WLAN中非法AP和合法用户违规连接的检测_精品文档.pdf
- 文档编号:3177244
- 上传时间:2022-11-19
- 格式:PDF
- 页数:5
- 大小:281.74KB
WLAN中非法AP和合法用户违规连接的检测_精品文档.pdf
《WLAN中非法AP和合法用户违规连接的检测_精品文档.pdf》由会员分享,可在线阅读,更多相关《WLAN中非法AP和合法用户违规连接的检测_精品文档.pdf(5页珍藏版)》请在冰豆网上搜索。
第9卷第2期济源职业技术学院学报V019No2兰Q!
Q生鱼旦!
竺堡堂堂!
i罂竺y竺生竺竺!
竺璺里!
堕尘!
璺!
堡些!
塑!
塑:
兰Q!
QWLAN中非法AP和合法用户违规连接的检测王瑞娜(三门峡职业技术学院信息工程系,河南三f-1峡472000)摘要:
对无线局域网的非法AP(无线接入点)和合法用户违规连接问题进行了深入的剖析,并结合入侵检测系统,利用snort入侵检测匹配技术来解决此类入侵行为,提高了无线局域网的安全性。
关键词:
无线局域网;非法AP和合法用户违规连接;入侵检测DOI:
103969jissn1672-0342201002008中图分类号:
TP39303文献标识码:
A文章编号-16720342(2010)02002404无线局域网(WLAN)技术已经El趋成熟,它具有有线局域网不可比拟的优点:
安装便捷,使用灵活,经济节约,易于扩展。
无线局域网具有的这些优点,满足了快捷上网的需求,基于IEEE80211协议的无线局域网在不适宜网络布线的场合得到了广泛的部署和应用。
但由于其传输介质开放性的特点和80211协议自身存在的缺陷,使无线局域网面临着各种入侵行为的威胁。
本文在分析WLAN非法AP和未授权接入问题的基础上结合入侵检测技术给出了相应的检测策略。
【lJ一、非法AP和合法用户违规连接问题
(一)非法AP问题IEEE80211协议没有要求AP(无线接入点)必须证明自己是一个合法的AP,因此任何人都可以把自己购买的AP不经授权就接入网络,恶意用户可以利用无线局域网这个缺陷进行无线网络的入侵。
它主要有两种攻击方式:
一种是恶意用户利用真实的AP,将其放置在想要攻击的无线网络中,AP伪装入侵方式具有很强的破坏性,可以实施middleinmiddle攻击;另一种是采用一些相应的软件修改相应的设备参数,从而将恶意用户的计算机伪装成合法AP,非法接入的AP,它的攻击流程是利用专业软件给一个合法无线接入站发送一个解除认证帧,这样无线接入站就会断开与它连接的AP,接着就去寻找可利用的AP。
移动接入设备在选择接入的AP时,一般是根据AP的信号质量来选择,而恶意用户为了攻击的需要,必须吸引合法的移动接入设备,通过设置调大设备的发射功率,这样合法的移动接人设备就主动选择连接到伪装的非法AP的恶意用户的设备上。
恶意用户利用获取的合法的移动接入设备信息,可以连接到网络上授权的AP。
从而无线网络中的数据就会被恶意用户利用,使其可以自由地截获需要的数据。
21
(二)合法用户违规连接问题无线局域网中,如果合法用户违规连接到外部的AP,会产出很多意想不到的危害,恶意用户可以利用外部的AP获得合法用户的信息,从而利用这些信息对无线局域网进行入侵和攻击。
因此,合法用户违规连接到外部无线局域网这种行为,需要及时的检测发现。
二、入侵检测技术入侵检测可被定义为对计算机和网络资源上的恶意使用行为进行识别和响应处理,它不仅检测来自外部的入侵行为,同时也可以检测内部用户的未授权活动,是维护网络安全的一道重要屏障。
旧1
(一)入侵检测系统主要单元模块无线局域网入侵检测系统的主要功能是对无线局域网当中的有害入侵进行检测,其工作流程是首先捕获无线数据包,然后对数据包当中的信息进行相应的分析,根据分析到的内容发送到不同的检测模块,最后检测模块根据其设计功能完成相应的入侵检测功能。
系统功能的实现主要有控制中心,检测匹配单元,无线AP这三部分完成。
收稿日期:
201004一12作者简介:
王瑞娜(1984一),女,河南灵宝人,三门峡职业技术学院信息工程系助教,研究方向计算机网络。
24万方数据王瑞娜:
WLAN中非法AP和合法用户违规连接的检测其中检测匹配单元是系统的核心,它有很多针对不同入侵的功能模块组成,各个模块根据设计完成特定的入侵检测。
这三个功能单元都有明确的作用,功能模块划分及其关系如图1所示ot4I协议分析1I管理Il检测匹配lI数据交换I无线接人II无线数据捕获Il监视l二F奎譬p无线路由器监控中心图l入侵检测系统单元模块
(二)入侵检测规则匹配当前的入侵检测系统当中,很多都定义了规则描述和匹配。
其中Snort系统最为著名,且完全公开,其规则处理匹配流程具有典型代表性。
在处理入侵规则匹配的时候,采用三维链表的方式存储规则并和数据包进行匹配。
无线局域网当中常见的非法接人攻击的规则设计如下:
恶意用户将网络中合法无线AP及授权合法用户MAC地址存储在一个文件中,在进行攻击时将文件中的相关内容分别读到合法AP及用户字符数组中,从而达到非法接入无线网络。
对其的入侵检测就是对网络中传输的数据包进行分析,如果信标帧或数据帧中合法无线AP及授权合法用户MAC地址在表中存在,说明是合法的,否则是非法AP用户。
其检测规则主要内容如下:
alertwlanany一anyfmsg:
”AssociationRequest”;stype:
STYPEASSOCREQ;)alertwlanany一any(msg:
”AssociationResponse”;stype:
STYPEASSOCRESP;)alertwlanany一any(msg:
”ReassociationRequest”;stype:
STYPEREASOCREQ;)三、非法接入和合法用户违规连接检测
(一)非法接入检测功能的实现由无线AP和检测匹配单元两部分完成。
无线AP负责检测工作信道上的本地非法AP和未经授权接入,检测匹配单元负责检测其他信道上非法AP和未经授权接人,其他信道上不能捕获到本地授权AP发出的无线信号,可避免将本地授权AP误报成非法AP和未经授权接入。
具体实施步骤如下:
1合法AP管理检测匹配单元按特定的时间段从控制中心获取授权AP列表,并在本地内存中缓存授权AP列表,它是检测非法AP的依据。
当控制中心的授权AP信息有改变。
检测匹配单元在一定时间后重新获取授权AP信息。
内存中缓存的数据结构为msg一印,它记录了授权AP的物理地址、发射功率、天线增益、SSID,MAC地址等信息。
#defineMSGMAX_SSIDLEN50TypedefstructmsgapStructmsg__ap一木next;u8addr6;intpower;intgain;u8ssidMSGMAXSSIDLEN;sizetssid_lell;intlatitide;intlongtitude;msg一叩;图2授权AP内存数据结构万方数据第9卷第2期济源职业技术学院学报V019No2垫!
篁!
旦!
竺竺型竺!
型竺!
竺竺丝型竺!
墅!
竺丝丝篁!
丝壁!
竺:
垫!
Q为了管理授权AP,系统已按MAC地址对授权AP进行分类。
具体操作是将授权AP的MAC地址的6个8位组进行异或运算,结果相同分为一组;相同的一组中授权AP地址信息存储在循环单向链表中,更新的授权AP添加在链表头部。
用一个整数数组存放各组链表的表头。
数组的序号对应链表中授权AP的MAC地址的6个8位组进行异或后的值区分不同的授权AP组。
存储结构如图2。
查找一个授权AP时,计算AP的MAC地址的6个8位组的异或值,根据这个值为索引查找数组中对应的授权AP的链表首地址,然后遍历该链表可完成查找。
2非法AP管理检测匹配单元需要维护一个检测到的非法AP的列表,内存缓存中数据结构定义如下:
Typedefstruetill_apstructill_ap一木next;u8type;u8bssid6;u8ssidWIDP_MAXSSID_LEN;size_tssidlen;intmode;intchan;intrssi;structtimevaltime;intneed_protect;illap;非法AP的存储方式与授权AP相同,是利用非法AP的BSSID地址的6个8位组的异或值进行分类,其存储结构也是采用循环单向链表,如图2所示。
当非法AP在检测系统规定时间段内没出现,将该信息从链表内删除;当非法AP信息改变时,要更新内存中缓存的链表信息。
非法AP的添加和删除事件将向控制中心报警,并将相应的报警记录到当天的系统日志内。
3非法AP检测无线路由器通过捕获和分析非法AP发送的信标帧和探测响应帧,根据相应的规则进行匹配检测非法AP,其中BSSID表示用户连接到无线AP的物理地址。
非法AP的检测流程如图3。
【5J
(二)合法用户违规连接检测所有合法的用户都要在系统控制中心进行必要的信息注册。
当检测匹配单元在运行的时候需要从系统控制中心获取合法用户注册列表,并在26内存中缓存一个合法用户注册列表,检测匹配单元结合合法用户注册列表和授权AP列表来判断合法用户是否有违规连接操作。
当控制中心的合法用户注册信息发生改变时,检测匹配单元在一定时间段内更新合法用户信息。
合法用户信息相应的数据结构定义如下:
Typedefmsg_clientstructmsg_client水next;u8addr6;msg_client;图3非法AP检测流程合法用户的存储查找方式与授权AP相同,以合法用户的MAC地址的6个8位组的异或值来分类。
检测匹配单元需要在内存中缓存一个检测到的违规合法用户的列表,违规合法用户相应的数据结构定义如下:
TypedefstructillclientStructill_client木next;u8type;u8mac6;u8bssid6;u8ssidWIDP_MAXSSIDLEN;size_tssidlen;万方数据王瑞娜:
WLAN中非法AP和合法用户违规连接的检测intmode;intchannel;intrssi;structtimevaltime;ill_client;违规合法用户的存储和管理方式与合法用户相同。
当违规合法用户在系统规定的时间没有发现再次的违规连接后,则从链表中删除;当违规合法用户相应信息发生改变时更新链表。
违规合法用户的添加和删除事件将向控制中心报警。
合法用户违规连接的检测流程图如下:
图4合法用户违规连接检测结语WLAN因其自身独特的优势获得快速发
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- WLAN 非法 AP 合法 用户 违规 连接 检测 精品 文档