关注公众号
我的公众号只搞原创,不搞培训。内容涉及:规划低中高网络架构方案、扒一扒不同厂商设备的产品性能和兼容性、分享网络知识与经验。网工实战天花板,感谢你的关注~
我的公众号只搞原创,不搞培训。内容涉及:规划低中高网络架构方案、扒一扒不同厂商设备的产品性能和兼容性、分享网络知识与经验。网工实战天花板,感谢你的关注~