取消身份验证洪水攻击

beyes

取消身份验证洪水攻击，英文全称为 De-authentication Flood Attack，简称为 “Deauth 攻击”，它也是无线网络拒绝服务攻击的一种形式。它主要是通过欺骗从 AP 到客户端单播地址的取消身份验证帧来将客户端转为未关联/未认证状态。

该攻击的原理简述如下：
1. 客户端与 AP 建立连接；
2. 攻击通过广播插入伪造的取消身份验证报文；
3. 客户端认为该报文来自 AP；
4. 已经连接的客户端自行断开连接。

一般说来，在攻击者发送另一个取消身份验证帧之前，客户端会重新请求认证关联以再次获取服务，然而攻击者会反复欺骗之，使得所有客户端持续拒绝服务。

实现这种攻击有许多的工具，在 BT/Kali linux 上已经集成了 MDK3，而 Aireplay-ng 的 -0 选项也可以实现该功能，下面分别介绍这两种攻击的操作方法。

在开始攻击之前，同样要使网卡处于监听模式：

1. airmon-ng start wlan0

复制代码

接着，探测周边的无线信号：

1. airodump-ng mon0

复制代码

确定要攻击的目标网路，可以输入下面命令观察目标网络及其连入客户端的情况：

1. airodump-ng -d E4:D3:32:53:D3:C6 mon0

复制代码

-d 选项后接的是目标 AP 的 MAC 地址，这么做是因为我们现在只关心这个网络，其余的不用输出。输出结果如下图所示：


从上图可见，有一个 MAC 地址为 98:6C:F5:0E:6D:B8 的客户端连接到该 AP （假设这个 MAC 就是我们自己的，这时可以在该客户端上观看视频浏览网页）。 下面使用取消验证洪水攻击的方法来测试：

1. aireplay-ng --ignore-negative-one -0 10 -a E4:D3:32:53:D3:C6 -c 98:6C:F5:0E:6D:B8 mon0

复制代码

-0 是攻击模式，即取消验证攻击。
-a 后接要攻击的 AP 的 MAC 。
-c 后接要攻击的客户端的 MAC 。
--ignore-negative-one 并不是必须，如果系统提示你要添加这个忽略选项，你就照着填上即可。

输出如下图所示：



输出的结果行中，aireplay-ng 一次发送总共 128 个数据包，其中 64 个发往 AP，另 64 个发往客户端。

注意，最后一栏，取其中一项，比如 [36|38 ACKs] 。其中 36 是从客户端接收到的应答；38 是从 AP 接收到的应答。这两个值都少于 64，但这并不奇怪，一些包没得到应答也是正常的。相反，如果客户端积极的进行沟通，那该值还可能大于 64 。那么这个给我们什么样的一些信息呢？有应答，说明了 AP 和 客户端都听到了我们发给它们的欺骗包，并欣然接受。如果两个值都为 0，则说明 AP 或 客户端没有听到你所发送的包，如果值较低，那么表示攻击者和目标距离较远且信号较弱，还有可能就是被攻击目标已经快不行了。

攻击成功的话，客户端会很快和 AP 断开连接。

下面介绍使用 mdk3 的操作方法：

在攻击之前，同样和上面一样先获取攻击目标的信息。然后开始测试：

1. echo E4:D3:32:53:D3:C6 > blist.txt

复制代码

将要攻击的目标 AP 的 MAC 写到一个文件中。

1. mdk3 mon0 d -c 1 -b blist.txt

复制代码

d 表示 Deauthentication / Disassociation 攻击模式，即该选项同时支持取消验证洪水攻击模式和取消关联洪水攻击模式，这两个模式比较类似，所以归类到一起。

-c 后接 AP 的工作频道。

-b 后接一文件(b 是 blacklist mode 的缩写)，里面存储了要攻击 AP 的 MAC 列表。这个字对付大量处于不同频道的目标时使用。

还有一个 -w 选项，即白名单模式（white list mode），后接的文本中含有 AP 的 MAC 会在攻击中受到回避。

注意，如果要同时对几个频道进行 Deauth 攻击，那么可以在 -c 参数后面跟上几个频道，频道号用逗号分隔即可，如 -c 1,6,11 。如果命令中不使用 -c 参数来指定攻击频道，那意味着进行随机性攻击，此时 mdk3 会每个 5 秒切换一个频道进行攻击。


上述攻击方法危害比较大，请慎重测试。