CN103391546B - 一种无线攻击检测及防御装置及其方法 - Google Patents
一种无线攻击检测及防御装置及其方法 Download PDFInfo
- Publication number
- CN103391546B CN103391546B CN201310296963.6A CN201310296963A CN103391546B CN 103391546 B CN103391546 B CN 103391546B CN 201310296963 A CN201310296963 A CN 201310296963A CN 103391546 B CN103391546 B CN 103391546B
- Authority
- CN
- China
- Prior art keywords
- access point
- wireless access
- attacker
- source mac
- legitimate client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供一种无线攻击检测及防御装置,应用于无线控制器AC上,所述无线控制器AC用于管理无线接入点AP。包括:报告接收单元,用于接收各个无线接入点AP上报的攻击报告并确定攻击报告中作为攻击者的源MAC地址。来源判断单元,用于判断所述攻击者的源MAC地址所对应的无线接入点AP是否是合法客户端关联的无线接入点AP。动态操作单元,用于在所述攻击者的源MAC地址所对应的无线接入点AP并非合法客户端关联的无线接入点AP时,将该攻击者所使用的源MAC地址下发到发送攻击报告的无线接入点AP的动态黑名单中。其可以识别发出攻击的是合法客户端还是仿冒者,并采取对应的防御措施,避免合法客户端被误伤。
Description
技术领域
本发明涉及无线网络技术,尤其涉及一种无线攻击检测及防御装置及其方法。
背景技术
随着无线网络技术的发展,无线攻击检测及防御机制已经成为无线网络技术中的重点。现有的无线攻击检测及防御技术是在发现来自无线侧的攻击行为后,会将该攻击者的源MAC地址加入到发现该攻击行为的无线接入点AP的动态黑名单中。同时在无线控制器AC上将该客户端强制下线。在动态黑名单老化时间内,该MAC地址的客户端将无法在当前无线接入点AP上访问网络。
由于现有技术的无线攻击检测及防御技术仅根据客户端的源MAC地址来确定攻击者并针对客户端的源MAC地址来采取防御措施的。因此,当存在仿冒客户端的攻击者时,现有技术将无法区分是否是仿冒者,从而难以为管理员提供准确的信息。而正常的合法客户端也常常被误伤。
发明内容
有鉴于此,本发明提供一种无线攻击检测及防御装置及其方法,其可以识别发出攻击的是合法客户端还是仿冒者,并采取对应的防御措施,避免合法客户端被误伤。
一种无线攻击检测及防御装置,应用于无线控制器AC上,所述无线控制器AC用于管理无线接入点AP。包括:
报告接收单元,用于接收各个无线接入点AP上报的攻击报告并确定攻击报告中作为攻击者的源MAC地址。
来源判断单元,用于判断所述攻击者的源MAC地址所对应的无线接入点AP是否是合法客户端关联的无线接入点AP。
动态操作单元,用于在所述攻击者的源MAC地址所对应的无线接入点AP并非合法客户端关联的无线接入点AP时,将该攻击者所使用的源MAC地址下发到发送攻击报告的无线接入点AP的动态黑名单中。
本发明还包括:
仿冒日志单元,用于在所述动态操作单元完成动态黑名单操作后,如在第一预定时长内并未接收到合法客户端关联的无线接入点AP上报的攻击报告,则确定该攻击者为仿冒者并更新仿冒者日志。
所述动态操作单元,进一步用于如在第一预定时长内接收到合法客户端关联的无线接入点AP上报的攻击报告,则确定该攻击者为合法客户端本身,将合法客户端所使用的源MAC地址下发到合法客户端关联的无线接入点AP的动态黑名单,并强制合法客户端下线。
本发明还包括:
信道切换单元,用于当所述攻击者的源MAC地址所对应的无线接入点AP为合法客户端关联的无线接入点AP时,通知所述无线接入点AP进行信道切换操作。
所述仿冒日志单元,进一步用于在所述信道切换单元完成信道切换后,如攻击者停止攻击时长超过第二预定时长,则确定攻击者为仿冒者并更新仿冒者日志。
所述动态操作单元,进一步用于在所述信道切换单元完成信道切换后,如攻击者停止攻击时长没有超过第二预定时长,则确定攻击者为合法客户端本身,将合法客户端所使用的源MAC地址下发到合法客户端关联的无线接入点AP的动态黑名单,并强制合法客户端下线。
本发明还包括:
静默处理单元,用于在所述信道切换单元进行信道切换的次数在第三预定时长内超过预设阈值一或者无可用信道时,发送单播Beacon帧给所述客户端关联的无线接入点AP,并携带预设静默期Quiet Element。
所述仿冒日志单元,进一步用于如在静默期内攻击未停止,则确定攻击者为仿冒者并更新仿冒者日志。
所述动态操作单元,进一步用于如在静默期内攻击未停止,将攻击者所使用的源MAC地址以及与该源MAC地址对应的第一老化时间下发到所述客户端关联的无线接入点AP的动态黑名单中,其中所述第一老化时间比动态黑名单中默认老化时间更短。
所述动态操作单元,进一步用于如在静默期内攻击停止,则确定攻击者为合法客户端本身,将合法客户端所使用的源MAC地址下发到合法客户端关联的无线接入点AP的动态黑名单,并强制合法客户端下线。
本发明所述动态操作单元,进一步用于如攻击者使用同一源MAC地址的攻击次数超过预设阈值二,则将所述源MAC地址下发到发送攻击报告的无线接入点AP的动态黑名单。
一种无线攻击检测及防御方法,应用于无线控制器AC上,所述无线控制器AC用于管理无线接入点AP。包括:
报告接收步骤,接收各个无线接入点AP上报的攻击报告并确定攻击报告中作为攻击者的源MAC地址。
来源判断步骤,判断所述攻击者的源MAC地址所对应的无线接入点AP是否是合法客户端关联的无线接入点AP。
动态操作步骤,在所述攻击者的源MAC地址所对应的无线接入点AP并非合法客户端关联的无线接入点AP时,将该攻击者所使用的源MAC地址下发到发送攻击报告的无线接入点AP的动态黑名单中。
本发明还包括:
仿冒日志步骤,在完成动态黑名单操作后,如在第一预定时长内并未接收到合法客户端关联的无线接入点AP上报的攻击报告,则确定该攻击者为仿冒者并更新仿冒者日志。
下线操作步骤,进一步包括如在第一预定时长内接收到合法客户端关联的无线接入点AP上报的攻击报告,则确定该攻击者为合法客户端本身,将合法客户端所使用的源MAC地址下发到合法客户端关联的无线接入点AP的动态黑名单,并强制合法客户端下线。
本发明还包括:
信道切换步骤,当所述攻击者的源MAC地址所对应的无线接入点AP为合法客户端关联的无线接入点AP时,通知所述无线接入点AP进行信道切换操作。
所述仿冒日志步骤,进一步包括在所述信道切换单元完成信道切换后,如攻击者停止攻击时长超过第二预定时长,则确定攻击者为仿冒者并更新仿冒者日志。
所述下线操作步骤,进一步包括在所述信道切换单元完成信道切换后,如攻击者停止攻击时长没有超过第二预定时长,则确定攻击者为合法客户端本身,将合法客户端所使用的源MAC地址下发到合法客户端关联的无线接入点AP的动态黑名单,并强制合法客户端下线。
本发明还包括:
静默处理步骤,在所述信道切换步骤中进行信道切换的次数在第三预定时长内超过预设阈值一或者无可用信道时,发送单播Beacon帧给所述客户端关联的无线接入点AP,并携带预设静默期Quiet Element。
所述仿冒日志步骤,进一步包括如在静默期内攻击未停止,则确定攻击者为仿冒者并更新仿冒者日志。
所述动态操作步骤,进一步包括如在静默期内攻击未停止,将攻击者所使用的源MAC地址以及与该源MAC地址对应的第一老化时间下发到所述客户端关联的无线接入点AP的动态黑名单中,所述第一老化时间比动态黑名单中默认老化时间更短。
所述下线操作步骤,进一步包括如在静默期内攻击停止,则确定攻击者为合法客户端本身,将合法客户端所使用的源MAC地址下发到合法客户端关联的无线接入点AP的动态黑名单,并强制合法客户端下线。
本发明所述动态操作步骤,进一步包括如攻击者使用同一源MAC地址的攻击次数超过预设阈值二,则将所述源MAC地址下发到发送攻击报告的无线接入点AP的动态黑名单。
本发明根据所述攻击者的源MAC地址所对应的无线接入点AP是否是合法客户端关联的无线接入点AP,确定是否将攻击者所使用的源MAC地址下发到动态黑名单。本发明进一步根据在第一预定时长内是否接收到合法客户端关联的无线接入点AP上报的攻击报告,确定攻击者是否仿冒者。本发明对发出攻击的是客户端还是仿冒者进行了识别,并采取了对应的防御措施,避免了合法客户端被误伤。
附图说明
图1是本发明无线攻击检测及防御装置结构图;
图2是本发明无线攻击检测及防御方法流程图;
图3是本发明一实施例的示意图;
图4是本发明另一实施例的示意图。
具体实施方式
为了实现本发明目的,本发明根据不同无线接入点AP发送的攻击报告来判断攻击者是合法客户端还是仿冒者,并采取了对应的防御措施。具体的本发明根据攻击者的源MAC地址所对应的无线接入点AP是否是合法客户端关联的无线接入点AP,也就是说判断发送攻击报告的无线接入点AP是否攻击者的源MAC地址所对应的无线接入点AP。则确定是否将攻击者所使用的源MAC地址下发到动态黑名单,并根据在在第一预定时长内是否接收到合法客户端关联的无线接入点AP上报的攻击报告,确定攻击者是否仿冒者。因此,本发明避免了合法客户端被误伤。
具体地,请参见图1,在本发明无线攻击检测及防御装置,应用于无线控制器AC上,所述无线控制器AC用于管理无线接入点AP。其包括:
报告接收单元,用于接收各个无线接入点AP上报的攻击报告并确定攻击报告中作为攻击者的源MAC地址。
来源判断单元,用于判断所述攻击者的源MAC地址所对应的无线接入点AP是否是合法客户端关联的无线接入点AP。
动态操作单元,用于在所述攻击者的源MAC地址所对应的无线接入点AP并非合法客户端关联的无线接入点AP时,将该攻击者所使用的源MAC地址下发到发送攻击报告的无线接入点AP的动态黑名单中。
无线接入点AP的动态黑名单中的源MAC地址将会在一个默认的老化时间内被禁止通过所述无线接入点AP访问网络,老化时间后将能够重新通过所述无线接入点AP访问网络。由于攻击者的源MAC地址所对应的无线接入点AP并非合法客户端关联的无线接入点AP,所以将该攻击者所使用的源MAC地址下发到发送攻击报告的无线接入点AP的动态黑名单中并不影响其他客户端通过无线接入点AP访问网络。
本发明还包括:
仿冒日志单元,用于在所述动态操作单元完成动态黑名单操作后,如在第一预定时长内并未接收到合法客户端关联的无线接入点AP上报的攻击报告,则确定该攻击者为仿冒者并更新仿冒者日志。所述第一预定时长为本领域普通技术人员根据系统需要及相关经验进行选取,通常设定为接收到第一次攻击报告后10s。
所述动态操作单元,进一步用于如在第一预定时长内接收到合法客户端关联的无线接入点AP上报的攻击报告,则确定该攻击者为合法客户端本身,将合法客户端所使用的源MAC地址下发到合法客户端关联的无线接入点AP的动态黑名单,并强制合法客户端下线。
由于攻击者的源MAC地址所对应的无线接入点AP并非合法客户端关联的无线接入点AP,也就是说发送攻击报告的无线接入点AP并不是攻击者的源MAC地址所对应的无线接入点AP。如果攻击者是合法客户端的话,其会通过其自己关联的无线接入点AP再次发送攻击报告。如果在接收到第一次攻击报告后10s,没有接收到任何合法客户端关联的无线接入点AP上报的攻击报告,表明攻击者并没有真正的和任何无线接入点AP关联,攻击者和任何合法客户端不在同一物理信号范围,因此可以确定该攻击者为仿冒者。
为进一步说明本发明技术方案,下面通过一个具体的实施方式进行说明。
参看图2,合法客户端通过其关联的无线接入点AP访问网络,而一仿冒者也通过另一无线接入点AP访问网络,合法客户端关联的无线接入点AP和仿冒者使用的无线接入点AP均被一无线控制器AC管理控制。当攻击者所使用的源MAC地址对应的无线接入点AP并不是合法客户端关联的无线接入点AP时,仅将攻击者所使用的源MAC地址下发到发送攻击报告的无线接入点AP的动态黑名单。而在第一次攻击报告后经过第一预定时长10s内,未接收到合法客户端关联的无线接入点AP发送的任何攻击报告,则表明攻击者是仿冒者,且攻击者和合法客户端不在同一物理信号范围,记录发现仿冒者日志。
本发明还包括:
信道切换单元,用于当所述攻击者的源MAC地址所对应的无线接入点AP为合法客户端关联的无线接入点AP时,通知所述无线接入点AP进行信道切换操作。
由于攻击者并没有和其源MAC地址所对应的无线接入点AP关联,此时攻击者无法接收到信道切换Element,因此攻击者会仍攻击一个无效的信道,直到重新扫描无线接入点AP的Beacon信息。因此对于切换后的信道来说,攻击者则停止了攻击。
所述仿冒日志单元,进一步用于在所述信道切换单元完成信道切换后,如攻击者停止攻击时长超过第二预定时长,则确定攻击者为仿冒者并更新仿冒者日志。所述第二预定时长为本领域普通技术人员根据系统需要及相关经验进行选取,通常设定为200ms。
也就是说经过了200ms攻击者仍然没有进行攻击,则认定攻击者为仿冒者。此时并不需要将攻击者所使用的源MAC地址下发到其源MAC地址所对应的无线接入点AP的动态黑名单,因为作为仿冒者,其很有可能会更换源MAC地址再次进行攻击。
所述动态操作单元,进一步用于在所述信道切换单元完成信道切换后,如攻击者停止攻击时长没有超过第二预定时长,则确定攻击者为合法客户端本身,将合法客户端所使用的源MAC地址下发到合法客户端关联的无线接入点AP的动态黑名单,并强制合法客户端下线。
因为合法客户端是和无线接入点AP是真实关联的,所以可以在预定时间二(200ms)内接收到信道切换的Element,因此如果合法客户端就是攻击者的话,其不会在预定时间二(200ms)内停止攻击。
为进一步说明本发明技术方案,下面通过另一个具体的实施方式进行说明。
参看图3,合法客户端通过其关联的无线接入点AP访问网络,而一仿冒者也通过同一无线接入点AP访问网络,所述无线接入点AP被一无线控制器AC管理控制。当仿冒者通过该无线接入点AP对网络发动攻击,攻击报告来自合法客户端关联的无线接入点AP,对该无线接入点AP进行信道切换操作,切换到下一个可用信道。由于攻击者并没有真正和所述无线接入点AP关联,此时攻击者无法接收到信道切换Element,对于切换后的信道来说,攻击者停止了攻击。如攻击者停止攻击超过第二预定时长200ms,则认定攻击者为仿冒者,记录发现仿冒者日志。并不需要将攻击者所使用的源MAC地址下发到无线接入点AP的动态黑名单。而当合法客户端发动攻击时,由于合法客户端是和无线接入点AP真实关联的,所以可以在第二预定时长200ms内接收到信道切换的Element,其仍会继续攻击。此时将合法客户端所使用的源MAC地址下发到客户端关联的无线接入点AP的动态黑名单,并强制客户端下线。
本发明还包括:
静默处理单元,用于在所述信道切换单元进行信道切换的次数在第三预定时长内超过预设阈值一或者无可用信道时,发送单播Beacon帧给所述客户端关联的无线接入点AP,并携带预设静默期Quiet Element。所述预定时间三为本领域普通技术人员根据系统需要及相关经验进行选取,通常设定为30s。所述预设阈值一为本领域普通技术人员根据系统需要及相关经验进行选取,通常设定为3次。所述预设静默期通常为1s。
仿冒日志单元,进一步用于如在静默期内攻击未停止,则确定攻击者为仿冒者并更新仿冒者日志。
这是由于攻击者并没有真正和所述无线接入点AP关联,此时攻击者无法接收到静默期为1s的Quiet Element,所以其攻击并不会停止。
动态操作单元,进一步用于如在静默期内攻击未停止,将攻击者所使用的源MAC地址以及与该源MAC地址对应的第一老化时间下发到所述客户端关联的无线接入点AP的动态黑名单中,其中所述第一老化时间比动态黑名单中默认老化时间更短。所述第一老化时间通常为10s。第一老化时间10s后客户端仍可以使用加入第一老化时间动态黑名单的源MAC地址。
这是因为信道切换操作会影响该无线接入点AP的所有合法关联客户端,而频繁的切换信道或者找不到可用信道的时候,将仿冒者使用的源MAC地址下发到所述无线接入点AP的比默认老化时间更短的第一老化时间动态黑名单。而仿冒者发现其使用的源MAC地址被加入第一老化时间动态黑名单后,其通常会改变源MAC地址。本发明采用第一老化时间动态黑名单,其老化时间比默认老化时间短,避免仿冒者使用所述源MAC地址发动攻击的同时,相比于正常老化时间的动态黑名单减少了使用与仿冒者相同的源MAC地址的合法客户端的被禁止访问网络的时间。
动态操作单元,进一步用于如在静默期内攻击停止,则确定攻击者为合法客户端本身,将合法客户端所使用的源MAC地址下发到合法客户端关联的无线接入点AP的动态黑名单,并强制合法客户端下线。这是由于客户端是和无线接入点AP真实关联的,所以会在静默期内停止攻击。
所述动态操作单元,进一步用于如攻击者使用同一源MAC地址的攻击次数超过预设阈值二,则将所述源MAC地址下发到发送攻击报告的无线接入点AP的动态黑名单。所述预设阈值二为本领域普通技术人员根据系统需要及相关经验进行选取,通常设定为3次。
参看图4,本发明还提供一种无线攻击检测及防御方法,应用于无线控制器AC上,所述无线控制器AC用于管理无线接入点AP。包括:
报告接收步骤,接收各个无线接入点AP上报的攻击报告并确定攻击报告中作为攻击者的源MAC地址。
来源判断步骤,判断所述攻击者的源MAC地址所对应的无线接入点AP是否是合法客户端关联的无线接入点AP。
动态操作步骤,在所述攻击者的源MAC地址所对应的无线接入点AP并非合法客户端关联的无线接入点AP时,将该攻击者所使用的源MAC地址下发到发送攻击报告的无线接入点AP的动态黑名单中。
本发明还包括:
仿冒日志步骤,在完成动态黑名单操作后,如在第一预定时长内并未接收到合法客户端关联的无线接入点AP上报的攻击报告,则确定该攻击者为仿冒者并更新仿冒者日志;
下线操作步骤,进一步包括如在第一预定时长内接收到合法客户端关联的无线接入点AP上报的攻击报告,则确定该攻击者为合法客户端本身,将合法客户端所使用的源MAC地址下发到合法客户端关联的无线接入点AP的动态黑名单,并强制合法客户端下线。
本发明还包括:
信道切换步骤,当所述攻击者的源MAC地址所对应的无线接入点AP为合法客户端关联的无线接入点AP时,通知所述无线接入点AP进行信道切换操作;
所述仿冒日志步骤,进一步包括在所述信道切换单元完成信道切换后,如攻击者停止攻击时长超过第二预定时长,则确定攻击者为仿冒者并更新仿冒者日志;
所述下线操作步骤,进一步包括在所述信道切换单元完成信道切换后,如攻击者停止攻击时长没有超过第二预定时长,则确定攻击者为合法客户端本身,将合法客户端所使用的源MAC地址下发到合法客户端关联的无线接入点AP的动态黑名单,并强制合法客户端下线。
本发明还包括:
静默处理步骤,在所述信道切换步骤中进行信道切换的次数在第三预定时长内超过预设阈值一或者无可用信道时,发送单播Beacon帧给所述客户端关联的无线接入点AP,并携带预设静默期Quiet Element;
所述仿冒日志步骤,进一步包括如在静默期内攻击未停止,则确定攻击者为仿冒者并更新仿冒者日志;
所述动态操作步骤,进一步包括如在静默期内攻击未停止,将攻击者所使用的源MAC地址以及与该源MAC地址对应的第一老化时间下发到所述客户端关联的无线接入点AP的动态黑名单中,所述第一老化时间比动态黑名单中默认老化时间更短;
所述下线操作步骤,进一步包括如在静默期内攻击停止,则确定攻击者为合法客户端本身,将合法客户端所使用的源MAC地址下发到合法客户端关联的无线接入点AP的动态黑名单,并强制合法客户端下线。
本发明所述动态操作步骤,进一步包括如攻击者使用同一源MAC地址的攻击次数超过预设阈值二,则将所述源MAC地址下发到发送攻击报告的无线接入点AP的动态黑名单。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1.一种无线攻击检测及防御装置,应用于无线控制器AC上,所述无线控制器AC用于管理无线接入点AP,其特征在于,包括:
报告接收单元,用于接收各个无线接入点AP上报的攻击报告并确定攻击报告中作为攻击者的源MAC地址;
来源判断单元,用于判断所述攻击者的源MAC地址所对应的无线接入点AP是否是合法客户端关联的无线接入点AP;
动态操作单元,用于在所述攻击者的源MAC地址所对应的无线接入点AP并非合法客户端关联的无线接入点AP时,将该攻击者所使用的源MAC地址下发到发送攻击报告的无线接入点AP的动态黑名单中;
仿冒日志单元,用于在所述动态操作单元完成动态黑名单操作后,如在第一预定时长内并未接收到合法客户端关联的无线接入点AP上报的攻击报告,则确定该攻击者为仿冒者并更新仿冒者日志。
2.如权利要求1所述的无线攻击检测及防御装置,其特征在于,
所述动态操作单元,进一步用于如在第一预定时长内接收到合法客户端关联的无线接入点AP上报的攻击报告,则确定该攻击者为合法客户端本身,将合法客户端所使用的源MAC地址下发到合法客户端关联的无线接入点AP的动态黑名单,并强制合法客户端下线。
3.如权利要求2所述的无线攻击检测及防御装置,其特征在于,还包括:
信道切换单元,用于当所述攻击者的源MAC地址所对应的无线接入点AP为合法客户端关联的无线接入点AP时,通知所述无线接入点AP进行信道切换操作;
所述仿冒日志单元,进一步用于在所述信道切换单元完成信道切换后,如攻击者停止攻击时长超过第二预定时长,则确定攻击者为仿冒者并更新仿冒者日志;
所述动态操作单元,进一步用于在所述信道切换单元完成信道切换后,如攻击者停止攻击时长没有超过第二预定时长,则确定攻击者为合法客户端本身,将合法客户端所使用的源MAC地址下发到合法客户端关联的无线接入点AP的动态黑名单,并强制合法客户端下线。
4.如权利要求3所述的无线攻击检测及防御装置,其特征在于,还包括:
静默处理单元,用于在所述信道切换单元进行信道切换的次数在第三预定时长内超过预设阈值一或者无可用信道时,发送单播Beacon帧给所述客户端关联的无线接入点AP,并携带预设静默期Quiet Element;
所述仿冒日志单元,进一步用于如在静默期内攻击未停止,则确定攻击者为仿冒者并更新仿冒者日志;
所述动态操作单元,进一步用于如在静默期内攻击未停止,将攻击者所使用的源MAC地址以及与该源MAC地址对应的第一老化时间下发到所述客户端关联的无线接入点AP的动态黑名单中,其中所述第一老化时间比动态黑名单中默认老化时间更短;
所述动态操作单元,进一步用于如在静默期内攻击停止,则确定攻击者为合法客户端本身,将合法客户端所使用的源MAC地址下发到合法客户端关联的无线接入点AP的动态黑名单,并强制合法客户端下线。
5.如权利要求4所述的无线攻击检测及防御装置,其特征在于,所述动态操作单元,进一步用于如攻击者使用同一源MAC地址的攻击次数超过预设阈值二,则将所述源MAC地址下发到发送攻击报告的无线接入点AP的动态黑名单。
6.一种无线攻击检测及防御方法,应用于无线控制器AC上,所述无线控制器AC用于管理无线接入点AP,其特征在于,包括:
报告接收步骤,接收各个无线接入点AP上报的攻击报告并确定攻击报告中作为攻击者的源MAC地址;
来源判断步骤,判断所述攻击者的源MAC地址所对应的无线接入点AP是否是合法客户端关联的无线接入点AP;
动态操作步骤,在所述攻击者的源MAC地址所对应的无线接入点AP并非合法客户端关联的无线接入点AP时,将该攻击者所使用的源MAC地址下发到发送攻击报告的无线接入点AP的动态黑名单中;
仿冒日志步骤,在完成动态黑名单操作后,如在第一预定时长内并未接收到合法客户端关联的无线接入点AP上报的攻击报告,则确定该攻击者为仿冒者并更新仿冒者日志。
7.如权利要求6所述的无线攻击检测及防御方法,其特征在于,还包括:
下线操作步骤,如在第一预定时长内接收到合法客户端关联的无线接入点AP上报的攻击报告,则确定该攻击者为合法客户端本身,将合法客户端所使用的源MAC地址下发到合法客户端关联的无线接入点AP的动态黑名单,并强制合法客户端下线。
8.如权利要求7所述的无线攻击检测及防御方法,其特征在于,还包括:
信道切换步骤,当所述攻击者的源MAC地址所对应的无线接入点AP为合法客户端关联的无线接入点AP时,通知所述无线接入点AP进行信道切换操作;
所述仿冒日志步骤,进一步包括在所述信道切换单元完成信道切换后,如攻击者停止攻击时长超过第二预定时长,则确定攻击者为仿冒者并更新仿冒者日志;
所述下线操作步骤,进一步包括在所述信道切换单元完成信道切换后,如攻击者停止攻击时长没有超过第二预定时长,则确定攻击者为合法客户端本身,将合法客户端所使用的源MAC地址下发到合法客户端关联的无线接入点AP的动态黑名单,并强制合法客户端下线。
9.如权利要求8所述的无线攻击检测及防御方法,其特征在于,还包括:
静默处理步骤,在所述信道切换步骤中进行信道切换的次数在第三预定时长内超过预设阈值一或者无可用信道时,发送单播Beacon帧给所述客户端关联的无线接入点AP,并携带预设静默期Quiet Element;
所述仿冒日志步骤,进一步包括如在静默期内攻击未停止,则确定攻击者为仿冒者并更新仿冒者日志;
所述动态操作步骤,进一步包括如在静默期内攻击未停止,将攻击者所使用的源MAC地址以及与该源MAC地址对应的第一老化时间下发到所述客户端关联的无线接入点AP的动态黑名单中,所述第一老化时间比动态黑名单中默认老化时间更短;
所述下线操作步骤,进一步包括如在静默期内攻击停止,则确定攻击者为合法客户端本身,将合法客户端所使用的源MAC地址下发到合法客户端关联的无线接入点AP的动态黑名单,并强制合法客户端下线。
10.如权利要求9所述的无线攻击检测及防御方法,其特征在于,所述动态操作步骤,进一步包括如攻击者使用同一源MAC地址的攻击次数超过预设阈值二,则将所述源MAC地址下发到发送攻击报告的无线接入点AP的动态黑名单。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310296963.6A CN103391546B (zh) | 2013-07-12 | 2013-07-12 | 一种无线攻击检测及防御装置及其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310296963.6A CN103391546B (zh) | 2013-07-12 | 2013-07-12 | 一种无线攻击检测及防御装置及其方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103391546A CN103391546A (zh) | 2013-11-13 |
| CN103391546B true CN103391546B (zh) | 2017-03-15 |
Family
ID=49535686
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310296963.6A Active CN103391546B (zh) | 2013-07-12 | 2013-07-12 | 一种无线攻击检测及防御装置及其方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103391546B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104753862A (zh) | 2013-12-27 | 2015-07-01 | 华为技术有限公司 | 一种提高网络安全性的方法及装置 |
| CN105991628A (zh) * | 2015-03-24 | 2016-10-05 | 杭州迪普科技有限公司 | 网络攻击的识别方法和装置 |
| CN106211161B (zh) * | 2016-06-23 | 2021-04-02 | 新华三技术有限公司 | 一种设备反制方法及装置 |
| CN107872359A (zh) * | 2016-09-28 | 2018-04-03 | 华为数字技术(苏州)有限公司 | 网络健康度评估方法、装置和系统 |
| CN108512852A (zh) * | 2018-04-04 | 2018-09-07 | 中山大学 | 一种无线网络环境下终端身份信息保护系统及方法 |
| CN109195167B (zh) * | 2018-09-28 | 2020-12-18 | 深圳大学 | 无线能量传输通信网络的加塞攻击防御方法及系统 |
| CN109561109A (zh) * | 2019-01-16 | 2019-04-02 | 新华三技术有限公司 | 一种报文处理方法及装置 |
| CN110620794A (zh) * | 2019-10-31 | 2019-12-27 | 国网河北省电力有限公司电力科学研究院 | 一种预防mac地址泛洪攻击的方法及装置 |
| CN112839015B (zh) * | 2019-11-25 | 2022-08-19 | 杭州萤石软件有限公司 | 攻击Mesh节点检测方法、装置及系统 |
| US20240134971A1 (en) * | 2022-10-19 | 2024-04-25 | Samsung Electronics Co., Ltd. | Method and system for computational storage attack reduction |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101079741A (zh) * | 2007-06-29 | 2007-11-28 | 杭州华三通信技术有限公司 | 接入点,接入控制器以及监控非法接入的方法 |
| CN103067922A (zh) * | 2013-01-24 | 2013-04-24 | 中兴通讯股份有限公司 | 无线局域网防范非法接入点的方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8730853B2 (en) * | 2008-09-05 | 2014-05-20 | Mediatek Inc. | Methods for responding to co-located coexistence (CLC) request from a mobile electronic device and communications apparatuses capable of controlling multi-radio coexistence |
-
2013
- 2013-07-12 CN CN201310296963.6A patent/CN103391546B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101079741A (zh) * | 2007-06-29 | 2007-11-28 | 杭州华三通信技术有限公司 | 接入点,接入控制器以及监控非法接入的方法 |
| CN103067922A (zh) * | 2013-01-24 | 2013-04-24 | 中兴通讯股份有限公司 | 无线局域网防范非法接入点的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103391546A (zh) | 2013-11-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103391546B (zh) | 一种无线攻击检测及防御装置及其方法 | |
| Hussain et al. | Privacy attacks to the 4G and 5G cellular paging protocols using side channel information | |
| Min et al. | Secure cooperative sensing in IEEE 802.22 WRANs using shadow fading correlation | |
| CN113170307B (zh) | 检测和响应寻呼信道攻击的方法和系统 | |
| Abdelrahman et al. | Signalling storms in 3G mobile networks | |
| US20120266242A1 (en) | Apparatus and method for defending distributed denial of service attack from mobile terminal | |
| CN104883680B (zh) | 一种数据保护方法以及用户端 | |
| CN104767713B (zh) | 账号绑定的方法、服务器及系统 | |
| US9203856B2 (en) | Methods, systems, and computer program products for detecting communication anomalies in a network based on overlap between sets of users communicating with entities in the network | |
| JP2010273205A (ja) | 無線lanアクセスポイント装置、不正マネジメントフレーム検出方法 | |
| WO2012018395A3 (en) | System, method and program for detecting anomalous events in a utility network | |
| CN104754533B (zh) | 一种短信拦截的方法、装置及终端 | |
| CN106790299B (zh) | 一种在无线接入点ap上应用的无线攻击防御方法和装置 | |
| CN108012271B (zh) | 一种伪基站发现方法及装置 | |
| RU2012116646A (ru) | Мобильная станция | |
| Gasior et al. | Exploring covert channel in android platform | |
| US8839406B2 (en) | Method and apparatus for controlling blocking of service attack by using access control list | |
| CN109275144A (zh) | 识别伪基站的方法、装置及终端 | |
| WO2014094489A1 (en) | Preventing clients from accessing a rogue access point | |
| Karani et al. | Implementation and design issues for using Bluetooth low energy in passive keyless entry systems | |
| US11689928B2 (en) | Detecting unauthorized access to a wireless network | |
| KR101256459B1 (ko) | 피싱 방지 장치 및 방법 | |
| CN107548065A (zh) | 一种检测设备的确定方法、装置、接入控制器及存储介质 | |
| Nazerian et al. | Passive iot device fingerprinting using wifi | |
| CN109067764A (zh) | 一种建立设备表项的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |