CN104333862A

CN104333862A - 一种无线局域网细粒度管控方法

Info

Publication number: CN104333862A
Application number: CN201310308447.0A
Authority: CN
Inventors: 朱大立; 冯维淼; 祁峰; 朱海涛; 范伟; 张超; 闫国星
Original assignee: Institute of Information Engineering of CAS
Current assignee: Institute of Information Engineering of CAS
Priority date: 2013-07-22
Filing date: 2013-07-22
Publication date: 2015-02-04
Anticipated expiration: 2033-07-22
Also published as: CN104333862B

Abstract

本发明公开了一种无线局域网细粒度管控方法，本方法为：1）采用一无线拓扑透视扫描模块扫描待管控无线局域网的无线拓扑结构；2）阻断帧发射模块根据无线拓扑结构建立一阻断接入点列表和一阻断终端列表；3）阻断帧发射模块根据所需阻断方式向所设定待阻断的接入点和终端循环发送相应的阻断帧。如果所需阻断方式为去关联的阻断方式，设置帧前同步，将待阻断AP和STA的MAC地址填充到帧头信息中，生成管理帧；如果是去认证的阻断方式，则设置帧前同步，设置指定的AP和STA的MAC地址，将待阻断的AP和STA的MAC地址填充到帧头信息中，生成管理帧。本发明能够针对指定的非授权接入点或终端发送阻断帧，有效地进行细粒度的管控。

Description

一种无线局域网细粒度管控方法

技术领域

本发明属于无线局域网（WLAN：Wireless Local Area Networks）技术领域，涉及一种无线局域网管控方法，尤其涉及一种基于去关联、去认证技术的细粒度无线局域网管控方法。

背景技术

无线局域网络由无线网络卡（NIC）、无线接入点(AP)、计算机以及其他网络设备组成。无线网卡可以将PC机或其他设备与无线网络进行连接，而无线接入点是将多个无线终端聚合到有线的网络上。无线局域网络采用电磁波作为载体，是采用射频技术进行网络连接及传输的开放式物理系统，这种开放性质决定了它在提供了联网的便利性的同时，也使得它难以限制网络资源的物理访问，所以它比有线网络在安全性能上更加脆弱。

由于无线局域网存在一定安全隐患，因此，一些单位、场所需要对无线局域网实时监控，并进行细粒度的管控，即针对传输信道、无线接入点和无线终端设置相同或不同的管控策略，避免内部无线局域网的非授权接入、搭建和本地设备非授权接入外部无线局域网。已有文献使用射频干扰攻击（RF Jamming Attack）技术对无线局域网的信道进行阻断，该攻击通过发出干扰射频实现破坏无线通信的目的。如WenyuanXu等于2005年在“The feasibility oflaunching and detecting jamming attacks in wireless networks”中提出无线局域网中射频干扰攻防关键技术和模型。在军队和一些特殊部门，信道干扰技术也是重要的研究方向。

在无线局域网管控中使用射频干扰技术管控存在一定缺陷。首先，射频干扰只能针对特定信道频段进行全阻断，不能针对无线接入点和无线终端进行细粒度的管控；其次，射频干扰需要使用大功率覆盖干扰，对干扰效果的距离限制较大，同时对人体也有伤害。

去关联（Disassociation Flood）和去认证（Deauthentication Flood）是两种基于协议和身份缺陷的拒绝服务（Denial of Service attacks，DoS）攻击技术。B.Aslam等于2006年在“802.11Disassociation DoS Attack and ItsSolution:A Survey”中提出无线局域网中拒绝服务攻击的常见解决方案，主要是通过延迟执行、增加认证过程等方法，但都存在影响正常无线局域网切换、认证可被伪造、无线接入性能变差等问题。因此，去关联和去认证是有效的无线局域网细粒度阻断方法。

发明内容

针对现有技术中存在的技术问题，本发明的目的在于提供一种无线局域网管控方法。通过协议分析获取场所无线拓扑结构，并实时显示。针对场所内2.4GHz频段和5.8GHz频段的无线接入点和终端，本发明的阻断帧发射模块伪装成接入点或终端，持续发送符合802.11协议的去关联、去认证帧，达到对非授权接入者全面的细粒度的阻断。由于去关联、去认证发送的帧是通知性的，不是请求性的，因此无线接入点或终端收到后无法拒绝。同时去关联、去认证帧既可以广播发送，也可以针对非授权接入者（比如单一接入点或终端，具体接入点或终端由管理员设定）发送，能够有效地进行细粒度的管控。

本发明的技术方案为：

一种无线局域网细粒度管控方法，其步骤为：

1）采用一无线拓扑透视扫描模块扫描待管控无线局域网的无线拓扑结构；

2）阻断帧发射模块根据所述无线拓扑结构建立一阻断接入点列表和一阻断终端列表，用于设定待阻断的接入点和终端；

3）阻断帧发射模块根据所需阻断方式向所设定待阻断的接入点和终端循环发送相应的阻断帧。

进一步的，如果所需阻断方式为去关联的阻断方式，设置帧前同步，根据去关联帧的格式初始化帧头，将待阻断的AP和STA的MAC地址填充到帧头信息中，生成完整的管理帧；如果是去认证的阻断方式，则设置帧前同步，根据去认证帧的格式初始化相应的帧头，设置指定的AP和STA的MAC地址，将待阻断的AP和STA的MAC地址填充到帧头信息中，生成完整的管理帧，即所述阻断帧。

进一步的，所述阻断帧发射模块内设有一阻断帧发送时间分配策略，其方法为：按照每个信道内接入点和终端数量，分配循环发送阻断帧时每个信道的时间片，设一次循环的总时间为T，信道i分配的时间t_i=T*(k*N_AP+N_STA)/(k*Sum_AP+Sum_STA)；其中，N_AP为信道i内的接入点数量，N_STA表示信道i内的终端数量，Sum_AP和Sum_STA表示所有待阻断的接入点和终端总量，T=t₁+t₂+...+t_n，n为存在待阻断设备的信道总数，k为一经验参数。

进一步的，所述阻断帧发送时间分配策略对信道中的待阻断设备分配一阻断时间t_ix，t_ix=t_i*(1/P_i)/(1/P₁+1/P₂+...+1/P_m），x取值为1～m，t_i为待阻断设备所在信道的阻断时间，该信道上的待阻断设备的强度分别为P₁，P₂，...，P_m，m为该信道待阻断设备数量。

进一步的，在单个信道内，针对待阻断的接入点，阻断帧发射模块伪装成该接入点发送广播阻断帧；针对待阻断的终端，阻断帧发射模块伪装成该终端，向该终端连接的接入点发送阻断帧。

进一步的，所述无线拓扑透视扫描模块和所述阻断帧发射模块为同一块嵌入式主板，无线拓扑透视扫描模块在扫描的间隔时期发送阻断帧。

进一步的，获取所述无线拓扑结构的方法为：

71）无线拓扑透视扫描模块被动监听接入点发出的Beacon帧，从中解析出接入点的信息；当发现Beacon帧中存在服务标识集SSID为空时，无线拓扑透视扫描模块的网卡开始主动扫描待管控无线局域网，发送Probe Request广播帧；无线拓扑透视扫描模块接收隐藏接入点返回的Probe Response帧后对其进行解析并获取该隐藏接入点信息，判断该隐藏接入点是否已存在于接入点列表中，如果不存在则将其加入接入点列表；

72）无线拓扑透视扫描模块获取无线空间中的数据帧，通过解析数据帧获取发送方和接收方的MAC地址，得到接入点和终端的信息以及它们之间的拓扑关系；判断终端是否已存在于某一接入点终端列表中，如果不存在则将其加入对应接入点终端列表；

73）无线拓扑透视扫描模块根据上述扫描结果，汇总生成待管控无线局域网的无线接入点和终端信息，以及它们之间的连接拓扑结构。

进一步的，所述无线拓扑结构包括待管控无线局域网内所有无线接入点和终端的信息，包括无线接入点的服务标识集SSID、所处信道、MAC地址、信号强度，无线终端的名称、MAC地址、网卡型号，以及接入点和终端的连接状态。

进一步的，所述阻断接入点列表包括接入点的基本信息、信号强度、所处信道；所述阻断终端列表包括终端的基本信息、信号强度、所处信道；所述阻断接入点列表中通过链表的方式记录每个接入点接入的终端集合，阻断终端列表中记录终端所连的接入点。

进一步的，在阻断终端列表中，如果一个终端所连的接入点在阻断接入点列表中，则将此条终端记录从阻断终端列表中删除；将阻断终端列表中的接入点和阻断终端列表中的终端分别按所处信道号升序排序；阻断帧发射模块实施阻断时按信道跳频循环发送阻断帧。

与现有技术相比，本发明的积极效果为：

本发明能够针对指定的非授权接入点或终端发送阻断帧，因而能够有效地进行细粒度的管控。本方法装置的硬件实现可使用普通网卡，发射功率不高于正常的计算机设备，对人体没有危害。本方法管控范围较大，无遮挡下工作距离大于100米。

附图说明

图1本发明方法流程图；

图2无线拓扑透视流程图；

图3数据帧结构；

图4阻断策略流程图；

图5阻断接入点和终端列表结构；

图6WLAN阻断流程图。

具体实施方式

下面结合附图对本发明进行详细描述。

本发明的阻断装置包括无线拓扑透视扫描模块、阻断帧发射模块，扫描模块和阻断帧发射模块既可以是同一块嵌入式主板，也可以分开使用的两块或更多嵌入式主板。采用同一块嵌入式主板时，扫描模块在扫描的间隔时期发送阻断帧，以提高阻断效果。本发明方法流程如图1所示，本方法对无线局域网的细粒度管控分为以下3个流程模块。

1）无线拓扑透视

无线拓扑透视是指通过透视、扫描的方法，获取场所无线局域网内的所有无线接入点和终端的信息，包括无线接入点的服务标识集（SSID：Service Set Identifier）、所处信道、MAC地址、信号强度，无线终端的名称、MAC地址、网卡型号，以及接入点和终端的连接状态。具体流程如图2所示。

无线拓扑透视扫描模块初始化，包括初始化硬件设备的参数和软件的各种统计信息数据结构。设置扫描次数，这里分两种情况：使用多块网卡多信道并行扫描，则一次拓扑透视的扫描次数设置较大；使用单网卡多信道循环扫描，则扫描次数设置较小，以确保循环扫描一个信道的周期较小（小于0.1s），满足扫描的实时性需求。

逐个信道或并行的扫描2.4G Hz范围和5.8G Hz范围的无线信道，在我国2.4GHz的无线信道共13个，5.8GHz的无线信道共5个。由于2.4GHz与5.8GHz的扫描监听流程类似，这里只描述2.4GHz的主要流程，包括Beacon帧监听解析和数据帧抓取解析两个部分。

大部分接入点会广播自己的SSID，以便于终端接入。因此被动监听Beacon帧就可以从中解析出接入点的SSID和其它信息。当无线拓扑透视扫描模块发现Beacon帧中存在SSID为空的情况，即有接入点隐藏其SSID，本发明无线拓扑透视扫描模块的网卡开始主动扫描，发送Probe Request广播帧。隐藏的接入点收到后，会发送Probe Response帧，无线拓扑透视扫描模块接收到Probe Response帧后进行解析并获取SSID等所需的信息。判断接入点是否已存在于接入点列表的Buffer中，不存在则加入。

将无线拓扑透视扫描模块的网卡设置为混杂模式进行网络嗅探，获取无线空间中的数据帧。数据帧中MAC地址、速率等信息是非加密的，可通过解析数据帧获取发送方和接收方的MAC地址，从而分析出接入点和终端的信息以及它们之间的拓扑关系。判断终端是否已存在于某一接入点终端列表的Buffer中，不存在则加入对应接入点终端列表中。根据上述扫描结果，汇总生成无线环境的无线接入点和终端信息，以及它们之间的连接拓扑关系图。如需实时扫描更新，则循环扫描监听。

对数据帧的解析依据802.11标准中数据帧的结构定义，如图3所示。

2）阻断策略制定

阻断策略制定的流程如图4所示。

针对上一步骤中无线局域网的拓扑透视结果，用户可以通过设置黑名单或白名单的方式，确定下一步阻断的阻断接入点列表和阻断终端列表。将待阻断的接入点和终端分别按所处信道号升序排序，便于实施阻断时按信道跳频循环发送阻断帧。具体数据结构如图5所示，阻断接入点列表和阻断终端列表的内容分别包括接入点和终端的基本信息、信号强度、所处信道，阻断接入点列表中通过链表的方式记录每个接入点接入的终端集合，阻断终端列表中也记录所连的接入点。在阻断终端列表中，如果一个终端所连的接入点在阻断接入点列表中，可将此条终端记录从阻断终端列表中删除（阻断了该接入点后，终端就无法通信，无需再针对该终端重复发送阻断帧）。

当待阻断的接入点、终端数量较大时，由于阻断帧发射模块需要对大量设备按照信道循环发送阻断帧，可能会影响阻断的效果。因此，需要制定阻断帧发送时间分配策略。

按照每个信道内接入点和终端数量，分配循环发送阻断帧时每个信道的时间片。时间片的长度和该信道内接入点、终端数量正相关。在阻断中，可以认为接入点阻断的重要性更高，在时间片分配的计算过程中，引入一个经验参数k。设一次循环的总时间为T，信道i分配的时间t_i=T*(k*N_AP+N_STA)/(k*Sum_AP+Sum_STA)

其中N_AP和N_STA表示信道i内的接入点和终端数量，Sum_AP和Sum_STA表示所有待阻断的接入点和终端总量。T=t₁+t₂+...+t_n其中n为存在待阻断设备的信道总数。

在单个信道内，阻断帧发射模块需要对信道内的每个待阻断设备发送阻断帧。针对待阻断的接入点，本方法通过修改MAC地址，将阻断帧发射模块伪装成该接入点发送广播阻断帧（目的MAC地址为广播地址），所有连入该接入点的终端收到后都会断开连接。针对待阻断的终端，同样将阻断帧发射模块伪装成该终端，向该终端连接的接入点发送阻断帧，不同的是阻断帧的目的MAC地址是该终端的MAC地址。

一些距离较远的接入点和终端接收不到阻断帧的概率较大，因此对距离远（强度低）的设备，应发送更多的阻断帧以确保阻断的效果。设某信道的阻断时间为t_i，该信道上的待阻断设备的强度分别为P₁，P₂，...，P_m，则该信道上的某设备的阻断时间t_ix=t_i*(1/P_i)/(1/P₁+1/P₂+...+1/P_m），x取值为1～m，m为该信道待阻断设备数量。根据上述计算结果，确定一个周期内对每个设备发送阻断帧的时间片长度，供下一步管控实施模块使用。

3）管控实施

本发明通过发送阻断帧管控特定接入点和终端，阻断中使用基于协议和身份缺陷的拒绝服务（Denial of Service attacks，DoS）攻击技术：去关联（Disassociation Flood）和去认证（Deauthentication Flood）。具体的阻断流程如图6所示。

首先对阻断帧发射模块进行初始化设置，包括设置阻断使用的无线网卡的工作方式，以及其他初始条件等。接下来定义指向设备结构体的指针，根据这个指针进行进一步的操作。

根据用户在阻断装置操作界面指定的阻断策略判断阻断方式。如果是去关联的阻断方式，设置阻断帧帧前同步，根据去关联帧的格式初始化帧头，设置指定的AP和STA的MAC地址；如果是去认证的阻断方式，则设置帧前同步，根据去认证帧的格式初始化相应的帧头，设置指定的AP和STA的MAC地址。最后根据上面设置的帧头信息填充相应的帧内容，生成完整的管理帧，即阻断帧。

接下来设置阻断帧发射模块的无线网卡的工作信道和发送功率，根据之前得到的网络拓扑信息设置要进行阻断工作的信道，可以是单一信道或者多个信道，发送功率根据用户在阻断装置操作界面设定功率值确定。发送的次数由前面的分配算法确定，每次发送之前检测状态参数，若状态结束则结束阻断，否则重新等待循环的参数。

Claims

1.一种无线局域网细粒度管控方法，其步骤为：

2.如权利要求1所述的方法，其特征在于如果所需阻断方式为去关联的阻断方式，设置帧前同步，根据去关联帧的格式初始化帧头，将待阻断的AP和STA的MAC地址填充到帧头信息中，生成完整的管理帧；如果是去认证的阻断方式，则设置帧前同步，根据去认证帧的格式初始化相应的帧头，设置指定的AP和STA的MAC地址，将待阻断的AP和STA的MAC地址填充到帧头信息中，生成完整的管理帧，即所述阻断帧。

3.如权利要求1所述的方法，其特征在于所述阻断帧发射模块内设有一阻断帧发送时间分配策略，其方法为：按照每个信道内接入点和终端数量，分配循环发送阻断帧时每个信道的时间片，设一次循环的总时间为T，信道i分配的时间t_i=T*(k*N_AP+N_STA)/(k*Sum_AP+Sum_STA)；其中，N_AP为信道i内的接入点数量，N_STA表示信道i内的终端数量，Sum_AP和Sum_STA表示所有待阻断的接入点和终端总量，T=t₁+t₂+...+t_n，n为存在待阻断设备的信道总数，k为一经验参数。

4.如权利要求3所述的方法，其特征在于所述阻断帧发送时间分配策略对信道中的待阻断设备分配一阻断时间t_ix，t_ix=t_i*(1/P_i)/(1/P₁+1/P₂+...+1/P_m），x取值为1～m，m为该信道待阻断设备数量，t_i为待阻断设备所在信道的阻断时间，该信道上的待阻断设备的强度分别为P₁，P₂，...，P_m。

5.如权利要求1或2或3所述的方法，其特征在于在单个信道内，针对待阻断的接入点，阻断帧发射模块伪装成该接入点发送广播阻断帧；针对待阻断的终端，阻断帧发射模块伪装成该终端，向该终端连接的接入点发送阻断帧。

6.如权利要求1或2或3所述的方法，其特征在于所述无线拓扑透视扫描模块和所述阻断帧发射模块为同一块嵌入式主板，无线拓扑透视扫描模块在扫描的间隔时期发送阻断帧。

7.如权利要求1或2或3所述的方法，其特征在于获取所述无线拓扑结构的方法为：

8.如权利要求1或2或3所述的方法，其特征在于所述无线拓扑结构包括待管控无线局域网内所有无线接入点和终端的信息，包括无线接入点的服务标识集SSID、所处信道、MAC地址、信号强度，无线终端的名称、MAC地址、网卡型号，以及接入点和终端的连接状态。

9.如权利要求1或2或3所述的方法，其特征在于所述阻断接入点列表包括接入点的基本信息、信号强度、所处信道；所述阻断终端列表包括终端的基本信息、信号强度、所处信道；所述阻断接入点列表中通过链表的方式记录每个接入点接入的终端集合，阻断终端列表中记录终端所连的接入点。

10.如权利要求9所述的方法，其特征在于在阻断终端列表中，如果一个终端所连的接入点在阻断接入点列表中，则将此条终端记录从阻断终端列表中删除；将阻断终端列表中的接入点和阻断终端列表中的终端分别按所处信道号升序排序；阻断帧发射模块实施阻断时按信道跳频循环发送阻断帧。