WLAN_1.3.6.1.4.1.2011.6.139.15.1.1.11 hwWlanWidsPSKAttackDetectedTrap

告警解释

WLAN/4/WIDS_DETECT_PSK_ATTACK:OID [oid] Detected attack. (Monitor APMAC=[OPAQUE], Device Mac=[OPAQUE], Device channel=[INTEGER], Attack type=[INTEGER], Attack type string=[OCTET])

发现暴力破解攻击。

告警属性

告警ID 告警级别 告警类型
1.3.6.1.4.1.2011.6.139.15.1.1.11 Warning environmentalAlarm(6)

告警参数

参数名称 参数含义
oid 告警oid。

Monitor APMAC

 监测AP的MAC。
Device Mac 攻击设备的MAC。
Device channel 攻击设备的信道。
Attack type
攻击类型ID。
  • 14:WEP-SK认证方式下的暴力破解认证攻击
  • 15:WPA-PSK认证方式下的暴力破解认证攻击
  • 16:WPA2-PSK认证方式下的暴力破解认证攻击
  • 17:WAPI认证方式下的暴力破解认证攻击
Attack type string 攻击类型名称,请参见攻击类型ID对应的攻击。

对系统的影响

可能原因

发现暴力破解攻击。

处理步骤

  1. 使用命令display wlan ids attack-detecteddisplay wlan ids attack-detected statistics,查看攻击设备的信息和攻击统计,判断是否为攻击。

    • 如果判断非攻击=>2,修改检测攻击的门限值,避免误报。
    • 如果判断是攻击=>3,配置动态黑名单功能。

  2. 配置检测攻击的门限值。

    进入指定的WIDS模板视图,使用命令brute-force-detect intervalbrute-force-detect threshold配置暴力破解密钥的检测周期以及检测周期内允许密钥协商失败的次数。

  3. 将攻击设备加入动态黑名单,丢弃攻击设备发送的报文。
    1. 进入指定的WIDS模板视图,使用命令dynamic-blacklist enable使能动态黑名单功能。
    2. 进入指定的AP系统模板视图,使用命令dynamic-blacklist aging-time配置动态黑名单的老化时间。
  4. 检查是否继续产生此告警。

    • 是=>5。
    • 否=>6。

  5. 请收集告警、日志和配置信息,并联系技术支持人员。
  6. 结束。

参考信息

父主题: WLAN
华为专有和保密信息
版权所有 © 华为技术有限公司