DOS Attacke oder AP aufgehaengt?

[schibulski]

Hallo Zusammen,

ich beobachte in letzter Zeit ein merkwuerdiges Verhalten unserer L-54g Access-Points. Heute ist es das dritte Mal vorgekommen, das ich ueber das Fehlverhalten (Clients koennen sich nicht mehr einloggen) eines Access-Points informiert wurde und daraufhin in die Log-Files schaute:

Code: Alles auswählen

Oct 19 10:25:51 10.87.82.67 CONN-LOGIN_WARNING: [WLAN-1] Rejected Association from WLAN station 00:30:95:fe:20:9e (Procomp fe:20:9e) []: (unknown (9))

Diese Meldung wiederholt sich ungefaehr 70 mal in der Sekunde (!) und kann sich ueber Stunden hinziehen.

Ein Reboot loest das Problem.

Nun meine Fragen:

Ist das eine DOS Attacke? Falls ja verwundert es mich, das es verschwindet, wenn der AP neu gebootet wird. Bei einer Attacke sollte man annehmen, das der Angreifer irgendwo sitzt und die Maschine mit Paketen bombardiert und dieses Bombardement auch nach einem Reboot anhaelt.

Falls es eine DOS Attacke ist, kann ich es im Menupunkt "Firewall/QOS" ueber das Reiterchen DOS einschraenken? Oder andersherum gefragt: Trifft der Einstellungspunkt auch auf die WLAN Schnittstelle zu und trifft es auch zu wenn der AP im Bridging Modus arbeitet.

Kann sich der AP einfach aufgehaengt haben und er haengt in einer Spirale fest aus der er nicht mehr herauskommt? Ein Anhaltspunkt fuer diese Theorie waere, das das Fehlverhalten nur an stark frequentierten APs auftaucht.

Danke + Gruesse

Schibulski

[alf29]

Moin,

WLAN-Code 9 = "Station requesting (re)association is not authenticated with responding station"

Da ist offensichtlich eine State-Machine in einem Client
durcheinander. Ein Client versucht sich zu authentifizieren,
lt. Stationstabelle des APs liegt aber keine gültige
Authentifizierung (Open System oder Shared Key) vor.
Deshalb schickt das LANCOM ein Deauthenticate an den
Client, um seine State-Machine in den korrekten Zustand
zurückzusetzen. Das scheint dieser Client aber zu
ignorieren...

Ich vermute, mit einem Reboot verliert der Client die
Verbindung zum AP komplett und das setzt auf seiner
Seite die State-Machine dann komplett zurück.

Gruß Alfred

[schibulski]

Hallo Herr Alfred,

danke fuer die Antwort.

Ich glaube es liegt nicht an den assozierenden Clients. Wir haben folgendes Szenario in unserem Bibliothekswuerfel:

Code: Alles auswählen

   -----------------------
  |                  AP 3 |
  |                       |
  |                       |
  |                       |
  |                       |
  |                       |
  | AP 1             AP 2 |
   -----------------------

Ein Blick in die Logfiles offenbarte nun das AP 1 oefter die Fehlermeldung "unknown(9)" mit verschiedenen Clients produzierte. Ein Blick in den WLAN Monitor zeigte, das an AP 1 lediglich zwei Clients assoziert waren, an den beiden anderen jeweils ueber 20. (Die Laptops der Nutzer sind im Wuerfel gleich verteilt und sollten deshalb auch gleich ueber die APs streuen)

Daraufhin ging ein Kollege in den Wuerfel, setzte sich vor AP1, packte sein Laptop aus und versuchte sich mit AP 1 zu assozieren. Das Ergebnis ist folgendes:

Code: Alles auswählen

Oct 25 10:56:33 10.87.82.4 CONN-LOGIN_INFO: [WLAN-1-2] Authenticated WLAN station 00:0e:35:65:b6:7f (Intel 65:b6:7f) [truncated info element]
Oct 25 10:56:33 10.87.82.4 CONN-LOGIN_WARNING: [WLAN-1-2] Rejected Association from WLAN station 00:0e:35:65:b6:7f (Intel 65:b6:7f) []: (unknown (9))
Oct 25 10:57:09 10.87.82.4 CONN-LOGIN_INFO: [WLAN-1-2] Authenticated WLAN station 00:0e:35:65:b6:7f (Intel 65:b6:7f) [truncated info element]
Oct 25 10:57:09 10.87.82.4 CONN-LOGIN_WARNING: [WLAN-1-2] Rejected Association from WLAN station 00:0e:35:65:b6:7f (Intel 65:b6:7f) []: (unknown (9))

Nach der Abweisung meldete sich das Laptop meines Kollegen automatisch an AP 2 an und bekam eine IP Adresse zugewiesen und konnte damit arbeiten.

Daraufhin bootete ich AP 1 und der ganze Spuk war vorbei. Der Laptop meines Kollegen assozierte sich brav mit AP 1 und die Clients verteilten sich gleichmaessig ueber die drei Access-Points.

Aus diesem Grund komme ich zu der Einschaetzung, das irgendetwas im AP verstruwwelt ist, und verhindert, das Clients sich ordentllich mit dem AP verbinden koennen.

Kann man irgendetwas dagegen unternehmen?

Beste Gruesse, Schibulski

[alf29]

Moin,

Hallo Herr Alfred,

Also daß mich Leute gelegentlich mit meinem Nachnamen
als Vornamen anreden, kenne ich ja - aber so herum ist
das neu

Kann man irgendetwas dagegen unternehmen?

Merkwürdig finde ich erstmal das mit dem truncated info
element als Reason für die Authentifizierung. Um die
Situation näher verstehen zu können, bräuchte ich aber
einen WLAN-Trace.

Gruß Alfred

[schibulski]

Moin,
Also daß mich Leute gelegentlich mit meinem Nachnamen
als Vornamen anreden, kenne ich ja - aber so herum ist
das neu 8-)

Hallo Alfred ;-)

Das mit dem Vornamen war mir bewusst, immerhin liegt hier noch die "Technische Richtlinie Sicheres WLAN" vom BSI und ein netter C't Artikel auf meinem Schreibtisch, aber mit diesen Forum Nicknames ist es manchmal nicht so einfach *seufz*

Merkwürdig finde ich erstmal das mit dem truncated info
element als Reason für die Authentifizierung. Um die
Situation näher verstehen zu können, bräuchte ich aber
einen WLAN-Trace.

Ich bin jetzt zwei Tage auf Dienstreise, wenn das Problem danach wieder auftaucht mache ich ein WLAN Trace. Poste ich den Trace an das Forum oder per Mail?

Gruss, Schibulski

[alf29]

Moin,

Poste ich den Trace an das Forum oder per Mail?

ich glaube, der Trace interessiert nur mich...

Gruß Alfred

[schibulski]

Hallo Alfred,

[/quote]
ich glaube, der Trace interessiert nur mich...
[/quote]

ein recht herzliches Dankeschoen fuer das nette Angebot, doch gluecklicherweise ist das Problem nicht mehr aufgetaucht.

Aufgrund von Verbesserungen im Verhalten von 802.1X bin ich von der 6.10er FW auf die 6.24er gewechselt, das mache ich nun ursaechlich fuer die Verbesserung verantwortlich.

Danke noch einmal und Gruesse,

Schibulski

[alf29]

Moin,

auch in Ordnung Wenn die Verbesserungen bzgl. 802.1x
in der 6.2x schon gefallen, dann warte erstmal ab, was in
der 7.0...

Gruß Alfred