访问控制攻击

访问控制攻击:这些攻击使用无线或者规避无线局域网访问控制方法，比如APMAC过滤器和802.1X端口访问控制，进而试图穿透网络。

AP-MAC过滤器:无线MAC地址过滤功能通过MAC地址允许或拒绝无线网络中的计算机访问广域网，有效控制无线网络内用户的上网权限。如果您开启了无线网络的MAC地址过滤功能，并且过滤规则选择了“禁止列表中生效规则之外的MAC地址访问本无线网络”，而过滤列表中又没有任何生效的条目，那么任何主机都不可以访问本无线网络。

端口访问控制:当无线工作站与AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过，则AP为用户打开这个逻辑端口，否则不允许用户上网。802.1x除提供端口访问控制能力之外，还提供基于用户的认证系统及计费，特别适合于公共无线接入解决方案。

802.1x认证过程:整802.1x的认证过程可以描述如下:

(1) 客户端向接入设备发送一个EAPoL-Start报文，开始802.1x认证接入;

(2) 接入设备向客户端发送EAP-Request/Identity报文，要求客户端将用户名送上来;

(3) 客户端回应一个EAP-Response/Identity给接入设备的请求，其中包括用户名;

(4) 接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中，发送给认证服务器;

(5) 认证服务器产生一个Challenge，通过接入设备将RADIUS Access-Challenge报文发送给客户端，其中包含有EAP-Request/MD5-Challenge;

(6) 接入设备通过EAP-Request/MD5-Challenge发送给客户端，要求客户端进行认证;

(7) 客户端收到EAP-Request/MD5-Challenge报文后，将密码和Challenge做MD5算法后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回应给接入设备;

(8) 接入设备将Challenge，Challenged Password和用户名一起送到RADIUS服务器，由RADIUS 服务器进行认证;

(9)RADIUS服务器根据用户信息，做MD5算法，判断用户是否合法，然后回应认证成功、失败报文到接入设备。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束;

(10) 如果认证通过，用户通过标准的DHCP协议(可以是DHCP Relay) ，通过接入设备获取规划的IP地址;

(11) 如果认证通过，接入设备发起计费开始请求给RADIUS用户认证服务器;

(12)RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕.

驾驶攻击：驾驶攻击也称为接入点映射，这是一种在驾车围绕企业或住所邻里时扫描无线网络名称的活动。要想进行驾驶攻击你就要具备一辆车、一台电脑（膝上型电脑）、一个工作在混杂模式下的无线以太网网卡，还有一个装在车顶部或车内的天线。因为一个无线局域网可能仅局限于一栋办公楼的范围内，外部使用者就有可能会入侵网络，获得免费的企业内部网络连接，还可能获得公司的一些记录和其他一些资源。用全方位天线和全球定位系统，驾驶攻击者就能够系统地将802.11b无线接入点映射地址映射。有无线局域网地公司迫使增加保证只有有访问权利地用户才能接入网络地安全装置。安全装置包括使用有线对等保密（WEP）加密标准、互联网加密协议或者Wi-Fi受保护地访问，再加上防火墙或非军事区的使用。

欺骗性接入点：在防火墙内部安装不安全的接入点，在受信任网络中创建开放后门。假接入点（AP）构成了一个特别棘手的问题，因为在许多公共热点，你并不知道可靠的AP和登录网页应该的样子。如果你被欺骗，连接到一个假的接入点，“恶魔双子星”会在最佳位置来发动对你的攻击。一个假的接入点可以显示热点的登录页面，看起来像一个合法的登录页，以获得你的信用卡号码。它可以截取虚拟个人网络（VPN）连接请求，并试图伪装成合法的

VPN网管。它甚至可以尝试模仿任何你可能尝试访问的SSL保护的网站。在所有这些攻击中，假的接入点（和服务器）正视图利用你的疏忽来验证你在和谁通信——从热点AP和登录网站，到VPN网关和SSL服务器。因此，你最好的防御措施就是坚持在你提供任何敏感信息（如密码，信用卡号码）前对服务器身份进行验证。

点对点连接：直接连接到不安全的站点，避开安全的接入点，进而攻击站点。

MAC欺骗：MAC地址欺骗目前很多网络都使用Hub进行连接的，众所周知，数据包经过Hub传输到其他网段时，Hub只是简单地把数据包复制到其他端口。因此，对于利用Hub 组成的网络来说，没有安全而言，数据包很容易被用户拦截分析并实施网络攻击（MAC地址欺骗、IP地址欺骗及更高层面的信息骗取等）。为了防止这种数据包的无限扩散，人们越来越倾向于运用交换机来构建网络，交换机具有MAC地址学习功能，能够通过VLAN等技术将用户之间相互隔离，从而保证一定的网络安全性。交换机队于某个目的MAC地址明确的单址包不会像Hub那样将该单址包简单复制到其他端口上，而是只发到起对应的特定的端口上。如同一般的计算机需要维持一张ARP高速缓冲表一样，每台交换机里面也需要维持一张MAC地址(有时是MAC地址和VLAN)与端口映射关系的缓冲表，称为地址表，正是依靠这张表，交换机才能将数据包发到对应端口。地址表一般是交换机通过学习构造出来的。学习过程如下：（1）交换机取出每个数据包的源MAC地址，通过算法找到相应的位置，如果是新地址，则创建地址表项，填写相应的端口信息、生命周期时间等；

（2）如果此地址已经存在，并且对应端口号也相同，则刷新生命周期时间；

（3）如果此地址已经存在，但对应端口号不同，一般会改写端口号，刷新生命周期时间；（4）如果某个地址项在生命周期时间内没有被刷新，则将被老化删除。如同ARP缓冲表存在地址欺骗的问题，交换机里的这种MAC地址表也存在地址欺骗问题。在实际应用中，人们已经发现早期设计的许多交换机都存在这个问题，以Cisco2912交换机为例，阐明一下如何进行MAC地址欺骗。如图所示，两个用户PcA和PcB分别连接Cisco2912的portA 和portB两个端口。

假定PcA的MAC的地址是00.00.AA.AA.AA.AA

PcB的MAC的地址是00.00.BB.BB.BB.BB

在正常的情况下，Cisco2912里会保存如下的一对映射关系：

(00.00.AA.AA.AA.AA）<—>portA

(00.00.BB.BB.BB.BB) <—>portB

() <—>portC

依据这个映射关系，Cisco2912把从PortC上收到的发给PcA的包通过PortA发出，而