无线网络似乎已受到攻击，将被禁用约一分钟

16

我刚刚在Mac OS X系统上收到一条消息，告诉我：

无线网络似乎已受到威胁，将被禁用约一分钟。^†

（这是一个无线WPA2-PSK安全网络BTW）

样本消息：

我查看了路由器（Zyxel P-2602HW-D1A）的日志时，只看到了几条（出站）“ syn Flood TCP ATTACK”日志，但这些日志大约是一周前的，除此之外，什么都没有。我必须在Mac OS X上使用哪些工具来分析此安全漏洞的发生？我可以检查Mac OS X上的一些安全日志吗？

我还应该进行哪些其他测量？我应该从Mac OS X发出多严重的警告？

系统：Macbook Pro Intel Core 2 Duo 2.2 Ghz
操作系统：Mac OS X 10.5.8
网络：无线WPA2-PSK
相关软件：具有Windows XP的Parallels Desktop（已打开，但当时已停止）

我网络上的其他系统：
Windows XP SP3桌面（当时正在运行）

如果您需要更多信息，请随时询问。

^†实际消息是荷兰语，可能类似于/System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/ ClientController.bundle / Contents / Resources / Dutch.lproj中的以下内容：

危险的网络是什么？

— 体面的流浪汉
source

您是否有错误消息的屏幕截图？

— 布莱恩（Brian）2010年

@Brian，这是一个很老的问题... :-)

— Arjan 2010年

哈，就是这样-我完全忽略了约会

— 布赖恩

1

仍然在macOS Sierra上得到了这个。

— kenorb

16

这就是当AirPort卡/驱动程序在60秒内检测到两个TKIP“ MIChael” MIC（消息完整性检查）故障或AP通知此类故障时收到的消息。

TKIP加密是原始WPA的基础，并且仍可以在WPA2下以“ WPA2混合模式”启用，它极有可能发生随机MIC失败，但是60秒内两次失败不太可能是随机的，因此WPA规范将其视为攻击，并且要求网络宕机一两分钟以阻止攻击者。

作为WPA2基础的AES-CCMP加密也具有MIC（嗯，他们称其为MAC-消息身份验证检查-它是CCMP的“ M”），但我想不起来了如果发生AES-CCMP MAC故障，该怎么办。我认为这并不涉及暂时关闭网络。

到目前为止，最可能的情况是您碰巧遇到了一些错误，无论是AP还是客户端搞砸了它的MIC处理，或者是意外触发了MIC故障处理代码。

我已经看到无线网卡在这方面存在错误，尤其是在混杂模式下运行。您可能要确保Parallels或其他原因不会使您的无线网卡进入混杂模式。运行ifconfig en1（如果en1是您的AirPort卡，通常情况下），然后在接口标志列表（“ UP，BROADCAST ...”）中查找PROMISC标志。某些VM软件至少使用有线以太网接口使用混杂模式来启用“桥接”或“共享”网络。因为许多无线卡不能很好地处理混杂模式，所以大多数现代VM软件都小心不要将无线接口置于混杂模式。

有可能（但不太可能）有人通过伪造带有相关原因码的802.11取消认证帧来惹您生气，然后客户端忠实地报告了堆栈。

到目前为止，最不可能的情况是有人实际上在对您的网络发起攻击。

如果问题再次发生，则802.11监视模式数据包跟踪可能是记录攻击的最佳方法。但我认为，解释如何在10.5.8下进行良好的802.11监控模式数据包跟踪超出了此答案的范围。我将提到，这/var/log/system.log可能会告诉您有关AirPort客户端/驱动程序软件当时所见内容的更多信息，并且您可以通过以下方式增加日志级别：

sudo /usr/libexec/airportd -d

Snow Leopard具有更好的AirPort调试日志记录，因此，如果升级到Snow Leopard，则命令为：

sudo /usr/libexec/airportd debug +AllUserland +AllDriver +AllVendor

在雪豹上嗅探很容易：

sudo /usr/libexec/airportd en1 sniff 1

（该示例假定您的AirPort卡为en1，并且您的AP在通道1上。）

— 扩散
source

1

我无法确认您所陈述的一切都是真实的，但是：+1非常有趣。

— Arjan 2010年

鉴于资源包我加入到这个问题，相同的文本用于两个wpaIsFailureMIC和wpaIsReplayAttack。

— Arjan 2010年

0

按照此线程，当检测到TKIP消息完整性检查或关联的校验和有问题时，该消息来自AirPort驱动程序。

因此，基本上您的网络可能受到 TKIP注入攻击的威胁，或者仅仅是路由器错误地计算了MIC或校验和，或者数据包在传输过程中由于受到其他在类似频率范围内运行的路由器的干扰而被破坏。

建议的避免这种情况的方法是更改为其他路由器，或者如果可能的话，仅使用WPA2加密。

请参阅：如何避免WPA无线安全标准攻击？

TKIP的创建是为受WEP困扰的较早的AP和客户端的快速修复。TKIP不使用相同的密钥来加密每个数据包，而是使用RC4，每个数据包使用不同的密钥。这些每个数据包的密钥将中和WEP加密破解程序。此外，TKIP使用键控的消息完整性检查（MIC）来检测重播或伪造的数据包。任何人都可以发送（即注入）已被捕获和修改的TKIP加密的数据包，但是由于MIC和校验和与该数据包所携带的数据不匹配，因此丢弃了这些数据包。当收到第一个不良MIC时，使用TKIP的AP通常会发送错误报告。如果第二个坏数据包在60秒内到达，则AP停止监听一分钟，然后“重新密钥化” WLAN，要求所有客户端开始使用新的“成对主密钥”来生成MIC密钥和每个分组加密键。

这堵塞了WEP留下的漏洞。所有经过WPA认证的产品都可以使用TKIP及其MIC抵制802.11数据的窃听，伪造和重播攻击。

— Kenorb
source