如何定位无线网络攻击源？

　　问：我正在寻找一个可以帮助我对无线LAN的拒绝服务(DoS)攻击者的物理位置进行定位的工具。目前我有一个无线入侵预防系统(WIPS)，它可以持续地提醒我受到了攻击，但是我还需要其他的工具对攻击者进行定位。对于这个问题我要如何解决呢？

　　答：你的WIPS应该能够描绘出攻击者所在的楼层平面的大概位置，或者至少能告诉你哪个传感器或AP离攻击者最近。在这个基础上，你可以尝试找一些工具，通过听那个位置的RF来进行定位。

　　•如果“攻击者”碰巧是一个Wi-Fi AP或Ad Hoc节点造成同道干扰，那么任何Wi-Fi发现工具（又叫做“stumbler”）你都可以用来听。例如，HeatMapper就是一个非常好的免费的映射AP的工具。

　　•如果攻击者是一个Wi-Fi客户端，那么你需要一个可以进入RFMON模式并能听其他Wi-Fi流量的工具，不仅仅是AP或Ad Hoc信号灯。免费的有Airodump-ng，Kismet，Wireshark等，它们可以运行在Linux上或（和一个AirPCap适配器）运行在Windows上。商业WLAN分析仪也可以捕获客户端流量。

　　•如果攻击者是一个非Wi-Fi设备，你需要一个具有“发现”功能的移动RF频谱分析仪。这些现在都是商业领域的产品，MetaGeek Wi-Spy是一种比较好的工具。

　　注意：在你进行搜索时，攻击者”必须得是活跃的。这看起来似乎很明显，但是也面临着一个真正的挑战——尤其是DoS攻击，因为它是瞬间的射频干扰。需要同时查看通过WIPS收集到的历史数据和从传感器及AP中实时观察到的情况。下次听攻击者时你可以使用WIPS “观察”来引发基于传感器的远程数据包捕获。从过往的WIPS事件中我们可以总结出一天中攻击者活跃的最佳时刻。最后，一些新的企业AP提供载入频谱分析——如果你的“DoS攻击”真的是一个长期的RF干扰问题，那么这项投资还是比较有价值的。