信息安全战：无线D.O.S之射频干扰攻击

　　在战场电磁干扰形式选择上，本手册主张采用对某一特定频率或信道所进行的瞄准式干扰，而不主张同时干扰一个较宽频带的阻塞式干扰，因为后者对已方的电磁通讯和电子支援措施也会产生影响。

　　------引自1993年美国陆军《电子战手册》

　　1.什么是射频干扰攻击?

　　射频干扰攻击，国际上称之为RF Jamming Attack，在个别国外文献资料中有时也称之为RF Disruption Attack，该攻击指攻击方通过发出干扰射频达到破坏正常无线通信的目的。RF ，全称为Radio Frequency ，即射频，主要包括无线信号发射机及收信机等。在通信领域，关于无线信号干扰和抗干扰对策一直是主要研究方向之一。而对于军队直属通信机构及一些特殊部门而言，信道干扰也一直是其研究及抗击的目标之一，如全频道阻塞干扰、瞄准式阻塞干扰等均为干扰的主要实现方式。

　　全频道阻塞干扰即大功率完全覆盖型干扰，这种干扰不分敌我，完全覆盖目标区域的整个频段，有效阻塞几乎所有正常信号传输，但鉴于发射功率等因素，干扰效果有着距离的限制。瞄淮式干扰则只针对某一段频带进行干扰，比如攻击方破解了对方的通信频带，发送干扰信息，而攻击方自己是不会受到干扰影响。对于这里我们所说的无线网络射频攻击主要就是采用这种方式。具体攻击原理如下图1所示：

　　图1 无线DOS之RF干扰攻击

　　由于我们现在普遍使用的无线网络都工作在2.4GHz频带范围，此频带范围包含802.11a、802.11b、802.11g、802.11n、蓝牙等，具体如下表1所示，所以针对此频带进行的阻塞干扰将会有效地破坏正常的无线通信，导致传输数据丢失、网络中断、信号不稳定等情况出现。

　　表1 当前主要无线协议工作频段

　　由上表1可知，2.4GHz处的802.11b/g和5GHz处的802.11a RF频谱都很容易受到RF噪音的影响。

　　2. 可能面对的射频干扰攻击

　　当企业或者中小型无线网络中出现射频干扰攻击后，无线AP或无线路由器将会出现较为明显的性能下降，而当遇到针对2.4GHz的全频段阻塞干扰时，整个无线网络中的AP及无线路由器甚至将全部不能够正常工作。而管理员们也将会面对一系列升级的事件，并不得不一一解决可能出现的严重后果比如无线网络中断等。那么，可能面临的RF Jamming攻击有：

　　• 干扰WLAN服务：

　　当存在很多用户在无线网络中使用射频设备，比如微波、无绳电话及蓝牙设备等，这些工作在2.4或者5.2GHz波段的设备会产生对无线网络干扰的噪声及信号阻塞。严重甚至会导致无线局域网服务的瘫痪。这也是为什么我们放在微波炉附近的AP或者与厨房仅一墙之隔的无线路由器经常出现信号不稳定的原因之一。

　　• 高能量阻塞脉冲信号：

　　攻击者从距AP较远的地方，可以使用带有定向高增益天线的高功率发射机，以脉冲方式输送能量足够高的RF功率，摧毁AP中的电子器件，从而永久性丧失服务。国外一些军事刊物也已经刊载了相关HERF(高能量RF)枪及超高功率电磁脉冲发射机的资料，都可以用于攻击重要目标无线主干接入点。此为特别作战部队及间谍进行渗透、定点通信破坏时的可选方式之一。

　　3.攻击者如何实现射频干扰攻击?

　　对于家庭小型办公环境SOHO网络以及企业无线局域网来说，攻击者可以使用配备普通无线网卡的客户端设备实现对802.11a/b/g环境的攻击。通过改装或强化原有天线，攻击者甚至可以利用高增益定向天线放大进行远距离射频干扰攻击。这个有点像平时我们在国家重点考场、政府机构重点会议中所使用的手机信号干扰机，原理是一样的，只是工作频率不同，一般可对半径30米之内的信号进行屏蔽，但其覆盖范围一样可以通过提升功率进行设定。

　　考虑到自由空间和室内衰减，位于建筑物外300英尺远的一千瓦干扰发射机，在没有任何遮挡的前提下，可以在办公区域的50至100英尺内产生干扰。同样是一千瓦干扰发射机，如果位于建筑物内部，则可在办公区域的 180英尺内产生干扰，原因是干扰信号在穿过多层墙壁后会变得很衰弱。那么，在遭到攻击时，目标区域内的WLAN设备通常将中断无线服务。根据资料表明，目前公开销售的高功率干扰发射机工作有效距离已经可以达到5公里以上，而一些针对半军事用途的产品甚至已经达到40公里以上。

　　一般来说，根据高功率干扰机的干扰范围，需要干扰3-5公里的选择功率达10W机器，5公里以上选择20W机器，50W以上的很少使用。下图为国外生产的一种便携式多用途的干扰发射机，可以看到还配有车载电源(点烟器)接口。

　　图2 国外生产的一种GPS干扰机

　　相关漏洞公告：

　　IEEE 802.11无线设备中的拒绝服务漏洞：US-CERT VU#106678和Aus-CERT AA-2004.02

　　802.11 WLAN设备将载波检测多路访问/冲突避免(Carrier Sense Multiple Access with Collision Avoidance，CSMA/CA)用作基本访问机制，在此机制中，WLAN设备在开始执行任何传输操作前先监听媒体。如果它检测到任何已经发生的现有传输操作，则其将撤回。冲突避免将物理感测机制与虚拟感测机制组合在一起，其中虚拟感测机制包括网络分配向量(NAV)，媒体可用于传输前的时间。 DSSS协议中的空闲信道评估(Clear Channel Assessment，CCA)确定WLAN信道是否空闲，可供802.11b设备通过它传输数据。

　　最近，澳大利亚昆士兰大学软件工程和数据通信系的三名博士生Christian Wullems、Kevin Tham和Jason Smith发现802.11b协议标准中存在缺陷，容易遭到拒绝服务RF干扰攻击。此攻击专门针对CCA功能。根据AusCERT公告“针对此漏洞的攻击将利用位于物理层的CCA功能，导致有效范围内的所有WLAN节点(客户端和接入点(AP))都推迟攻击持续时间内的数据传输。遭到攻击时，设备表现为信道始终忙碌，阻止在无线网络上传输任何数据。”

　　此DoS攻击对DSSS WLAN设备产生影响，包括IEEE 802.11、802.11b和低速(在20Mbps以下)802.11g无线设备。IEEE 802.11a(使用OFDM)、高速(使用OFDM，在20Mbps以上)802.11g无线设备不受此特定攻击的影响。此外，使用FHSS的设备也不受影响。

　　任何使用装配有WLAN卡的PDA或微型计算机的攻击者都可以在SOHO和企业WLAN上启动这样的攻击。要避免这种攻击，唯一的解决方案或已知保护措施就是转而使用802.11a协议。

　　有关此DoS攻击的更多信息，请参阅：

　　http://www.auscert.org.au/render.html?it=4091

　　http://www.kb.cert.org/vuls/id/106678

　　4. 如何检测RF冲突?

　　对于很多从事无线电行业的机构和公司来说，检测信号来源并不是件非常困难的事情，比如最近几年在国家四六级考试、司法考试、职称考试等重点考试期间，通过无线电监管部门的协助，考试中心追踪无线电作弊信号来源，捕获非法作弊人员已成为维护考试公正性的必要手段之一。那么，无线领域亦是如此，通过比对信号的强弱及波形的变化，就可以逐步跟踪到信号的发射基站。国内外无线市场上都已经出现了一些自动化的跟踪设备及配属软件，可以很方便地进行企业无线环境防护，不但可以快速锁定攻击来源，还可以短信或者电子邮件的方式来通知管理员。如下图3为检测到的无线设备中无线电话信号及信号强度。

　　图3检测到的无线设备中无线电话信号及信号强度

　　除此之外，还可以检测出多种无线信号发射源，比如微波炉等设备。如下图4为检测到的无线设备中微波炉干扰信号及信号强度。

　　图4 检测到的无线设备中微波炉干扰信号及信号强度。

　　下图5为政府机构及特别部门装备的专业频谱分析仪，该设备可以扫描所有通信频段，包括无线电、802.11a/b/g、蓝牙、红外等，并可对发现的信号来源进行定位。

　　图5 专业频谱分析仪

　　下图6为所示频谱分析仪对应平台操作界面。

　　图6 频谱分析仪对应平台操作界面

　　5.管理员如何应对?

　　对于作战部队来说，在战场通信中可以采用诸如跳频、直接序列扩频、零可控自适应天线、猝发、单频转发和频率捷变等技术，来进行电子反制。而在传统的无线领域，我们也可以采用类似的策略达到临时规避攻击的目的。

　　当出现射频干扰攻击时，管理员应及时寻找并移除产生干扰信号的设备，若暂时无法定位来源也可以对网桥等设备通过采用802.11a协议来替换现有标准，或者添加更多可用频道来尽可能使得攻击者造成的影响降到最低。下图7为检测到的信号载波分析示意图。

　　图7 信号载波分析示意图

　　为了更有效地弱化射频干扰攻击的危害及负面影响，企业管理员们应事先制订完善的响应机制和预警机制，定时监听噪声信号出现幅度、来源等，对任何不同于正常情况的噪声出现保持足够的警惕。

　　顺便说一句，作为普通读者如果一定想要体验一下RF攻击效果的话，其实生活中有些很容易的方式可以实现这种攻击，比如可以把下图8开启的微波炉放的离AP近一点，也许有意想不到的结果哦。不过笔者可不建议你这么做，同时提醒大家注意一下此类设备与AP的摆放位置有没有距离上的安全隐患，应及时更正。

　　图8 家用微波炉