CN103313429A - 一种识别伪造wifi热点的处理方法 - Google Patents

Abstract

本发明公开了一种识别伪造WIFI热点的处理方法，包括如下步骤：a)预先收集存储WIFI热点的IP地址列表；b)获取客户端从某一WIFI热点发送过来的请求报文中的源IP地址和端口；c)在预存的WIFI热点IP地址列表中检索该源IP地址进行第一次WIFI热点真伪验证；d)在系统服务端继续向该源IP地址和端口发送握手报文进行第二次WIFI热点真伪验证；e)当有一次验证失败，则判断该WIFI热点为伪造WIFI热点。本发明提供的识别伪造WIFI热点的处理方法，通过二次WIFI热点真伪验证，从而方便可靠地识别伪造WIFI热点，有效解决现有无线热点存在的安全隐患问题。

Description

一种识别伪造WIFI热点的处理方法

技术领域

本发明涉及一种WIFI热点识别方法，尤其涉及一种识别伪造WIFI热点的处理方法。

背景技术

随着无线网络的推广和普及，无线网络带来的安全问题也越来越突出。针对无线网络的攻击方式随着时间的推移和技术的进步也越来越隐蔽，非法入侵者利用已知AP(Access Point无线访问节点)的BSSID(Basic Service Set Identifier基本服务集标识符信息，制造出与目标AP类似的无线接入点，特别是伪造运营商品牌的BSSID欺骗用户，并提供网络接入服务，从而达到监听用户的数据，窃取用户资料等目的。例如：众所周知电信的接入点名称为‘chinanet’，因为无线网络本身不限制如‘chinanet’这样的BSSID信息的唯一性，所以攻击者可以伪造另一个chinanet热点，从而吸引用户登录和使用。甚至攻击者可以通过伪造电信公司的portal服务页面来获取用户的账户信息。

恶意AP攻击带来的危害显而易见，主要包括：1、用户的账户信息会泄露，如手机号/用户名和密码。2、用户通信信息完全被监听，如http/ftp/telnet等明文信息可以直接被获取，使用ssl加密的通信数据在一定的情况下可以被破解。3、用户无法分辨真正的AP和假冒的AP。对于普通用户而言，是很难分辨真的AP与假冒的AP之间的区别的，特别在这两类AP都提供服务的情况下，用户往往会过分地信任运营商而也不会去考虑AP的安全性。4、导致用户无法信任运营商提供的无线热点服务。由于恶意AP盗取用户的信息和数据，且用户不易区别真假chinanet，造成用户无法信任chinanet的安全性。

目前国内外针对无线热点伪造问题的解决方法是各AP提供商设计，其原理是在同一个区域发现和自己同一个BSSID的时候，检索对端型号是否为网管台中的登记设备，如果不是即提供报警，以达到发现伪造AP热点的目的。

目前这种解决方法的缺点非常明确，包括以下几点：1、只有同一个品牌的伪造热点才能发现，伪造者几乎不会用同一品牌的AP设备进行伪造，所以这种检查方式局限性太大；2、如果伪造热点不在合法AP范围之内，现有检查手段无法检测；3、没有一家运营商只使用一个公司的设备，该检测方法不现实。由上可见，现有伪造AP识别方法成本高、误判率高，导致现在伪造AP热点无法检测的现状。

发明内容

本发明所要解决的技术问题是提供一种识别伪造WIFI热点的处理方法，能够方便可靠地识别伪造WIFI热点，并具有全网跨平台、跨不同品牌设备的特点，有效解决现有无线热点存在的安全隐患问题。

本发明为解决上述技术问题而采用的技术方案是提供一种识别伪造WIFI热点的处理方法，包括如下步骤：a)预先收集存储WIFI热点的IP地址列表；b)在系统服务端接收客户端从某一WIFI热点发送过来的请求报文并获取该请求报文中的源IP地址和端口；c)在预存的WIFI热点IP地址列表中检索是否存在该源IP地址进行第一次WIFI热点真伪验证；d)如果第一次WIFI热点真伪验证成功，在系统服务端继续向该源IP地址和端口发送握手报文进行第二次WIFI热点真伪验证；e)当有一次验证失败，则判断该WIFI热点为伪造WIFI热点。

上述的识别伪造WIFI热点的处理方法，其中，所述步骤a)中的WIFI热点的IP地址列表部署在系统数据库服务器中，所述系统数据库服务器部署在隔离区域并通过访问控制列表限制访问源。

上述的识别伪造WIFI热点的处理方法，其中，所述WIFI热点的IP地址列表获取过程如下：将DHCP地址库的内容抽取出来，根据地址段生成IP地址列表，将该IP地址列表作为源数据放置到系统数据库中。

上述的识别伪造WIFI热点的处理方法，其中，所述步骤b)中客户端使用随机端口发送请求报文，所述步骤d)中系统服务端发送加密的握手报文至该随机端口，所述随机端口的范围为10000～20000之间，根据时间随机数生成。

上述的识别伪造WIFI热点的处理方法，其中，所述握手报文采用单项陷门函数和salt函数进行加密。

上述的识别伪造WIFI热点的处理方法，其中，所述系统服务端采用多线程并行接收客户端从WIFI热点发送过来的请求报文并进行第一次WIFI热点真伪验证，所述多线程数量控制如下：

其中，X为新增客户端数量，N为现有客户端数量，U＝X+N，C_s为CPU核数，Cn为CPU每个工作核的处理线程。

本发明对比现有技术有如下的有益效果：本发明提供的识别伪造WIFI热点的处理方法，通过二次WIFI热点真伪验证，从而方便可靠地识别伪造WIFI热点，并具有全网跨平台、跨不同品牌设备的特点，有效解决现有无线热点存在的安全隐患问题。

附图说明

图1为本发明识别伪造WIFI热点的处理流程示意图；

图2为本发明识别伪造WIFI热点的系统架构示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步的描述。

图1为本发明识别伪造WIFI热点的处理流程示意图。

请参见图1，本发明提供的识别伪造WIFI热点的处理方法包括如下步骤：

步骤S1：预先收集无线热点提供商的相关信息，存储WIFI热点的IP地址列表；如通过编写WIFIACTION类(用来实现WIFI的所有动作的类)调用WIFIMANAGE(WIFI管理器类)实现底层WIFI驱动并且监听当前网卡状态；驱动实现后查看WIFI当前状态、WIFI获取到的所有SSID；通过编写的getWifiManage类其中包含(getDhcpInfo(DhcpInfo)(获取DHCP所有信息)，get IpAddress()(获取本地网卡IP地址)，getRouteIP()(获取网关的IP地址)，getRouteMac()(获取网关的MAC地址))根据getWifiManage类中的方法将获取到的网关Ip地址Mac生成IPADDRESS、MACADDRESS列表，将该列表作为源数据放置到系统数据库中，实现验证数据库checkresouse；

步骤S2：在系统服务端接收客户端从某一WIFI热点发送过来的请求报文并获取该请求报文中的源IP地址和端口；如在系统服务端中建立多线程监听模块mult-socketserver-1istener，用于接收客户端发送的验证请求；具体可以通过编写AndroidServer(安卓服务器监听模块)继承THREAD类编写run()方法(注：run()方法主要实现对象写入流，获取客户端发送的信息)；multiStart实现RUNNABLE接口(线程接口)，编写执行服务获取CPU核数，并且根据CPU核数构造AndroidServer线程池用于接受多个客户端请求并同时向客户端发送验证请求，当有多个CPU核时，做到智能调节负载均衡，让服务器的工作效率达到最优，线程池中线程数量动态改变如下：

其中，X代表新增客户端数量，N代表现有客户端数量，U＝X+N，C_s为现有CPU核数，Cn代表现在CPU每个工作核的处理线程；

步骤S3：在预存的无线热点IP地址列表中检索是否存在该源IP地址进行第一次WIFI热点真伪验证；如在系统服务端中建立多线程检索模块mult-search，用于检索多个客户端发送的验证数据，当系统服务端接收到客户端请求报文后用String函数带有的SubString和SubString(index)函数来拆解并通过字符串过滤函数SubString(Index，End)过滤数据，通过编写的ClientMarkImp类(客户端处理实现)对拆分过滤过的数据进行验证并且将结果(True，False)返回显示给用户(True，False分别代表匹配和不匹配)；将出现不匹配时系统将不继续向下执行；

步骤S4：如果第一次WIFI热点真伪验证成功，在系统服务端继续向该源IP地址和端口发送握手报文进行第二次WIFI热点真伪验证；如在系统服务端中建立临时存储模块temp-log和回滚模块rollback，用于存放客户端发送过来的源IP地址、随机端口等信息。当IP地址是数据库checkresouse中的数据时，启动第二次验证机制。根据临时存储模块temp-log数据的源IP地址，系统服务端向系统客户端发送经加密的握手报文shandshake，比如使用单项陷门函数和salt函数进行加密。如果能够握手成功，系统服务端将向客户端推送该热点为合法热点信息，如果握手不成功，则证明该IP地址是伪造的IP地址，握手报文根据网络路由表发送至了合法的ip地址处，验证客户端验证失败，至此系统服务端将向客户端推送该热点为非法热点等信息。

步骤S5：当有一次验证失败，则判断该WIFI热点为伪造WIFI热点。通过两次不同方式验证且两种验证都为“T”的时候才判定AP热点合法。

为了进一步提高安全性，系统客户端向系统服务端发送报文存储在存储模块temp-log中提交了随机函数，系统服务端向系统客户端发送经加密的握手报文shandshake至随机生成的端口，比如通过timeRandom(时间随机数)*10000+9135算法生成的10000～20000之间的随机端口号，加强了系统的安全性。此外，系统客户端程序采用底层加密技术，将核心算法和参数变量通过使用不同语言编程封装成不同的程序文件，并加密加壳起到保护程序本身的作用。

本发明提供的识别伪造WIFI热点的处理系统独立部署，可实现不同品牌、不同平台的伪造AP验证，不局限于网络架构和产品选型。具体实施方法如下：

第一步：搭建系统主服务器用于验证用户请求，部署在无线热点提供商的portal服务网络域中，并在主服务器中部署多线程监听模块mult-socketserver-listener、I临时存储模块temp-log、多线程检索模块mult-search、临时存储模块temp-log、回滚模块rollback等，如图2所示；

第二步：搭建系统数据库服务器，部署在DMZ区域，通过访问控制列表(AccessControlList，ACL)策略限制访问源，并在数据库服务器中部署checkresouse；

第三步：通过portal推送页面或其他公共平台推广系统客户端；

第四步：移动终端在下载客户端软件过程中同步获取程序MD5散列值，用于防止篡改客户端程序；

第五步：移动终端在使用无线热点时，客户端软件提示进行伪造热点测试，经过验证后明确无线热点的安全性后使用网络。

综上所述，本发明提供的识别伪造WIFI热点的处理方法，通过二次WIFI热点真伪验证，从而方便可靠地识别伪造WIFI热点，并具有全网跨平台、跨不同品牌设备的特点，有效解决现有无线热点存在的安全隐患问题。具体优点如下：1、独立部署，可实现不同品牌、不同平台的伪造AP验证，不局限于网络架构和产品选型；2、成本低，不需要AP厂商进行技术配合，不需要购置其他测试设备及模块；3、覆盖面广，可覆盖至无线热点提供商未覆盖到的地方；4、用户体验友好，可实时发现威胁，减少不必要的损失；5、系统可生产伪造热点地图，可为无线热点提供商挽回经济和名誉损失。

虽然本发明已以较佳实施例揭示如上，然其并非用以限定本发明，任何本领域技术人员，在不脱离本发明的精神和范围内，当可作些许的修改和完善，因此本发明的保护范围当以权利要求书所界定的为准。

Claims (6)

1.一种识别伪造WIFI热点的处理方法，其特征在于，包括如下步骤：

a)预先收集存储WIFI热点的IP地址列表；

b)在系统服务端接收客户端从某一WIFI热点发送过来的请求报文并获取该请求报文中的源IP地址和端口；

c)在预存的WIFI热点IP地址列表中检索是否存在该源IP地址进行第一次WIFI热点真伪验证；

d)如果第一次WIFI热点真伪验证成功，在系统服务端继续向该源IP地址和端口发送握手报文进行第二次WIFI热点真伪验证；

e)当有一次验证失败，则判断该WIFI热点为伪造WIFI热点。

2.如权利要求1所述的识别伪造WIFI热点的处理方法，其特征在于，所述步骤a)中的WIFI热点的IP地址列表部署在系统数据库服务器中，所述系统数据库服务器部署在隔离区域并通过访问控制列表限制访问源。

3.如权利要求2所述的识别伪造WIFI热点的处理方法，其特征在于，所述WIFI热点的IP地址列表获取过程如下：将DHCP地址库的内容抽取出来，根据地址段生成IP地址列表，将该IP地址列表作为源数据放置到系统数据库中。

4.如权利要求1所述的识别伪造WIFI热点的处理方法，其特征在于，所述步骤b)中客户端使用随机端口发送请求报文，所述步骤d)中系统服务端发送加密的握手报文至该随机端口，所述随机端口的范围为10000～20000之间，根据时间随机数生成。

5.如权利要求4所述的识别伪造WIFI热点的处理方法，其特征在于，所述握手报文采用单项陷门函数和salt函数进行加密。

6.如权利要求1所述的识别伪造WIFI热点的处理方法，其特征在于，所述系统服务端采用多线程并行接收客户端从WIFI热点发送过来的请求报文并进行第一次WIFI热点真伪验证，所述多线程数量控制如下：

$\underset{n}{\mathrm{\Σ}}\frac{\left(\frac{X}{N}\right)\%U^n}{C_s}+\mathrm{Cn};$

其中，X为新增客户端数量，N为现有客户端数量，U＝X+N，C_s为CPU核数，Cn为CPU每个工作核的处理线程。

Images