무선 네트워크가 손상된 것으로 보이며 약 1 분 동안 비활성화됩니다

Mac OS X 시스템에서 다음과 같은 메시지가 나타납니다.

무선 네트워크가 손상된 것으로 보이며 약 1 분 동안 비활성화됩니다. ^†

(무선 WPA2-PSK 보안 네트워크 BTW입니다)

샘플 메시지 :

라우터의 로그 (Zyxel P-2602HW-D1A)에서 몇 개의 (아웃 바운드) "syn flood TCP ATTACK"로그 만 보았지만 1 주일 전과 같았습니다. 이 보안 침해 발생을 분석하려면 Mac OS X의 어떤 도구가 필요합니까? Mac OS X에 검사 할 수있는 보안 로그가 있습니까?

다른 어떤 측정을해야합니까? 그리고 Mac OS X에서이 경고를 얼마나 심각하게 받아 들여야합니까?

시스템 : Macbook Pro Intel Core 2 Duo 2.2 Ghz
OS : Mac OS X 10.5.8
네트워크 : 무선 WPA2-PSK
관련 소프트웨어 : Windows XP가 설치된 Parallels Desktop (열렸지만 당시 중지됨)

네트워크의 다른 시스템 :
Windows XP SP3 데스크톱 (당시 실행 중)

더 많은 정보가 필요하면 주저하지 말고 문의하십시오.

^† 실제 메시지는 네덜란드어로 작성되었으며, 아마도 /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/ ClientController.bundle / Contents / Resources / Dutch.lproj 와 같은 메시지 일 것입니다 .

그 외 드레드 로즈 네트워크 단어와 함께 ervan은 가장 중요한 것입니다.

AirPort 카드 / 드라이버가 60 초 내에 두 개의 TKIP "MIChael"MIC (메시지 무결성 검사) 오류를 감지하거나 AP에 의해 이러한 오류가 통보 될 때 나타나는 메시지입니다.

원래 WPA의 기반이었으며 "WPA2 혼합 모드"로 알려진 WPA2에서 여전히 활성화 될 수있는 TKIP 암호화는 임의의 MIC 오류 가능성이 매우 적지 만 60 초 내에 두 번의 실패는 임의성이 아닐 수 있으므로 WPA 사양은이 공격을 공격으로 취급하며 공격자를 막기 위해 1 ~ 2 분 동안 네트워크를 중단해야합니다.

WPA2의 기반이되는 AES-CCMP 암호화에는 MIC도 있습니다 (MAC (메시지 인증 확인-CCMP의 'M'이라고 함)). AES-CCMP MAC 오류가 발생하면 어떻게되는지 확인하십시오. 그래도 일시적으로 네트워크를 중단시키는 것은 아닙니다.

아마도 가장 가능성이 높은 시나리오는 AP 또는 클라이언트가 MIC 처리를 망쳤거나 MIC- 실패 처리 코드가 실수로 트리거 된 버그를 발견 한 것입니다.

무선 카드에는이 영역에 버그가 있으며 특히 무차별 모드로 실행되는 것을 보았습니다. Parallels 또는 다른 장치가 무선 카드를 무차별 모드로 전환하지 않도록 할 수 있습니다. ifconfig en1en1이 AirPort 카드 인 경우 실행 하고 PROMISC 플래그의 인터페이스 플래그 목록 ( "UP, BROADCAST ...")을 확인하십시오. 일부 VM 소프트웨어는 Promiscuous 모드를 사용하여 최소한 유선 이더넷 인터페이스에 대해 "브릿지"또는 "공유"네트워킹을 활성화합니다. 많은 무선 카드가 무차별 모드를 제대로 처리하지 않기 때문에 최신 VM 소프트웨어는 무선 인터페이스를 무차별 모드로 전환하지 않도록주의합니다.

클라이언트가 관련 이유 코드를 사용하여 802.11 인증 취소 프레임을 위조하여 누군가가 당신을 엉망으로 만들 가능성이 있지만 클라이언트가 스택을 제대로보고했습니다.

가장 가능성 이 낮은 시나리오는 누군가가 실제로 네트워크에서 공격을 시작하고 있다는 것입니다.

문제가 다시 발생하면 802.11 모니터 모드 패킷 추적이 공격을 기록하는 가장 좋은 방법 일 것입니다. 그러나 10.5.8에서 좋은 802.11 모니터 모드 패킷 추적을 수행하는 방법을 설명하는 것은이 답변의 범위를 벗어납니다. 그 당시에 /var/log/system.logAirPort 클라이언트 / 드라이버 소프트웨어가 무엇을 보았는지에 대해 더 자세하게 설명 할 수있을 것입니다.

sudo /usr/libexec/airportd -d

Snow Leopard는 AirPort 디버그 로깅이 훨씬 뛰어나므로 Snow Leopard로 업그레이드하면 명령은 다음과 같습니다.

sudo /usr/libexec/airportd debug +AllUserland +AllDriver +AllVendor

Snow Leopard에서 스니핑이 쉽습니다.

sudo /usr/libexec/airportd en1 sniff 1

(이 예에서는 AirPort 카드가 en1이고 AP가 채널 1에 있다고 가정합니다.)

이 스레드 에 따라 TKIP 메시지 무결성 검사 또는 관련 체크섬 에서 문제를 감지하면 AirPort 드라이버 에서 메시지가 제공됩니다 .

따라서 기본적으로 네트워크가 TKIP 주입 공격에 의해 손상 되거나 단순히 라우터가 MIC 또는 체크섬을 잘못 계산하거나 유사한 주파수 범위 에서 작동하는 다른 라우터의 간섭으로 인해 전송 중에 패킷이 손상되었습니다 .

이를 피하기 위해 제안 된 방법은 다른 라우터로 변경하거나 가능한 경우 WPA2 암호화 만 사용하는 것입니다.

참조 : 어떻게 WPA 무선 보안 표준의 공격을 피하기 위해?

TKIP는 WEP에 의해 손상되었던 이전 AP 및 클라이언트에 대한 빠른 수정으로 만들어졌습니다. TKIP는 동일한 키를 사용하여 모든 패킷을 암호화하는 대신 RC4를 각 패킷마다 다른 키와 함께 사용합니다. 이러한 패킷 당 키는 WEP 암호화 크래커를 중화시킵니다. 또한 TKIP는 키 메시지 MIC (Message Integrity Check)를 사용하여 재생 또는 위조 된 패킷을 감지합니다. 누구나 캡처 및 수정 된 TKIP 암호화 패킷을 보낼 수 있지만, MIC와 체크섬이 패킷이 전달하는 데이터와 일치하지 않기 때문에 해당 패킷이 삭제됩니다. TKIP를 사용하는 AP는 일반적으로 첫 번째 불량 MIC가 수신되면 오류 보고서를 전송합니다.두 번째 불량 패킷이 60 초 내에 도착하면 AP는 1 분 동안 수신 대기를 중지 한 다음 WLAN을 "키를 다시"줍니다. 모든 클라이언트는 새로운 "쌍별 마스터 키"를 사용하여 MIC 키와 패킷 당 암호화를 모두 생성해야합니다. 열쇠.

이것은 WEP에 의해 남겨진 틈새 구멍을 막았다. 모든 WPA 인증 제품은 TKIP 및 MIC를 사용하여 802.11 데이터 도청, 위조 및 재생 공격에 저항 할 수 있습니다.