CN102547714A - 一种无线局域网中防御洪泛攻击的方法 - Google Patents
一种无线局域网中防御洪泛攻击的方法 Download PDFInfo
- Publication number
- CN102547714A CN102547714A CN2011104485811A CN201110448581A CN102547714A CN 102547714 A CN102547714 A CN 102547714A CN 2011104485811 A CN2011104485811 A CN 2011104485811A CN 201110448581 A CN201110448581 A CN 201110448581A CN 102547714 A CN102547714 A CN 102547714A
- Authority
- CN
- China
- Prior art keywords
- wireless
- module
- frame
- monitoring
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种无线局域网中防御洪泛攻击的方法包括如下步骤:10、AP接收到无线报文之后经无线报文分类模块区分出无线管理帧和无线数据帧;20、所述无线数据帧、无线管理帧进入监控模块进行流量的监控;30、当报文的流量超过预设阀值的时候,监控模块将包括源MAC地址的超标信号发送到时间统计模块,时间统计模块开始计时,如果超过了预设时间则将该源MAC地址发送到ACL策略模块;40、所述ACL策略模块接收来自时间统计模块的源MAC地址后,控制AP拒绝接收该MAC地址的报文。本发明能够解决以大量发送数据帧和管理帧为方式的洪泛攻击。
Description
【技术领域】
本发明涉及一种无线局域网中防御洪泛攻击的方法。
【背景技术】
随着无线网络技术的发展,无线网络节点的安全受到了很大的威胁,洪泛攻击是最简单的攻击,也是威胁较大的攻击。无线局域网中,攻击者对无线接入点发动洪泛攻击,致使接入点资源耗尽而无法正常工作。无线局域网中,发动洪泛攻击的方式主要是发送大量的无线管理帧和无线数据帧报文,洪泛攻击会占用大量的网络带宽和接入点设备资源,而无线管理帧攻击还会使合法用户频繁的在认证和解认证之间切换,无法正常工作。因此,对于无线管理帧和数据帧的洪泛攻击的防御,是必不可少的。
目前,在无线局域网中,可以通过以下几种方法防御洪泛攻击:1.通过流量控制功能保证网络设备的正常运行;2.在无线控制器上检测洪泛攻击。上节所用的技术可以保证局域网内网络设备节点的正常运行,却不能保证整个网络的正常运行。对于方法1,流量控制可以减轻网络设备的负担,但同时会丢弃大量的正常用户报文。对于方法2,在无线控制器上可以检测到洪泛攻击,但存在几个弊端:对于接入点采用本地转发的局域网,无线数据帧报文不会经过无线控制器,因此无线控制器将检测不到此类的洪泛攻击;如果接入点的MAC模式为local MAC,那么无线管理帧报文将不会转发到无线控制器,因此无线控制器将检测不到此类的洪泛攻击。
因此现有技术,还无法在无线局域网上实现对无线数据帧和管理帧的洪泛攻击的防御。
【发明内容】
本发明要解决的技术问题,在于提供一种无线局域网中防御洪泛攻击的方法,它能够解决以大量发送数据帧和管理帧为方式的洪泛攻击。
本发明是这样实现的:一种无线局域网中防御洪泛攻击的方法,其特征在于:具体包括如下步骤:
步骤10、AP(无线访问接入点)接收到无线报文之后,所述无线报文经无线报文分类模块区分出无线管理帧和无线数据帧;
步骤20、所述无线管理帧进入管理帧监控模块进行流量的监控,所述无线数据帧进入数据帧监控模块进行流量的监控;
步骤30、当无线管理帧的流量超过预设阀值的时候,管理帧监控模块将包括该无线管理帧的源MAC地址(或称为MAC位址、硬件地址,用来定义网络设备的位置)的超标信号发送到时间统计模块,时间统计模块开始计时,如果超过了预设时间则将该无线管理帧的源MAC地址发送到ACL策略模块,同理,当无线数据帧的流量超过预设阀值的时候,数据帧监控模块将包括该无线数据帧的源MAC地址的超标信号发送到时间统计模块,时间统计模块开始计时,如果超过了预设时间则将该无线数据帧的源MAC地址发送到ACL策略模块;
步骤40、所述ACL(访问控制列表)策略模块接收来自时间统计模块的源MAC地址后,控制AP拒绝接收该MAC地址的报文。
进一步的,所述步骤20中,所述无线管理帧是以报文个数作为单位进行流量的监控,所述无线数据帧是以帧大小作为单位进行流量的监控。
进一步的,所述步骤30中,时间统计模块开始计时后,如果在预设时间值内流量恢复正常,则监控模块发送恢复正常信号到时间统计模块以制止源MAC地址发送到ACL策略模块。
进一步的,所述数据帧监控模块的预设阀值为AP设备上行总带宽的60%,所述管理帧监控模块的预设阀值为每秒1-5个。
进一步的,所述时间统计模块的预设时间为10-30秒。
本发明具有如下优点:
本发明通过对AP所接收的无线报文筛选出无线管理帧和无线数据帧,然后对这些管理帧和数据帧进行流量的监控,如果流量异常,则判定为洪泛攻击,让AP拒绝接收该MAC地址的报文,从而有效的防御了洪泛攻击。本发明方法简单可行,而且效果显著。
【附图说明】
下面参照附图结合实施例对本发明作进一步的说明。
图1是无线局域网的基本组网拓扑示意图。
图2为本发明方法的模块结构示意图。
【具体实施方式】
请参阅图1、图2所示,对本发明的实施例进行详细的说明。
现在发动洪泛攻击的方式主要是发送大量的无线管理帧和无线数据帧报文,如图1,攻击者对AP大量发送数据帧和管理帧以此进行洪泛攻击,这么多的无线数据帧和无线管理帧会占用大量的网络带宽和AP设备资源,而且大量的无线管理帧还会使其它的合法用户频繁的在认证和解认证之间切换。本发明即针对这一问题来解决洪泛攻击。
参阅图2,本发明一种无线局域网中防御洪泛攻击的方法,在AP上设置有无线报文分类模块、数据帧监控模块、管理帧监控模块、时间统计模块、ACL策略模块。所述数据帧监控模块、管理帧监控模块的一端均连接于所述无线报文分类模块,另一端均连接于时间统计模块,所述时间统计模块连接于ACL策略模块。
具体包括如下步骤:
步骤10、AP接收到无线报文之后,所述无线报文经无线报文分类模块区分出无线管理帧和无线数据帧,其余的报文直接返回,经过AP进行正常的传输。
步骤20、所述无线管理帧进入管理帧监控模块进行流量的监控,所述无线数据帧进入数据帧监控模块进行流量的监控;所述无线管理帧是以报文个数作为单位进行流量的监控,所述数据帧是以帧大小作为单位进行流量的监控。
步骤30、当无线管理帧的流量超过预设阀值的时候(所述管理帧监控模块的预设阀值为每秒1-5个),管理帧监控模块将包括该无线管理帧的源MAC地址的超标信号发送到时间统计模块,时间统计模块开始计时,如果超过了预设时间则将该无线管理帧的源MAC地址发送到ACL策略模块,所述时间统计模块的预设时间为10-30秒。同理,当无线数据帧的流量超过预设阀值的时候(所述数据帧监控模块的预设阀值为AP设备上行总带宽的60%),数据帧监控模块将包括该无线数据帧的源MAC地址的超标信号发送到时间统计模块,时间统计模块开始计时,如果超过了预设时间则将该数据帧的源MAC地址发送到ACL策略模块,所述时间统计模块的预设时间为10-30秒。时间统计模块开始计时后,如果在预设时间值内流量恢复正常,则监控模块发送恢复正常信号到时间统计模块以制止源MAC地址发送到ACL策略模块。
步骤40、所述ACL策略模块接收来自时间统计模块的源MAC地址后,控制AP拒绝接收该MAC地址的报文,从而起到防御以大量发送数据帧和管理帧为方式的洪泛攻击。
本发明通过对AP所接收的无线报文筛选出无线管理帧和无线数据帧,然后对这些管理帧和数据帧进行流量的监控,如果流量异常,则判定为洪泛攻击,让AP拒绝接收该MAC地址的报文,从而有效的防御了洪泛攻击。本发明方法简单可行,而且效果显著。
以上所述,仅为本发明较佳实施例而已,故不能依此限定本发明实施的范围,即依本发明专利范围及说明书内容所作的等效变化与修饰,皆应仍属本发明涵盖的范围内。
Claims (5)
1.一种无线局域网中防御洪泛攻击的方法,其特征在于:具体包括如下步骤:
步骤10、AP接收到无线报文之后,所述无线报文经无线报文分类模块区分出无线管理帧和无线数据帧;
步骤20、所述无线管理帧进入管理帧监控模块进行流量的监控,所述无线数据帧进入数据帧监控模块进行流量的监控;
步骤30、当无线管理帧的流量超过预设阀值的时候,管理帧监控模块将包括该无线管理帧的源MAC地址的超标信号发送到时间统计模块,时间统计模块开始计时,如果超过了预设时间则将该无线管理帧的源MAC地址发送到ACL策略模块,同理,当无线数据帧的流量超过预设阀值的时候,数据帧监控模块将包括该无线数据帧的源MAC地址的超标信号发送到时间统计模块,时间统计模块开始计时,如果超过了预设时间则将该无线数据帧的源MAC地址发送到ACL策略模块;
步骤40、所述ACL策略模块接收来自时间统计模块的源MAC地址后,控制AP拒绝接收该MAC地址的报文。
2.根据权利要求1所述的一种无线局域网中防御洪泛攻击的方法,其特征在于:所述步骤20中,所述无线管理帧是以报文个数作为单位进行流量的监控,所述无线数据帧是以帧大小作为单位进行流量的监控。
3.根据权利要求2所述的一种无线局域网中防御洪泛攻击的方法,其特征在于:所述步骤30中,时间统计模块开始计时后,如果在预设时间值内流量恢复正常,则监控模块发送恢复正常信号到时间统计模块以制止源MAC地址发送到ACL策略模块。
4.根据权利要求2所述的一种无线局域网中防御洪泛攻击的方法,其特征在于:所述数据帧监控模块的预设阀值为AP设备上行总带宽的60%;所述管理帧监控模块的预设阀值为每秒1-5个。
5.根据权利要求2所述的一种无线局域网中防御洪泛攻击的方法,其特征在于:所述时间统计模块的预设时间为10-30秒。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011104485811A CN102547714A (zh) | 2011-12-28 | 2011-12-28 | 一种无线局域网中防御洪泛攻击的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011104485811A CN102547714A (zh) | 2011-12-28 | 2011-12-28 | 一种无线局域网中防御洪泛攻击的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102547714A true CN102547714A (zh) | 2012-07-04 |
Family
ID=46353419
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011104485811A Pending CN102547714A (zh) | 2011-12-28 | 2011-12-28 | 一种无线局域网中防御洪泛攻击的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102547714A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102833268A (zh) * | 2012-09-17 | 2012-12-19 | 福建星网锐捷网络有限公司 | 抵抗无线网络泛洪攻击的方法、设备及系统 |
| WO2015081518A1 (zh) * | 2013-12-04 | 2015-06-11 | 华为技术有限公司 | 管理帧的发送处理方法及系统 |
| CN105450647A (zh) * | 2015-11-27 | 2016-03-30 | 上海斐讯数据通信技术有限公司 | 一种防止报文攻击的方法及系统 |
| CN106790299A (zh) * | 2017-03-20 | 2017-05-31 | 京信通信技术(广州)有限公司 | 一种在无线接入点ap上应用的无线攻击防御方法和装置 |
| CN112463662A (zh) * | 2020-12-16 | 2021-03-09 | 福州创实讯联信息技术有限公司 | 一种用户态控制i2c设备的方法与终端 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1852228A (zh) * | 2005-09-28 | 2006-10-25 | 华为技术有限公司 | 通信网络中带宽或缓存的分配处理方法 |
| CN101286996A (zh) * | 2008-05-30 | 2008-10-15 | 北京星网锐捷网络技术有限公司 | 一种风暴攻击抵抗方法与装置 |
| CN101640594A (zh) * | 2008-07-31 | 2010-02-03 | 北京启明星辰信息技术股份有限公司 | 一种在网络设备上提取流量攻击报文特征的方法和单元 |
-
2011
- 2011-12-28 CN CN2011104485811A patent/CN102547714A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1852228A (zh) * | 2005-09-28 | 2006-10-25 | 华为技术有限公司 | 通信网络中带宽或缓存的分配处理方法 |
| CN101286996A (zh) * | 2008-05-30 | 2008-10-15 | 北京星网锐捷网络技术有限公司 | 一种风暴攻击抵抗方法与装置 |
| CN101640594A (zh) * | 2008-07-31 | 2010-02-03 | 北京启明星辰信息技术股份有限公司 | 一种在网络设备上提取流量攻击报文特征的方法和单元 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102833268A (zh) * | 2012-09-17 | 2012-12-19 | 福建星网锐捷网络有限公司 | 抵抗无线网络泛洪攻击的方法、设备及系统 |
| CN102833268B (zh) * | 2012-09-17 | 2015-03-11 | 福建星网锐捷网络有限公司 | 抵抗无线网络泛洪攻击的方法、设备及系统 |
| WO2015081518A1 (zh) * | 2013-12-04 | 2015-06-11 | 华为技术有限公司 | 管理帧的发送处理方法及系统 |
| CN105450647A (zh) * | 2015-11-27 | 2016-03-30 | 上海斐讯数据通信技术有限公司 | 一种防止报文攻击的方法及系统 |
| CN105450647B (zh) * | 2015-11-27 | 2019-07-12 | 上海斐讯数据通信技术有限公司 | 一种防止报文攻击的方法及系统 |
| CN106790299A (zh) * | 2017-03-20 | 2017-05-31 | 京信通信技术(广州)有限公司 | 一种在无线接入点ap上应用的无线攻击防御方法和装置 |
| CN106790299B (zh) * | 2017-03-20 | 2020-06-23 | 京信通信系统(中国)有限公司 | 一种在无线接入点ap上应用的无线攻击防御方法和装置 |
| CN112463662A (zh) * | 2020-12-16 | 2021-03-09 | 福州创实讯联信息技术有限公司 | 一种用户态控制i2c设备的方法与终端 |
| CN112463662B (zh) * | 2020-12-16 | 2024-04-05 | 福州创实讯联信息技术有限公司 | 一种用户态控制i2c设备的方法与终端 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106161333B (zh) | 基于sdn的ddos攻击防护方法、装置及系统 | |
| CN101431449B (zh) | 一种网络流量清洗系统 | |
| CN104539594B (zh) | 融合DDoS威胁过滤与路由优化的SDN架构、系统及工作方法 | |
| Pu et al. | A light-weight countermeasure to forwarding misbehavior in wireless sensor networks: design, analysis, and evaluation | |
| CN104660582B (zh) | DDoS识别、防护和路径优化的软件定义的网络架构 | |
| CN102547714A (zh) | 一种无线局域网中防御洪泛攻击的方法 | |
| CN104104558B (zh) | 一种智能变电站过程层通信中网络风暴抑制的方法 | |
| CN103036733A (zh) | 非常规网络接入行为的监测系统及监测方法 | |
| CN108616367A (zh) | 故障定位方法和网络设备 | |
| CN104041109B (zh) | 控制流量的方法、终端网关、终端设备和系统 | |
| CN106255177A (zh) | 一种设备状态的传输方法和装置 | |
| CN107483140A (zh) | 基于tdma的组网方法 | |
| CN103746928A (zh) | 利用访问控制列表控制流量的方法和系统 | |
| CN101188607A (zh) | 基于网络处理器的dslam设备防止协议包攻击的方法 | |
| Soryal et al. | DoS attack detection in Internet-connected vehicles | |
| EP3297245A1 (en) | Method, apparatus and system for collecting access control list | |
| Katal et al. | A cluster based detection and prevention mechanism against novel datagram chunk dropping attack in MANET multimedia transmission | |
| CN102006216B (zh) | 一种深度报文检测系统及报文处理方法 | |
| CN103777575B (zh) | 新风系统的监控管理方法与系统 | |
| CN102075535A (zh) | 一种应用层分布式拒绝服务攻击过滤方法及系统 | |
| Rustad et al. | New radio networks for tactical communication | |
| CN105099799A (zh) | 僵尸网络检测方法和控制器 | |
| CN105072639B (zh) | 一种基于传感器网络的认知无线电体系架构 | |
| CN103813409A (zh) | 固网移动融合的策略控制方法、装置及系统 | |
| CN108882282A (zh) | 一种针对SDWSNs中新流攻击的检测和响应方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20120704 |