專利名稱:無線局域網(wǎng)中監(jiān)控非法接入點(diǎn)的方法、設(shè)備及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線局域網(wǎng),具體涉及無線局域網(wǎng)中監(jiān)控非法接入點(diǎn)的方法、設(shè)備及系統(tǒng)。
背景技術(shù):
無線局域網(wǎng)(WLAN,Wireless local area network)技術(shù)是基于電子電氣工程師協(xié)會(huì)(IEEE,Institute of Electrical and Electronics Engineers)提出的802.11媒體訪問控制(MAC,Media Access Control)標(biāo)準(zhǔn),該標(biāo)準(zhǔn)定義了無線工作站(STA,wirelesss station)與接入點(diǎn)(AP,Access Point)之間的空中接口規(guī)范。STA是無線網(wǎng)絡(luò)的客戶端,具體的可以是包含有802.11無線網(wǎng)絡(luò)接口卡的計(jì)算機(jī)。而AP類似于無線網(wǎng)絡(luò)中的基站,它能創(chuàng)建一組基本的服務(wù),將大量的STA從無線網(wǎng)絡(luò)橋接到其他現(xiàn)有的有線網(wǎng)絡(luò)。STA與AP之間通過公用的無線信道(channel)進(jìn)行通信,通常WLAN中都提供多個(gè)信道用于通信。
圖1給出了一種典型的WLAN結(jié)構(gòu)示意圖,如圖1所示,STA1通過信道1連接到AP1,STA2通過信道6連接到AP2,AP1和AP2在接入控制設(shè)備(AC,Acess controller)的控制下通過路由器(R,router)連接到核心網(wǎng)中;同時(shí),網(wǎng)絡(luò)中還可以存在以有線方式連接到網(wǎng)絡(luò)中的有線計(jì)算機(jī)。其中,AP周期性的廣播一種被稱作信標(biāo)幀(beacon)的信號(hào),該信號(hào)包含有客戶端如何與該AP連接的必要信息,例如服務(wù)集標(biāo)識(shí)(SSID,Service Set Identifier);收到信標(biāo)幀的STA,可以向AP發(fā)送連接請(qǐng)求,使用上述SSID與該AP建立連接,在得到認(rèn)證(authentication)和建立關(guān)聯(lián)(association)后即可通過該AP接入網(wǎng)絡(luò);當(dāng)AP需要與STA斷開連接時(shí),AP通過向STA發(fā)送解除認(rèn)證幀(Deauthentication Frame),STA在接收到上述解除認(rèn)證幀幀后終結(jié)與該AP的連接,斷開與網(wǎng)絡(luò)的連接。
由于802.11 MAC標(biāo)準(zhǔn)本身存在安全性缺陷,無線局域網(wǎng)比傳統(tǒng)有線網(wǎng)絡(luò)面臨更多的安全威脅,其中,非法AP(Rogue AP)是當(dāng)前WLAN中最大的安全威脅。非法AP是一種放置在無線局域網(wǎng)中的未經(jīng)授權(quán)的AP,它通過一個(gè)偽造的網(wǎng)絡(luò)接口與STA建立通信鏈路,提供對(duì)網(wǎng)絡(luò)的無限制的訪問,或者監(jiān)聽用戶,以及通過欺騙方式獲取用戶的關(guān)鍵數(shù)據(jù)等。非法AP給WLAN增加了潛在的安全隱患。
通常SSID被用來區(qū)分空間區(qū)域中的存在的多個(gè)不同的無線局域網(wǎng)絡(luò),如果非法AP廣播的SSID與某個(gè)合法AP相同,那么STA將無法區(qū)分哪個(gè)AP是合法的,此時(shí)STA通常選擇與信號(hào)強(qiáng)度最大的AP連接。因此如果無線網(wǎng)絡(luò)中沒用其他的安全措施,非法AP就可以通過增加信號(hào)強(qiáng)度與STA建立關(guān)聯(lián)(association)。如圖2所示,該圖中包括一個(gè)工作在信道6上的非法AP,該非法AP的信號(hào)強(qiáng)度大于鄰近的合法AP1,如果非法AP的SSID與AP1相同,工作站STA2可能選擇非法AP作為網(wǎng)絡(luò)接入點(diǎn),從而被該非法AP監(jiān)聽。
為解決上述問題,防止合法的用戶與網(wǎng)絡(luò)中的非法AP連接,需要對(duì)網(wǎng)絡(luò)中的非法AP進(jìn)行監(jiān)控。關(guān)于非法AP的監(jiān)控,目前還沒有任何標(biāo)準(zhǔn),各設(shè)備提供商有自己的解決方案。但是,現(xiàn)有技術(shù)的基本方案是在無線局域網(wǎng)中散布一些工作在混雜模式(promiscuous mode)下的監(jiān)控AP(monitor AP),每個(gè)監(jiān)控AP覆蓋一定的區(qū)域,用于捕獲所有的抵達(dá)其自身的數(shù)據(jù)包,對(duì)所有的信道進(jìn)行持續(xù)的掃描;由于無線局域網(wǎng)都配置有基于MAC地址的合法AP的列表,任何通過掃描被檢測(cè)到的不在該列表里AP被認(rèn)為是非法AP;對(duì)于檢測(cè)到的非法AP,任何與該非法AP相連的STA都將被解除認(rèn)證,STA在被解除認(rèn)證之后,將斷開與非法AP的連接,從而阻止了STA與非法AP的通信。在斷開與非法AP的連接之后,STA會(huì)繼續(xù)搜索所有的可用的AP并試圖再次接入網(wǎng)絡(luò),因此STA仍然可能與上述非法AP連接?,F(xiàn)有技術(shù)中的解決方法是為上述非法AP設(shè)置一個(gè)專用的監(jiān)控AP,該監(jiān)控AP工作在與上述非法AP相同的信道上,用于監(jiān)控上述非法AP的所有的網(wǎng)絡(luò)流量,持續(xù)的向任何與該非法AP連接的STA發(fā)送解除認(rèn)證幀,以保證STA不會(huì)與該非法AP建立連接。
現(xiàn)有技術(shù)的缺點(diǎn)在于,需要為每個(gè)非法AP專門設(shè)置一個(gè)專用的監(jiān)控AP,對(duì)各個(gè)非法AP分別進(jìn)行監(jiān)控,顯然這種解決方案的成本太高,可行性低。
發(fā)明內(nèi)容本發(fā)明所要解決的技術(shù)問題是提供一種WLAN中監(jiān)控非法AP的方法及設(shè)備,降低監(jiān)控成本,有效的對(duì)WLAN中的非法AP實(shí)行監(jiān)控。
為解決上述技術(shù)問題,本發(fā)明提供方案如下一種無線局域網(wǎng)中監(jiān)控非法接入點(diǎn)AP的方法,監(jiān)控AP保存其需要攻擊的非法AP的信息,監(jiān)控AP在無線局域網(wǎng)中的至少兩個(gè)信道上進(jìn)行切換,并根據(jù)所保存的非法AP信息在每一信道上對(duì)工作在該信道上的非法AP進(jìn)行攻擊。
本發(fā)明所述的方法中,所述對(duì)非法AP進(jìn)行攻擊包括廣播源地址為搜索到的非法AP的地址的解除認(rèn)證幀。
本發(fā)明所述的方法,還包括以下步驟監(jiān)控AP進(jìn)一步在當(dāng)前切換到的信道上進(jìn)行掃描并將掃描到的AP的信息上報(bào)給無線局域網(wǎng)中的接入控制設(shè)備;監(jiān)控AP根據(jù)接入控制設(shè)備返回的非法AP信息更新當(dāng)前的需要攻擊的非法AP信息。
本發(fā)明所述的方法中,所述的掃描到的AP的信息進(jìn)一步包括AP的提供商信息,AP的服務(wù)集標(biāo)識(shí)SSID。
本發(fā)明所述的方法中,所述的攻擊非法AP的操作進(jìn)一步包括,監(jiān)控AP查詢每個(gè)抵達(dá)其自身的數(shù)據(jù)包的目的地址信息,判斷所述目的地址是否為所述該監(jiān)控AP需要攻擊的非法AP的地址如果所述目的地址為所述非法AP的地址,則向該數(shù)據(jù)包的源地址發(fā)送源地址為所述非法AP的地址的單播的解除認(rèn)證幀。
本發(fā)明所述的方法中監(jiān)控AP對(duì)信道進(jìn)行周期性掃描。
本發(fā)明所述的方法中,所述保存的非法AP的信息至少包括非法AP的媒體訪問控制地址以及非法AP工作的信道。
本發(fā)明還提供了一種無線局域網(wǎng)中的監(jiān)控AP設(shè)備,用于對(duì)無線局域網(wǎng)中的非法AP實(shí)行監(jiān)控,包括直接攻擊列表單元,用于保存該監(jiān)控AP設(shè)備需要攻擊的非法AP信息;攻擊單元,用于在無線局域網(wǎng)中的信道上進(jìn)行切換,從所述直接攻擊單元中獲取非法AP信息,在當(dāng)前信道上對(duì)非法AP進(jìn)行攻擊。
本發(fā)明所述的監(jiān)控AP設(shè)備中,所述攻擊單元進(jìn)一步用于根據(jù)從所述直接攻擊單元中獲取的非法AP信息,確定工作在當(dāng)前信道上的非法AP,廣播源地址為工作在當(dāng)前信道上的非法AP的地址的解除認(rèn)證幀。
本發(fā)明所述的監(jiān)控AP設(shè)備中進(jìn)一步包括掃描單元,所述掃描單元用于對(duì)當(dāng)前信道進(jìn)行掃描,查詢每個(gè)抵達(dá)其自身的數(shù)據(jù)包的目的地址信息并發(fā)送給攻擊單元;所述攻擊單元進(jìn)一步用于將所述掃描單元發(fā)送的數(shù)據(jù)包的目的地址信息,與從所述直接攻擊列表單元中獲取的非法AP比較,判斷所述數(shù)據(jù)包的目的地址是否為所述非法AP的地址,如果所述數(shù)據(jù)包的目的地址為非法AP的地址,則向該數(shù)據(jù)包的源地址發(fā)送源地址為該非法AP的單播的解除認(rèn)證幀。
本發(fā)明所述的監(jiān)控AP設(shè)備中,所述掃描單元進(jìn)一步對(duì)無線局域網(wǎng)中的信道進(jìn)行周期性的掃描。
本發(fā)明所述的監(jiān)控AP設(shè)備中,所述掃描單元進(jìn)一步用于周期性的將其掃描到的AP的信息發(fā)送給接入控制設(shè)備;所述直接攻擊列表單元進(jìn)一步用于根據(jù)接入控制設(shè)備返回的非法AP信息更新其所保存的非法AP信息。
本發(fā)明所述的監(jiān)控AP設(shè)備中,所述直接攻擊列表單元中保存的非法AP信息至少包括非法AP的媒體訪問控制地址以及該非法AP工作的信道。
本發(fā)明還提供了一種無線局域網(wǎng)中接入控制設(shè)備AC,包括AP攻擊列表生成單元,用以接收每個(gè)監(jiān)控AP上報(bào)的在各個(gè)信道掃描到的AP信息,根據(jù)上述信息確定每個(gè)監(jiān)控AP需要攻擊的的非法AP以及非法AP所在的信道;AP攻擊列表下發(fā)單元,用以將上述AP攻擊列表生成單元確定的非法AP以及非法AP所在的信道下發(fā)給掃描到該非法AP的監(jiān)控AP。
本發(fā)明所述的接入控制設(shè)備中,所述AP攻擊列表生成單元包括靜態(tài)攻擊列表單元,用以保存預(yù)先確定的所有非法AP的信息,而所述AP攻擊列表生成單元通過將所述掃描到的AP信息與該靜態(tài)攻擊列表單元比較以確定監(jiān)控AP需要攻擊的非法AP。
本發(fā)明所述的接入控制設(shè)備中,所述AP攻擊列表生成單元包括動(dòng)態(tài)攻擊列表單元,用以根據(jù)預(yù)定的規(guī)則確定監(jiān)控AP掃描到的AP中存在的新的非法AP,同時(shí)AP攻擊列表生成單元依據(jù)動(dòng)態(tài)攻擊列表單元所確定的新的非法AP確定監(jiān)控AP需要攻擊的非法AP。
本發(fā)明還提供了一種無線局域網(wǎng)中的監(jiān)控非法AP的系統(tǒng),包括如權(quán)利要求
8至14所述的監(jiān)控AP,以及如權(quán)利要求
15至17所述的AC。
本發(fā)明還提供了一種計(jì)算機(jī)軟件產(chǎn)品,包括若干指令用以使得一種計(jì)算機(jī)設(shè)備執(zhí)行如權(quán)利要求
1至8所述的方法。
本發(fā)明還提供了一種計(jì)算機(jī)設(shè)備,包括用以執(zhí)行如權(quán)利要求
1至8所述的方法的軟件,以及運(yùn)行該軟件必須的硬件。
從以上所述可以看出,本發(fā)明提供的WLAN中監(jiān)控非法AP的方法及設(shè)備,通過監(jiān)控AP對(duì)多個(gè)信道進(jìn)行掃描,從而有效的對(duì)網(wǎng)絡(luò)中的多個(gè)非法AP實(shí)現(xiàn)了監(jiān)控,降低了監(jiān)控成本;監(jiān)控AP周期性更新其直接攻擊列表,并只對(duì)自己掃描到的非法AP進(jìn)行攻擊,從而降低了攻擊所產(chǎn)生的網(wǎng)絡(luò)流量;同時(shí),監(jiān)控AP進(jìn)一步在每個(gè)信道的掃描過程中偵聽并分析網(wǎng)絡(luò)流量,從而實(shí)時(shí)監(jiān)控并攻擊任何掃描到的非法AP。
圖1為一種典型的WLAN結(jié)構(gòu)示意圖;圖2為WLAN中非法AP的網(wǎng)絡(luò)入侵的示意圖;圖3為本發(fā)明實(shí)施例提供的一種掃描模式示意圖;圖4為本發(fā)明實(shí)施例的監(jiān)控非法AP的方法的流程示意圖;圖5為本發(fā)明實(shí)施例的監(jiān)控AP在掃描開始前對(duì)非法AP進(jìn)行攻擊的舉例示意圖;圖6為本發(fā)明實(shí)施例的監(jiān)控AP在掃描過程中對(duì)非法AP進(jìn)行攻擊的舉例示意圖;圖7為本發(fā)明實(shí)施例的監(jiān)控非法AP的系統(tǒng)的結(jié)構(gòu)示意圖;圖8為本發(fā)明實(shí)施例的監(jiān)控AP設(shè)備的結(jié)構(gòu)示意圖;圖9為本發(fā)明實(shí)施例的接入控制設(shè)備的結(jié)構(gòu)示意圖。
具體實(shí)施方式本發(fā)明提供了一種無線局域網(wǎng)中有效的監(jiān)控非法AP的方法、設(shè)備及系統(tǒng),通過監(jiān)控AP依次對(duì)各個(gè)信道上進(jìn)行掃描并對(duì)非法AP采取相應(yīng)的對(duì)策,從而有效的實(shí)現(xiàn)了非法AP的監(jiān)控。以下結(jié)合附圖通過具體實(shí)施例對(duì)本發(fā)明做詳細(xì)的說明。
為了能對(duì)網(wǎng)絡(luò)中的非法AP進(jìn)行有效的監(jiān)控,本發(fā)明首先提供了一種掃描模式,由監(jiān)控AP按照該掃描模式,在每個(gè)信道上掃描所有AP的信息,所有信道上的掃描組成一個(gè)掃描周期,每個(gè)掃描周期完成后進(jìn)入下一掃描周期。所述掃描模式具體包括該監(jiān)控AP需要掃描的所有信道、各個(gè)信道上的掃描時(shí)長(zhǎng)以及各個(gè)信道掃描的先后順序等。圖3所示為監(jiān)控AP的一種掃描模式示意圖,如圖3所示,該掃描模式的掃描周期為60ms,監(jiān)控AP依次在信道1、信道2和信道3上進(jìn)行掃描,每個(gè)信道的掃描時(shí)長(zhǎng)為20ms,在上一信道掃描結(jié)束后切換到下一個(gè)信道,當(dāng)信道3掃描結(jié)束時(shí),監(jiān)控AP切換到信道1上繼續(xù)進(jìn)行下一周期的掃描。按照這種掃描模式,監(jiān)控AP可以對(duì)網(wǎng)絡(luò)中多個(gè)信道上的多個(gè)非法AP進(jìn)行監(jiān)控,從而提高監(jiān)控的效率。
本發(fā)明中,監(jiān)控AP按照上述掃描模式對(duì)各個(gè)信道進(jìn)行掃描。同時(shí),監(jiān)控AP處設(shè)置有一個(gè)直接攻擊列表,直接攻擊列表記錄了該監(jiān)控AP需要攻擊的所有非法AP的相關(guān)信息,這些信息至少包括非法AP的MAC地址以及該非法AP所在的信道。本實(shí)施例所述的監(jiān)控非法AP的方法中,監(jiān)控AP根據(jù)該直接攻擊列表在各個(gè)信道上對(duì)非法AP進(jìn)行攻擊,圖4以其中的一個(gè)信道(信道N)為例對(duì)本發(fā)明進(jìn)行說明,如圖4所示,該方法包括步驟40,監(jiān)控AP按照預(yù)先設(shè)定的掃描模式,將其工作信道從上一信道切換到信道N。
步驟41,監(jiān)控AP搜索其直接攻擊列表中工作在信道N上的所有的非法AP,并針對(duì)搜索到的每個(gè)非法AP分別生成源地址為該非法AP的MAC地址的解除認(rèn)證幀,并將該解除認(rèn)證幀廣播出去。
步驟42,監(jiān)控AP在信道N上開始進(jìn)行掃描,在掃描過程中捕獲抵達(dá)其自身的數(shù)據(jù)包,查詢所述數(shù)據(jù)包的目的地址,并與其直接攻擊列表相比較,如果數(shù)據(jù)包的目的地址為其直接攻擊列表中的非法AP的MAC地址,則向該數(shù)據(jù)包的源地址發(fā)送源地址為上述非法AP的MAC地址的單播的解除認(rèn)證幀。
步驟43,信道N上的掃描結(jié)束,監(jiān)控AP按照其掃描模式,將其工作信道從信道N切換到下一信道。
為了更加清楚的解釋上面的攻擊過程,下面結(jié)合附圖作進(jìn)一步介紹圖5為步驟41中所述的攻擊非法AP的舉例示意圖,如圖5所示,該監(jiān)控AP的直接攻擊列表中信道1上有MAC地址分別為A、B和C的三個(gè)非法AP,在信道2上有MAC地址為D的一個(gè)非法AP,信道3上有MAC地址為E的一個(gè)非法AP;為每個(gè)信道設(shè)置20ms的掃描時(shí)間,監(jiān)控AP按照?qǐng)D中的掃描模式對(duì)三個(gè)信道分別進(jìn)行20ms的掃描。第一個(gè)20ms掃描時(shí)間開始時(shí),監(jiān)控AP在對(duì)信道1掃描之前,搜索其直接攻擊列表,監(jiān)控AP找到工作在信道1上的A、B、C這三個(gè)非法AP后,分別為每個(gè)非法AP生成源地址為這些非法AP的MAC地址的解除認(rèn)證幀,并將該解除認(rèn)證幀廣播出去,如圖5所示,監(jiān)控AP廣播源地址分別為A、B和C的三種解除認(rèn)證幀;第二個(gè)20ms掃描時(shí)間開始時(shí),對(duì)信道2掃描開始之前,監(jiān)控AP廣播源地址為D的解除認(rèn)證幀;第三個(gè)20ms掃描時(shí)間開始時(shí),對(duì)信道3掃描開始之前,監(jiān)控AP廣播源地址為E的解除認(rèn)證幀。這樣,任何可能在上一掃描周期與上述非法AP建立連接的STA在接收到上述廣播的解除認(rèn)證幀以后,將斷開與上述非法AP的連接,從而實(shí)現(xiàn)了對(duì)非法AP的攻擊,有效的阻止了STA與非法AP的連接。
圖6為步驟42中所述的攻擊非法AP的舉例示意圖,為了對(duì)網(wǎng)絡(luò)中的非法AP進(jìn)一步實(shí)行實(shí)時(shí)監(jiān)控,監(jiān)控AP在上述廣播解除認(rèn)證幀后還要對(duì)當(dāng)前信道進(jìn)行掃描,在每個(gè)信道上進(jìn)行掃描的過程中,工作在混雜模式的監(jiān)控AP進(jìn)一步查詢所有抵達(dá)其自身的數(shù)據(jù)包的目的地址如果捕獲到的某個(gè)數(shù)據(jù)包的目的地址為其直接攻擊列表中的非法AP的MAC地址,則該數(shù)據(jù)包可能是某個(gè)STA發(fā)送至該非法AP的信息,此時(shí)監(jiān)控AP采取以下攻擊對(duì)策,即向上述STA發(fā)送單播的解除認(rèn)證幀,用于解除與非法AP相連的該STA的認(rèn)證,從而在掃描過程中實(shí)時(shí)斷開該STA與非法AP的連接。上述解除認(rèn)證幀的源地址為上述非法AP的MAC地址,目的地址為上述數(shù)據(jù)包的源地址。參見圖6所示,監(jiān)控AP在信道1上掃描的過程中,捕獲到一個(gè)X發(fā)送給B的幀,即,該幀的源地址為X,目的地址為B。由于目的地址B為非法AP,因此監(jiān)控AP向X發(fā)送單播的解除認(rèn)證幀,該解除認(rèn)證幀的源地址為B,目的地址為X,在X接收該解除認(rèn)證幀后,X將斷開與B的連接。通過這種攻擊手段,可以在掃描過程中實(shí)時(shí)監(jiān)控,在必要的時(shí)候可以解除任何與非法AP相連的STA的認(rèn)證,從而斷開STA與非法AP的連接。
從以上所述可以看出,監(jiān)控AP根據(jù)其直接攻擊列表對(duì)非法AP進(jìn)行攻擊,所述直接攻擊列表中記錄了該監(jiān)控AP需要攻擊的所有非法AP的相關(guān)信息。由于惡意用戶可能隨時(shí)撤除或者新安置某個(gè)非法AP,因此網(wǎng)絡(luò)中的非法AP并不是固定不變的。為了更有效的對(duì)網(wǎng)絡(luò)中存在的非法AP實(shí)行監(jiān)控,本實(shí)施例中,所述直接攻擊列表可以進(jìn)一步根據(jù)該監(jiān)控AP的掃描報(bào)告進(jìn)行更新,下面介紹監(jiān)控AP處的直接攻擊列表是如何更新的如圖7所示,本實(shí)施例的監(jiān)控非法AP的系統(tǒng),包括AC和至少一個(gè)監(jiān)控AP,其中,監(jiān)控AP與AC相連。
本實(shí)施例中,AC處設(shè)置有一個(gè)靜態(tài)攻擊列表,通過靜態(tài)配置將本W(wǎng)LAN中預(yù)先確定的非法AP的MAC地址保存在該靜態(tài)攻擊列表中;同時(shí),AC處還為每個(gè)監(jiān)控AP分別設(shè)置一個(gè)動(dòng)態(tài)攻擊列表,該動(dòng)態(tài)攻擊列表與監(jiān)控AP一一對(duì)應(yīng),用于保存各監(jiān)控AP需要攻擊的非法AP信息,這些信息至少包括該監(jiān)控AP需要攻擊的非法AP的MAC地址以及掃描到該非法AP的信道。
監(jiān)控AP按照上述掃描模式依次對(duì)每個(gè)信道上進(jìn)行掃描,并根據(jù)掃描到的所有的AP的相關(guān)信息生成掃描報(bào)告,周期性的將該掃描報(bào)告發(fā)送至AC,所述掃描報(bào)告中通常包括下列信息1)執(zhí)行掃描的監(jiān)控AP;2)該信道上監(jiān)控AP掃描到的所有AP的MAC地址;3)上述AP的MAC地址是否被授權(quán);4)掃描到上述MAC地址的信道;5)掃描到上述MAC地址的時(shí)間;6)信號(hào)強(qiáng)度等。
AC根據(jù)上述掃描報(bào)告更新上述監(jiān)控AP所對(duì)應(yīng)的動(dòng)態(tài)攻擊列表,并在更新完成之后,將動(dòng)態(tài)攻擊列表中的非法AP信息下發(fā)給相應(yīng)的監(jiān)控AP;監(jiān)控AP根據(jù)接收到的非法AP信息更新其直接攻擊列表,從而保證其直接攻擊列表中記錄的非法AP是當(dāng)前網(wǎng)絡(luò)中存在的非法AP。其中,上述AC根據(jù)掃描報(bào)告更新動(dòng)態(tài)攻擊列表具體包括A)AC首先通過將掃描報(bào)告中掃描到的AP的MAC地址與其靜態(tài)攻擊列表相比較,判斷是否存在靜態(tài)攻擊列表中的非法AP,如果存在,則AC將該非法AP的MAC地址、掃描到該MAC地址的信道(即該非法AP的工作信道)的等信息加入到上述監(jiān)控AP所對(duì)應(yīng)的動(dòng)態(tài)攻擊列表中;B)由于惡意用戶可以在任意時(shí)間在網(wǎng)絡(luò)中安置新的非法AP,除了上述靜態(tài)攻擊列表中預(yù)先確定的非法AP外,網(wǎng)絡(luò)中還可能出現(xiàn)新的非法AP。因此,基于上述掃描報(bào)告,AC進(jìn)一步按照預(yù)先設(shè)定的規(guī)則,判斷掃描報(bào)告中掃描到的AP中是否存在新的非法AP,并將判斷出的新的非法AP的MAC地址以及該非法AP的工作信道等信息,加入到上述監(jiān)控AP所對(duì)應(yīng)的動(dòng)態(tài)攻擊列表中。其中,所述預(yù)先設(shè)定的規(guī)則是根據(jù)網(wǎng)絡(luò)需要具體設(shè)定,例如,AP提供商是否合法,AP的SSID是否合法等都可以作為非法AP的判定標(biāo)準(zhǔn)。
按照以上操作,AC在動(dòng)態(tài)攻擊列表中更新了每個(gè)監(jiān)控AP所需攻擊的非法AP的信息,在更新完成之后,AC將動(dòng)態(tài)攻擊列表中的非法AP信息分別發(fā)送給對(duì)應(yīng)的監(jiān)控AP,監(jiān)控AP根據(jù)接收到的非法AP信息更新自己的直接攻擊列表,即將其直接攻擊列表同步于動(dòng)態(tài)攻擊列表。從以上所述可以看出,監(jiān)控AP處的直接攻擊列表是基于其掃描報(bào)告周期性更新的,也就是說,監(jiān)控AP所攻擊的非法AP都是該監(jiān)控AP掃描到的AP,監(jiān)控AP不需要對(duì)網(wǎng)絡(luò)中所有的非法AP都實(shí)行監(jiān)控,它只對(duì)自己掃描到的非法AP,從而降低了攻擊所產(chǎn)生的網(wǎng)絡(luò)流量,更為有效的實(shí)現(xiàn)了對(duì)非法AP的監(jiān)控。
基于上述監(jiān)控非法AP的方法,本實(shí)施例提供了一種監(jiān)控AP設(shè)備,用于對(duì)網(wǎng)絡(luò)中的非法AP進(jìn)行監(jiān)控,如圖8所示,該監(jiān)控AP設(shè)備80包括直接攻擊列表單元81,攻擊單元82和掃描單元83。所述攻擊單元82分別與直接攻擊列表單元81和掃描單元83相連。
其中,所述直接攻擊列表單元81,用于保存該監(jiān)控AP設(shè)備80需要攻擊的非法AP信息,這里,所述非法AP信息至少包括非法AP的MAC地址,以及該非法AP的工作信道;直接攻擊列表單元81還可以進(jìn)一步用于接收AC發(fā)出的非法AP信息,并據(jù)此更新其所保存的非法AP信息。
所述攻擊單元82,用于在無線局域網(wǎng)中的信道上進(jìn)行切換,從所述直接攻擊單元81中獲取非法AP信息,在當(dāng)前信道上對(duì)非法AP進(jìn)行攻擊。所述在當(dāng)前信道上對(duì)非法AP進(jìn)行攻擊,可以是根據(jù)從所述直接攻擊單元81中獲取的非法AP信息,確定工作在當(dāng)前信道上的非法AP,并對(duì)這些非法AP進(jìn)行攻擊,攻擊的方式可以是廣播源地址為這些非法AP的MAC地址的解除認(rèn)證幀。所述攻擊單元82還可以進(jìn)一步用于將所述掃描單元83發(fā)送的數(shù)據(jù)包的目的地址信息,與從所述直接攻擊列表單元81中獲取的非法AP比較,判斷所述數(shù)據(jù)包的目的地址是否為所述非法AP,如果所述數(shù)據(jù)包的目的地址為非法AP,則向該數(shù)據(jù)包的源地址發(fā)送源地址為該非法AP的單播的解除認(rèn)證幀;否則,不動(dòng)作。
所述掃描單元83,用于對(duì)當(dāng)前信道進(jìn)行掃描,查詢每個(gè)抵達(dá)其自身的數(shù)據(jù)包的目的地址信息并發(fā)送給攻擊單元82;以及進(jìn)一步用于周期性的將其掃描到的AP的信息發(fā)送給接入控制設(shè)備AC。
基于上述監(jiān)控非法AP的方法,本實(shí)施例還提供了一種監(jiān)控接入設(shè)備AC,如圖9所示,該AC設(shè)備90包括AP攻擊列表生成單元91和動(dòng)AP攻擊列表下發(fā)單元92,所述AP攻擊列表生成單元91和AP攻擊列表下發(fā)單元92相連。
其中,所述AP攻擊列表生成單元91,用以接收每個(gè)監(jiān)控AP上報(bào)的在各個(gè)信道掃描到的AP信息,根據(jù)上述信息確定每個(gè)監(jiān)控AP需要攻擊的的非法AP以及非法AP所在的信道;所述AP攻擊列表下發(fā)單元92,用以將上述AP攻擊列表生成單元91確定的非法AP以及非法AP所在的信道下發(fā)給掃描到該非法AP的監(jiān)控AP。
本實(shí)施例中,所述AP攻擊列表生成單元9 1還可以包括靜態(tài)攻擊列表單元911,用以保存預(yù)先確定的所有非法AP的信息,而所述AP攻擊列表生成單元91通過將所述掃描到的AP信息與該靜態(tài)攻擊列表單元911比較以確定監(jiān)控AP需要攻擊的非法AP。
這里,所述AP攻擊列表生成單元91包括動(dòng)態(tài)攻擊列表單元910,用以根據(jù)預(yù)定的規(guī)則確定監(jiān)控AP掃描到的AP中存在的新的非法AP,同時(shí)AP攻擊列表生成單元91依據(jù)動(dòng)態(tài)攻擊列表單元910所確定的新的非法AP確定監(jiān)控AP需要攻擊的非法AP。
綜上所述,發(fā)明實(shí)施例所述監(jiān)控非法AP的方法,可通過在WLAN中設(shè)置一個(gè)或若干監(jiān)控AP,實(shí)現(xiàn)一個(gè)監(jiān)控AP對(duì)多個(gè)非法AP的監(jiān)控,同時(shí)降低了攻擊非法AP所產(chǎn)生的網(wǎng)絡(luò)流量,更為有效的實(shí)現(xiàn)了非法AP的監(jiān)控。
通過以上的實(shí)施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加必須的通用硬件平臺(tái)的方式來實(shí)現(xiàn),當(dāng)然也可以通過硬件,但顯然前者是更佳的實(shí)施方式。基于這樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計(jì)算機(jī)軟件產(chǎn)品包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī),服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明實(shí)施例所述方法。
同樣,還可以通過一種計(jì)算機(jī)設(shè)備還實(shí)現(xiàn),所述計(jì)算機(jī)設(shè)備包括用以執(zhí)行本發(fā)明所述方法的軟件以及運(yùn)行該軟件必須的硬件。
本發(fā)明所述的無線局域網(wǎng)中監(jiān)控非法AP的方法、設(shè)備及系統(tǒng),并不僅限于說明書和實(shí)施方式中所列運(yùn)用,它完全可以被適用于各種適合本發(fā)明之領(lǐng)域,對(duì)于熟悉本領(lǐng)域的人員而言可容易地實(shí)現(xiàn)另外的優(yōu)點(diǎn)和進(jìn)行修改,因此在不背離權(quán)利要求
及等同范圍所限定的一般概念的精神和范圍的情況下,本發(fā)明并不限于特定的細(xì)節(jié)、代表性的設(shè)備和這里示出與描述的圖示示例。
權(quán)利要求
1.一種無線局域網(wǎng)中監(jiān)控非法接入點(diǎn)AP的方法,其特征在于,監(jiān)控AP保存其需要攻擊的非法AP的信息,監(jiān)控AP在無線局域網(wǎng)中的至少兩個(gè)信道上進(jìn)行切換,并根據(jù)所保存的非法AP信息在每一信道上對(duì)工作在該信道上的非法AP進(jìn)行攻擊。
2.如權(quán)利要求
1所述的方法,其特征在于,所述對(duì)非法AP進(jìn)行攻擊包括廣播源地址為搜索到的非法AP的地址的解除認(rèn)證幀。
3.如權(quán)利要求
1所述的方法,其特征在于還包括以下步驟監(jiān)控AP進(jìn)一步在當(dāng)前切換到的信道上進(jìn)行掃描并將掃描到的AP的信息上報(bào)給無線局域網(wǎng)中的接入控制設(shè)備;監(jiān)控AP根據(jù)接入控制設(shè)備返回的非法AP信息更新當(dāng)前的需要攻擊的非法AP信息。
4.如權(quán)利要求
3所述的方法,其特征在于,所述的掃描到的AP的信息進(jìn)一步包括AP的提供商信息,AP的服務(wù)集標(biāo)識(shí)SSID。
5.如權(quán)利要求
2所述的方法,其特征在于,所述的攻擊非法AP的操作進(jìn)一步包括,監(jiān)控AP查詢每個(gè)抵達(dá)其自身的數(shù)據(jù)包的目的地址信息,判斷所述目的地址是否為所述該監(jiān)控AP需要攻擊的非法AP的地址如果所述目的地址為所述非法AP的地址,則向該數(shù)據(jù)包的源地址發(fā)送源地址為所述非法AP的地址的單播的解除認(rèn)證幀。
6.如權(quán)利要求
3所述的方法,其特征在于監(jiān)控AP對(duì)信道進(jìn)行周期性掃描。
7.如權(quán)利要求
1所述的方法,其特征在于,所述保存的非法AP的信息至少包括非法AP的媒體訪問控制地址以及非法AP工作的信道。
8.一種無線局域網(wǎng)中的監(jiān)控AP設(shè)備,用于對(duì)無線局域網(wǎng)中的非法AP實(shí)行監(jiān)控,其特征在于包括直接攻擊列表單元,用于保存該監(jiān)控AP設(shè)備需要攻擊的非法AP信息;攻擊單元,用于在無線局域網(wǎng)中的信道上進(jìn)行切換,從所述直接攻擊單元中獲取非法AP信息,在當(dāng)前信道上對(duì)非法AP進(jìn)行攻擊。
9.如權(quán)利要求
8所述的設(shè)備,其特征在于,所述攻擊單元進(jìn)一步用于根據(jù)從所述直接攻擊單元中獲取的非法AP信息,確定工作在當(dāng)前信道上的非法AP,廣播源地址為工作在當(dāng)前信道上的非法AP的地址的解除認(rèn)證幀。
10.如權(quán)利要求
8所述的設(shè)備,其特征在于進(jìn)一步包括掃描單元,所述掃描單元用于對(duì)當(dāng)前信道進(jìn)行掃描,查詢每個(gè)抵達(dá)其自身的數(shù)據(jù)包的目的地址信息并發(fā)送給攻擊單元;所述攻擊單元進(jìn)一步用于將所述掃描單元發(fā)送的數(shù)據(jù)包的目的地址信息,與從所述直接攻擊列表單元中獲取的非法AP比較,判斷所述數(shù)據(jù)包的目的地址是否為所述非法AP的地址,如果所述數(shù)據(jù)包的目的地址為非法AP的地址,則向該數(shù)據(jù)包的源地址發(fā)送源地址為該非法AP的單播的解除認(rèn)證幀。
11.如權(quán)利要求
10所述的設(shè)備,其特征在于,所述掃描單元進(jìn)一步對(duì)無線局域網(wǎng)中的信道進(jìn)行周期性的掃描。
12.如權(quán)利要求
10所述的設(shè)備,其特征在于,所述掃描單元進(jìn)一步用于周期性的將其掃描到的AP的信息發(fā)送給接入控制設(shè)備;所述直接攻擊列表單元進(jìn)一步用于根據(jù)接入控制設(shè)備返回的非法AP信息更新其所保存的非法AP信息。
13.如權(quán)利要求
8所述的設(shè)備,其特征在于,所述直接攻擊列表單元中保存的非法AP信息至少包括非法AP的媒體訪問控制地址以及該非法AP工作的信道。
14.一種無線局域網(wǎng)中接入控制設(shè)備AC,其特征在于包括AP攻擊列表生成單元,用以接收每個(gè)監(jiān)控AP上報(bào)的在各個(gè)信道掃描到的AP信息,根據(jù)上述信息確定每個(gè)監(jiān)控AP需要攻擊的的非法AP以及非法AP所在的信道;AP攻擊列表下發(fā)單元,用以將上述AP攻擊列表生成單元確定的非法AP以及非法AP所在的信道下發(fā)給掃描到該非法AP的監(jiān)控AP。
15.如權(quán)利要求
14所述的AC,其特征在于,所述AP攻擊列表生成單元包括靜態(tài)攻擊列表單元,用以保存預(yù)先確定的所有非法AP的信息,而所述AP攻擊列表生成單元通過將所述掃描到的AP信息與該靜態(tài)攻擊列表單元比較以確定監(jiān)控AP需要攻擊的非法AP。
16.如權(quán)利要求
14或15所述的AC,其特征在于,所述AP攻擊列表生成單元包括動(dòng)態(tài)攻擊列表單元,用以根據(jù)預(yù)定的規(guī)則確定監(jiān)控AP掃描到的AP中存在的新的非法AP,同時(shí)AP攻擊列表生成單元依據(jù)動(dòng)態(tài)攻擊列表單元所確定的新的非法AP確定監(jiān)控AP需要攻擊的非法AP。
17.一種無線局域網(wǎng)中的監(jiān)控非法AP的系統(tǒng),其特征在于包括如權(quán)利要求
8至13所述的監(jiān)控AP,以及如權(quán)利要求
14至16所述的AC。
18.一種計(jì)算機(jī)軟件產(chǎn)品,其特征在于,包括若干指令用以使得一種計(jì)算機(jī)設(shè)備執(zhí)行如權(quán)利要求
1至7所述的方法。
19.一種計(jì)算機(jī)設(shè)備,包括用以執(zhí)行如權(quán)利要求
1至7所述的方法的軟件,以及運(yùn)行該軟件必須的硬件。
專利摘要
本發(fā)明公開了一種無線局域網(wǎng)中監(jiān)控非法接入點(diǎn)AP的方法,包括步驟保存監(jiān)控AP需要攻擊的非法AP的信息,監(jiān)控AP在無線局域網(wǎng)中的信道上進(jìn)行切換,并根據(jù)所述保存的該監(jiān)控AP需要攻擊的非法AP的信息,在當(dāng)前切換到的信道上對(duì)非法AP進(jìn)行攻擊?;谏鲜龇椒ū景l(fā)明還提供了監(jiān)控非法AP的設(shè)備和系統(tǒng)。按照本發(fā)明所述的方法、設(shè)備及系統(tǒng),可以降低監(jiān)控成本,更為有效的對(duì)WLAN中的非法AP實(shí)行監(jiān)控。
文檔編號(hào)H04L12/28GK1996893SQ200610169954
公開日2007年7月11日 申請(qǐng)日期2006年12月25日
發(fā)明者張海濤, 薩奇恩 申請(qǐng)人:杭州華為三康技術(shù)有限公司導(dǎo)出引文BiBTeX, EndNote, RefMan