CN105611534B - 无线终端识别伪WiFi网络的方法及其装置 - Google Patents
无线终端识别伪WiFi网络的方法及其装置 Download PDFInfo
- Publication number
- CN105611534B CN105611534B CN201410692193.1A CN201410692193A CN105611534B CN 105611534 B CN105611534 B CN 105611534B CN 201410692193 A CN201410692193 A CN 201410692193A CN 105611534 B CN105611534 B CN 105611534B
- Authority
- CN
- China
- Prior art keywords
- wifi network
- network
- handshake
- wifi
- pseudo
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及无线网络领域,公开了一种无线终端识别伪WiFi网络的方法及其装置。本发明中,包括以下步骤:监测当前网络通信数据包中是否有四次握手包出现;如果出现四次握手包,则至少执行以下步骤之一或其组合:步骤A,判断该四次握手包中的握手信息是否与最近一次接入WiFi网络时所使用的握手信息一致,如果不一致,则判定当前的WiFi网络存在属于伪WiFi网络的风险;步骤B,接入WiFi网络后,获取到达指定IP地址的第一路由,判断该第一路由与最近一次接入WiFi网络时到达该指定IP地址的第二路由是否一致,如果不一致,则判定当前的WiFi网络存在属于伪WiFi网络的风险。对伪WiFi网络给出了更精准的识别方法,减少误判和漏判。
Description
技术领域
本发明涉及无线网络领域,特别涉及一种无线终端识别伪WiFi网络的技术。
背景技术
在有线网络中,数据包在物理链路上传递到目标节点,通常只有在通过有线直接接入到物理链路上或是在物理链路遭到破坏的情况下,数据才有可能泄露,恶意行为才有可能进行。而在无线网络中,数据通过无线电磁波传播,不需要特定的传播介质,只要在无线电波覆盖的范围内,终端节点都可以接收到无线信号从而获取数据,因此,数据泄漏和恶意行为更容易发生。伪WiFi的原理是构建一个虚假的由攻击者控制的网络接入点(AccessPoint,简称“AP”),吸引用户连接到该AP,从而可以拿到用户在网络上的所有数据流量,进行信息窃取和网络攻击行为(如木马植入,钓鱼页面等)。根据伪WiFi的使用方法不同,分为两种类型分别介绍:钓鱼型伪WiFi和攻击型伪WiFi。
钓鱼型伪WiFi:互联网中有钓鱼网站的存在,用户点击恶意链接,然后被链接到被篡改过的伪造网址网页,流量被劫持,应用也被篡改。在无线网络中,也存在类似的钓鱼网络,而且实施简单,成功率高。钓鱼型伪WiFi先建好了伪WiFi,在那里等待用户去连接,用户可以连接的类型只有空密码型和已知密码型的WiFi。攻击者伪造一个空密码型的WiFi网络,等待用户主动连接;或者,伪造一个简单密码的WiFi网络(类蜜罐),吸引一些喜欢猜密码或者使用蹭网工具的用户;还有,构建一个虚假的公用网络,如CMCC,iWuhan,KFC等,等待用户连接。
攻击型伪WiFi:用户已经连上了某一WiFi网络,但是攻击者构建一个跟真WiFi名称(SSID)密码(PSK)一模一样的伪WiFi,然后对用户发起断线拒绝服务攻击(De-auth DOS(Denial of Service))或是定向高功率信号干扰屏蔽(针对真AP信道做干扰而伪AP信道不受影响),用户会被强制断线并重连到虚假的伪WiFi。网络劫持实现,目标客户端所有的流量都会通过搭建的伪AP转发,同时使用原有的真WiFi线路进行传输,对无线带宽和用户体验几乎没有影响。目标客户端会在不经意间被劫持到伪WiFi上,而且被劫持时几乎不会有任何察觉(短暂断网可能存在)。
现有技术中,空密码WiFi识别的主要问题是,对于运营商网络(CMCC)等,其前端提供的都是空密码接入(用户手机上显示的是开放网络),打开浏览器后才会输入账号密码信息,此时单纯空密码识别会有误判;若是取消运营商网络空密码识别,则会产生漏判。攻击者可以伪装一个空密码的CMCC,然后当用户连接打开浏览器后,推送一个虚假的钓鱼登陆页面,套取用户的账号密码信息。
识别伪WiFi的网络接入点的路由器设备型号(设备MAC地址前三个字节OUI可以用来识别厂商),主要针对公用网络/运营商网络,原理是同一区域部署的路由器应该是同一批次采购的同一型号路由器;识别空密码WiFi,主要针对一般的钓鱼WiFi,原理是空密码的WiFi多半都是假的。
设备型号识别存在一个很大的问题,攻击者可以采用相同的设备型号,或是直接修改MAC地址让用户误判为相同型号设备,此时该方法失效。攻击者可以扫描当前所有AP的MAC地址,直接将攻击设备的MAC前三字节OUI,修改为和真WiFi设备相同,操作简单易行且不易发现。
因此,现有技术方案主要是针对钓鱼型伪WiFi的识别,而攻击型伪WiFi的识别没有成熟的方案。攻击型伪WiFi是在用户已经连接一个真实WiFi网络后,通过攻击行为强制让用户切换到伪WiFi线路,现有技术方案无法识别。
发明内容
本发明的目的在于提供一种无线终端识别伪WiFi网络的方法及其装置,对伪WiFi网络给出了更精准的识别方法,减少误判和漏判。
为解决上述技术问题,本发明的实施方式公开了一种无线终端识别伪WiFi网络的方法,包括以下步骤:
监测当前网络通信数据包中是否有四次握手包出现;如果出现四次握手包,则至少执行以下步骤之一或其组合:
步骤A,判断该四次握手包中的握手信息是否与最近一次接入WiFi网络时所使用的握手信息一致,如果不一致,则判定当前WiFi网络存在属于伪WiFi网络的风险;
步骤B,接入WiFi网络后,获取到达指定IP地址的第一路由,判断该第一路由与最近一次接入WiFi网络时到达该指定IP地址的第二路由是否一致,如果不一致,则判定当前WiFi网络存在属于伪WiFi网络的风险。
本发明的实施方式还公开了一种无线终端识别伪WiFi网络的装置,包括:
握手包监测单元,用于监测当前网络通信数据包中是否有四次握手包出现;
第一识别单元,当握手监测单元监测到网络数据包中出现四次握手包时,则判断该四次握手包中的握手信息是否与最近一次接入WiFi网络时所使用的握手信息一致,如果不一致,则判定当前WiFi网络存在属于伪WiFi网络的风险;
第二识别单元,当握手监测单元监测到网络数据包中出现四次握手包时,接入WiFi网络后,获取到达指定IP地址的第一路由,则判断该第一路由与最近一次接入WiFi网络时到达该指定IP地址的第二路由是否一致,如果不一致,则判定当前WiFi网络存在属于伪WiFi网络的风险。
本发明实施方式与现有技术相比,主要区别及其效果在于:
无线终端在接入WiFi网络时,通过监测WiFi网络连接过程中的连接数据包和接入WiFi网络后的路由信息,对伪WiFi网络给出了更精准的识别方法,减少误判和漏判。
进一步地,在连接前对网络环境进行监测,主要实现对空密码的伪WiFi网络和同一网络名称不同MAC地址的伪WiFi网络进行识别,实现对网络连接前、连接中和连接后的协同监测,尽量减少误报和漏报。
进一步地,对运营商网络来说,除了简单的开放网络剔除外,还有Phase2认证协议联合监测,减少误报漏报。
进一步地,对公司漫游网络等来说,除了简单的开放网络剔除外,还有EAP认证协议联合监测,减少误报漏报。
附图说明
图1是本发明第一实施方式中一种无线终端识别伪WiFi网络的方法的流程示意图;
图2是本发明一种优选实施方式中无线终端识别伪WiFi网络的过程图;
图3是本发明一种优选实施方式中连接前网络环境监测的流程图;
图4是本发明一种优选实施方式中连接中认证过程监测的流程图;
图5是本发明一种优选实施方式中运行时网络路由监测的流程图;
图6是本发明第二实施方式中一种无线终端识别伪WiFi网络的装置的结构示意图。
具体实施方式
在以下的叙述中,为了使读者更好地理解本申请而提出了许多技术细节。但是,本领域的普通技术人员可以理解,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本申请各权利要求所要求保护的技术方案。
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明的实施方式作进一步地详细描述。
本发明第一实施方式涉及一种无线终端识别伪WiFi网络的方法,包括以下步骤:
监测当前网络通信数据包中是否有四次握手包出现。如果出现四次握手包,则至少执行以下步骤之一或其组合:
步骤A,判断该四次握手包中的握手信息是否与最近一次接入WiFi网络时所使用的握手信息一致,如果不一致,则判定当前WiFi网络存在属于伪WiFi网络的风险。
步骤B,接入WiFi网络后,获取到达指定IP地址的第一路由,判断该第一路由与最近一次接入WiFi网络时到达该指定IP地址的第二路由是否一致,如果不一致,则判定当前WiFi网络存在属于伪WiFi网络的风险。
图1是该无线终端识别伪WiFi网络的方法的流程示意图。
具体地说,如图1所示,该无线终端识别伪WiFi网络的方法包括以下步骤:
在步骤101中,监测当前网络通信数据包中是否有四次握手包出现。
在本实施方式中,四次握手包括:
接入点广播WiFi网络名称(SSID)和该WIFI网络的MAC地址(A_MAC);
无线终端向接入点发送该无线终端的MAC地址(B_MAC)和第一随机数(B_N);
接入点生成第二随机数(A_N)并发送给无线终端;
无线终端根据所述WiFi网络名称、WIFI网络的MAC地址、WiFi网络的接入密码、无线终端的MAC地址、第一随机数和第二随机数,计算认证值MIC发送给接入点;
四次握手完成,接入点通过认证值MIC认证无线终端(WiFi密码不会出现在网络中)。
四次握手包是WAP协议或WAP2协议的四次握手包。
若是,则进入步骤102或者进入步骤103;若否,则再次回到步骤101。
在步骤102中,判断该四次握手包中的握手信息是否与最近一次接入WiFi网络时所使用的握手信息一致,如果不一致,则判定当前WiFi网络存在属于伪WiFi网络的风险。在本实施方式中,“最近一次接入WiFi网络”是指网络在使用过程中,由于受到恶意攻击或干扰而被迫下线后重新接入WiFi网络的情况。
在本实施方式中,握手信息和网络信息是以下参数之一或其任意组合:MAC地址,无线信道,认证协议。
进一步地,优选地,步骤102中可以包括以下子步骤:
获取网络连接的认证方法,如果该认证方法为空,则判定当前WiFi网络存在属于伪WiFi网络的风险。
对运营商网络来说,除了简单的开放网络剔除外,还有Phase2认证协议联合监测,减少误报漏报。
进一步地,优选地,步骤102中还可以包括以下子步骤:
获取EAP认证的二次认证方法,如果该二次认证方法为空,则判定当前WiFi网络存在属于伪WiFi网络的风险。
对公司漫游网络等来说,除了简单的开放网络剔除外,还有EAP认证协议联合监测,减少误报漏报。
此后进入步骤103,接入WiFi网络后,获取到达指定IP地址的第一路由,判断该第一路由与最近一次接入WiFi网络时到达该指定IP地址的第二路由是否一致,如果不一致,则判定当前WiFi网络存在属于伪WiFi网络的风险。
此后结束本流程。
无线终端在接入WiFi网络时,通过监测WiFi网络连接过程中的连接数据包和接入WiFi网络后的路由信息,对伪WiFi网络给出了更精准的识别方法,减少误判和漏判。
进一步地,优选地,在“监测当前网络通信数据包中是否有四次握手包出现”的步骤之前,还包括以下步骤:
无线终端启动WiFi扫描,判断扫描结果是否与最近一次接入的WiFi网络的网络信息一致,如果不一致,则判定当前WiFi网络存在属于伪WiFi网络的风险。
此外,可以理解,WiFi网络的网络信息包括:WiFi网络名称和MAC地址等。
在连接前对网络环境进行监测,主要实现对空密码的伪WiFi网络和同一网络名称不同MAC地址的伪WiFi网络进行识别,实现对网络连接前、连接中和连接后的协同监测,尽量减少误报和漏报。
下面,详细介绍本发明的一个优选实施方式。该实施方式是一种部署在android手机上的智能伪WiFi识别系统,主要由三部分组成:连接前网络环境监测、连接中认证过程监测、运行时网络路由监测。用户手机在检测到WiFi信号时,进入连接前网络环境监测,扫描当前环境中是否存在着异常WiFi,若有异常,系统给出报警信息,提醒用户尽量不要去连接异常网络;当用户连接某WiFi时,进入连接中认证过程监测,检查认证握手包信息是否存在异常(主要是MAC地址和认证方法),若有异常,系统给出报警信息,由用户去决定是否退出连接;当用户已经连接上某WiFi并使用网络服务时,进入运行时网络路由监测,检查网络中是否存在网络接入点AP切换行为,监测切换过程中的重连接数据包,若有异常切换发生,系统给出报警信息,提示用户切换到了某一伪WiFi。图2是本实施方式中无线终端识别伪WiFi网络的过程图。
一、连接前网络环境监测
原理:这一部分主要实现的是对空密码OPEN网络的剔除,和同一SSID多MAC网络的剔除(伪WiFi的名称和真实WiFi相同,但MAC地址不同,在同一网络环境下MAC地址相同会发生通信错误)。预置SSID白名单,主要是运营商网络名字(CMCC,ChinaNet,ChinaUnicom)、城市覆盖网络(iWuhan,iBeijing等)和机场网络(airport-xxx),这些网络都使用的是OPEN接入方式。用户也可以自定义一些可信的OPEN网络名字或是多MAC网络名字(公司漫游环境,如alibaba-inc)。
图3是连接前网络环境监测的流程图。具体地说,包括以下步骤:
1.手机启动WiFi扫描,WiFiManager.startScan()。
2.检查扫描结果ScanResult.capabilities,若存在OPEN网络,进入SSID白名单查询。如果该网络SSID不在白名单范围内,向用户提出报警信息:xx网络是不安全网络。
3.检查扫描结果ScanResult.BSSID和ScanResult.SSID,若存在相同的SSID(网络名称)对应不同的BSSID(网络AP的MAC地址),进入SSID白名单查询。如果该网络SSID不在白名单范围内,向用户提出报警信息:xx网络是不安全网络。
二、连接中认证过程监测
原理:这一部分主要实现对MAC发生变化的SSID网络的剔除(与以前曾经连过的真实WiFi的MAC地址不符),以及针对上一阶段SSID白名单中的网络的真伪识别。
预置(SSID-MAC)对白名单,用户每次接入一个新的SSID的网络时,由用户自定义是否可信,并将可信的SSID-MAC对存入白名单。下次当用户连接到相同的SSID时,若MAC变了,系统报警,连接到可疑伪WiFi,由用户判断是否伪WiFi,或是将新MAC地址加入可信白名单(因为有可能是用户自己更换了家用路由器)。
图4是连接中认证过程监测的流程图。具体地说,对于SSID不在SSID白名单内的网络,连接中认证过程监测包括以下步骤:
1.获取当前网络SSID和MAC,WiFiInfo.getSSID(),WiFiInfo.getBSSID()。
2.SSID白名单查询,对于上一节所列的SSID白名单,SSID-MAC白名单机制失效,因为CMCC等本身就具有多个不同的接入点MAC,alibaba-inc等也具有多个MAC不同的物理实体接入点。如果不在SSID白名单内,继续下一步。
3.SSID-MAC白名单查询,若是新SSID的网络,则告警用户正在加入新网络,由用户决定是否加入可信白名单。初次加入的网络无法判断是否是伪WiFi。
4.若SSID在白名单内,则检查MAC是否在可信白名单内,若不在,标记为可疑网络,由用户决定是否消除可疑并加入白名单。
对于SSID在SSID白名单内的网络,走以下不同的判别流程:
1.运营商网络:攻击者可以很容易的搭建一个OPEN的伪WiFi,然后起个相同的名字(例如:CMCC),来吸引用户连接。但真正的运营商网络会有二次验证的机制(账号、密码)或是PEAP(Protected Extensive Authentication Protocol,受保护的可扩展的身份验证协议)来进行认证用户,而伪WiFi很少采用,因为认证服务器成本问题。在本实施方式中,优选地,可以采用获取网络连接的认证方法(WiFiEnterpriseConfig.getPhase2Method()),如果认证方法为空,则提示风险。
2.公司漫游网络:用户接入的时候走的是EAP认证协议(可扩展的身份验证协议),很少有伪WiFi会采用相同的认证协议,因为伪装认证服务器成本非常高,且密码破译难度很大。在本实施方式中,优选地,可以采用获取EAP认证的认证方法(WiFiEnterpriseConfig.getEapMethod()),如果认证方法为空,则提示风险。
3.不采用任何认证方法的网络,直接告警用户不要去连接。
三、运行时网络路由监测
原理:这一部分主要负责对攻击型伪WiFi的监测,用户已经在联网状态下,被恶意攻击导致断线并重连到伪WiFi网络中。有2种监控方式:一是监控网络切换过程,客户端从真WiFi切换到伪WiFi,有一个关联切换过程,当有断线重连过程发生时,弹出警告:MAC地址不同,信道不同,认证协议不同等(监控四次握手包的出现,握手包中包含MAC、协议等信息);二是监控WiFi网络连接internet的出口路由,因为环境限制,伪WiFi很少能够自带网线连接到有线网络,出口网络的通常方法,一是3G路由采用3G线路做出口,二是伪WiFi使用现场的真WiFi做回连
图5是运行时网络路由监测的流程图。具体地说,包括以下步骤:
1.在用户连接上某WiFi后,本地缓存该WiFi网络信息和路由信息。网络信息,是指WiFi信息中的SSID,BSSID等等信息。路由信息,到达指定IP地址的路由路径,例如traceroute www.taobao.com:10.68.92.1,10.64.200.33,10.64.1.10,42.120.74.21……
2.监测网络数据包,是否由四次握手包的出现,若出现则代表着有重连切换过程的发生。WiFiInfo.getSupplicantState()==FOUR_WAY_HANDSHAKE。
3.从握手包中取得将要切换的网络信息,判断与缓存的网络信息是否相符。若不相符,则进入上一节的连接中认证过程监测。
4.获取切换后路由信息,这里是指到达同一IP的路径,traceroutewww.taobao.com,做路由规则库匹配:
(1)若客户端自身IP地址发生变化,告警用户可疑(正常漫游切换很少有IP变化)。
(2)私有地址网段的IP地址数量发生变化,说明路由中被插入了新的路由器,告警用户可疑。私有网段:10.x.x.x,172.16.x.x—172.31.x.x,192.168.x.x,例如步骤1中私有网段IP地址有3个,若变为4个,说明中间被新插入了一个跳转节点,可疑WiFi接入点。
(3)出口网络的IP地址发生改变,标记可疑。具体表现在私有IP和公网IP的边界交汇点,如步骤1中的(10.64.1.10,42.120.74.21),若出口变为3G(172.31.254.245,124.160.233.77),则标记为伪WiFi。
(4)路由路径总长度发生显著变化,例如(+/-)10,有可疑切换发生。
综上所述,本优选实施方式中,通过网络连接前、连接中、连接后的协同监测,尽量避免误报漏报。
需要说明的是,在本发明的一个实施例是利用android语言开发,是部署在android手机上的智能伪WiFi识别系统,但并不限定于某一种语言和某一个操作系统,同样适用于除android外的其它平台。
本发明的各方法实施方式均可以以软件、硬件、固件等方式实现。不管本发明是以软件、硬件、还是固件方式实现,指令代码都可以存储在任何类型的计算机可访问的存储器中(例如永久的或者可修改的,易失性的或者非易失性的,固态的或者非固态的,固定的或者可更换的介质等等)。同样,存储器可以例如是可编程阵列逻辑(Programmable ArrayLogic,简称“PAL”)、随机存取存储器(Random Access Memory,简称“RAM”)、可编程只读存储器(Programmable Read Only Memory,简称“PROM”)、只读存储器(Read-Only Memory,简称“ROM”)、电可擦除可编程只读存储器(Electrically Erasable Programmable ROM,简称“EEPROM”)、磁盘、光盘、数字通用光盘(Digital Versatile Disc,简称“DVD”)等等。
本发明第二实施方式涉及一种无线终端识别伪WiFi网络的装置。图6是该无线终端识别伪WiFi网络的装置的结构示意图。该无线终端识别伪WiFi网络的装置包括:
握手包监测单元,用于监测当前网络通信数据包中是否有四次握手包出现。
第一识别单元,当握手监测单元监测到网络数据包中出现四次握手包时,则判断该四次握手包中的握手信息是否与最近一次接入WiFi网络时所使用的握手信息一致,如果不一致,则判定当前WiFi网络存在属于伪WiFi网络的风险。
第二识别单元,当握手监测单元监测到网络数据包中出现四次握手包时,接入WiFi网络后,获取到达指定IP地址的第一路由,则判断该第一路由与最近一次接入WiFi网络时到达该指定IP地址的第二路由是否一致,如果不一致,则判定当前WiFi网络存在属于伪WiFi网络的风险。
当握手包监测单元监测到有四次握手包出现时,由第一识别单元和第二识别单元分别判定当前WiFi网络是否存在属于伪WiFi网络的风险,或者由第一识别单元和第二识别单元共同判定当前WiFi网络是否存在属于伪WiFi网络的风险。
具体地说:
四次握手包是WAP协议或WAP2协议的四次握手包。
握手信息是以下参数之一或其任意组合:MAC地址,无线信道,认证协议。
四次握手包括:
接入点广播WiFi网络名称和该WIFI网络的MAC地址;
无线终端向接入点发送该无线终端的MAC地址和第一随机数;
接入点生成第二随机数并发送给无线终端;
无线终端根据所述WiFi网络名称、WIFI网络的MAC地址、WiFi网络的接入密码、无线终端的MAC地址、第一随机数和第二随机数,计算认证值MIC发送给接入点;
接入点通过认证值MIC认证无线终端。
此外,进一步地,该无线终端识别伪WiFi网络的装置还包括:
第三识别单元,用于在无线终端启动WiFi扫描后,判断扫描结果是否与最近一次接入的WiFi网络的网络信息一致,如果不一致,则判定当前WiFi网络存在属于伪WiFi网络的风险。、
通过第一识别单元、第二识别单元和第三识别单元,实现网络连接前、连接中、连接后的协同监测,尽量避免误报漏报。
第一实施方式是与本实施方式相对应的方法实施方式,本实施方式可与第一实施方式互相配合实施。第一实施方式中提到的相关技术细节在本实施方式中依然有效,为了减少重复,这里不再赘述。相应地,本实施方式中提到的相关技术细节也可应用在第一实施方式中。
需要说明的是,本发明各装置实施方式中提到的各单元都是逻辑单元,在物理上,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现,这些逻辑单元本身的物理实现方式并不是最重要的,这些逻辑单元所实现的功能的组合才是解决本发明所提出的技术问题的关键。此外,为了突出本发明的创新部分,本发明上述各装置实施方式并没有将与解决本发明所提出的技术问题关系不太密切的单元引入,这并不表明上述装置实施方式并不存在其它的单元。
需要说明的是,在本专利的权利要求和说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
虽然通过参照本发明的某些优选实施方式,已经对本发明进行了图示和描述,但本领域的普通技术人员应该明白,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。
Claims (7)
1.一种无线终端识别伪WiFi网络的方法,其特征在于,包括以下步骤:
监测当前网络通信数据包中是否有四次握手的四次握手包出现;如果出现四次握手包,则至少执行以下步骤之一或其组合:
步骤A,判断该四次握手包中的握手信息是否与最近一次接入WiFi网络时所使用的握手信息一致,如果不一致,则判定当前WiFi网络存在属于伪WiFi网络的风险;
步骤B,接入WiFi网络后,获取到达指定IP地址的第一路由,判断该第一路由与最近一次接入WiFi网络时到达该指定IP地址的第二路由是否一致,如果不一致,则判定当前WiFi网络存在属于伪WiFi网络的风险,其中,所述四次握手包括:
接入点广播WiFi网络名称和该WiFi网络的MAC地址;
无线终端向接入点发送该无线终端的MAC地址和第一随机数;
接入点生成第二随机数并发送给无线终端;
无线终端根据所述WiFi网络名称、WiFi网络的MAC地址、WiFi网络的接入密码、无线终端的MAC地址、第一随机数和第二随机数,计算认证值MIC发送给接入点。
2.根据权利要求1所述的无线终端识别伪WiFi网络的方法,其特征在于,所述四次握手包是WPA协议或WPA2协议的四次握手包。
3.根据权利要求2所述的无线终端识别伪WiFi网络的方法,其特征在于,所述握手信息是以下参数之一或其任意组合:MAC地址,无线信道,认证协议。
4.根据权利要求3所述的无线终端识别伪WiFi网络的方法,其特征在于,在所述“监测当前网络通信数据包中是否有四次握手包出现”的步骤之前,还包括以下步骤:
无线终端启动WiFi扫描,判断扫描结果是否与最近一次接入的WiFi网络的网络信息一致,如果不一致,则判定当前WiFi网络存在属于伪WiFi网络的风险。
5.一种无线终端识别伪WiFi网络的装置,其特征在于,包括:
握手包监测单元,用于监测当前网络通信数据包中是否有四次握手的四次握手包出现;
第一识别单元,当握手监测单元监测到网络数据包中出现四次握手包时,则判断该四次握手包中的握手信息是否与最近一次接入WiFi网络时所使用的握手信息一致,如果不一致,则判定当前WiFi网络存在属于伪WiFi网络的风险;
第二识别单元,当握手监测单元监测到网络数据包中出现四次握手包时,接入WiFi网络后,获取到达指定IP地址的第一路由,则判断该第一路由与最近一次接入WiFi网络时到达该指定IP地址的第二路由是否一致,如果不一致,则判定当前WiFi网络存在属于伪WiFi网络的风险。
6.根据权利要求5所述的无线终端识别伪WiFi网络的装置,其特征在于,所述四次握手包是WPA协议或WPA2协议的四次握手包;
所述握手信息是以下参数之一或其任意组合:MAC地址,无线信道,认证协议;
所述四次握手包括:
接入点广播WiFi网络名称和该WiFi网络的MAC地址;
无线终端向接入点发送该无线终端的MAC地址和第一随机数;
接入点生成第二随机数并发送给无线终端;
无线终端根据所述WiFi网络名称、WiFi网络的MAC地址、WiFi网络的接入密码、无线终端的MAC地址、第一随机数和第二随机数,计算认证值MIC发送给接入点。
7.根据权利要求6所述的无线终端识别伪WiFi网络的装置,其特征在于,还包括:
第三识别单元,用于在无线终端启动WiFi扫描后,判断扫描结果是否与最近一次接入的WiFi网络的网络信息一致,如果不一致,则判定当前WiFi网络存在属于伪WiFi网络的风险。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410692193.1A CN105611534B (zh) | 2014-11-25 | 2014-11-25 | 无线终端识别伪WiFi网络的方法及其装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410692193.1A CN105611534B (zh) | 2014-11-25 | 2014-11-25 | 无线终端识别伪WiFi网络的方法及其装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105611534A CN105611534A (zh) | 2016-05-25 |
| CN105611534B true CN105611534B (zh) | 2020-02-11 |
Family
ID=55991004
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410692193.1A Active CN105611534B (zh) | 2014-11-25 | 2014-11-25 | 无线终端识别伪WiFi网络的方法及其装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105611534B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106209918A (zh) * | 2016-09-13 | 2016-12-07 | 深圳市金立通信设备有限公司 | 一种网络安全性管理的方法及终端 |
| CN106341819A (zh) * | 2016-10-10 | 2017-01-18 | 西安瀚炬网络科技有限公司 | 基于蜜罐技术的钓鱼WiFi识别系统与方法 |
| CN106792702A (zh) * | 2017-01-23 | 2017-05-31 | 北京坤腾畅联科技有限公司 | 基于奇异路由的路由器身份检测方法和终端设备 |
| CN106973387B (zh) * | 2017-03-21 | 2019-07-19 | 北京大学 | 一种利用物理层信息识别伪装WiFi的方法和系统 |
| CN107708116B (zh) * | 2017-10-25 | 2020-11-13 | 台州市吉吉知识产权运营有限公司 | 一种实现设备免密码连接路由器的方法及系统 |
| CN107896372A (zh) * | 2017-11-07 | 2018-04-10 | 河南溯源通信科技有限公司 | 一种钓鱼热点检测方法、装置与路由器 |
| CN110475274B (zh) * | 2018-05-09 | 2022-12-06 | 北京智慧图科技有限责任公司 | 一种移动定位技术中异常ap的识别方法 |
| CN110213761B (zh) * | 2019-05-27 | 2020-06-02 | 中国海洋大学 | 基于双向syn反射的多模型伪ap检测方法及检测装置 |
| CN111050327A (zh) * | 2019-12-17 | 2020-04-21 | 联想(北京)有限公司 | 一种无线热点的识别方法和装置 |
| CN115396125A (zh) * | 2021-05-07 | 2022-11-25 | 中国移动通信集团有限公司 | Wifi攻击检测方法及装置、设备、计算机程序 |
| CN113777981A (zh) * | 2021-08-27 | 2021-12-10 | 煤炭科学技术研究院有限公司 | 煤矿安全监控分站故障诊断和语音报警方法 |
| CN116669142B (zh) * | 2023-07-26 | 2023-12-29 | 天津安力信通讯科技有限公司 | 一种屏蔽无线网络通信信号的方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100172259A1 (en) * | 2009-01-05 | 2010-07-08 | Qualcomm Incorporated | Detection Of Falsified Wireless Access Points |
| CN102843684A (zh) * | 2011-06-21 | 2012-12-26 | 航天信息股份有限公司 | 局域网中探测非法无线接入点的方法和系统 |
| CN103891332A (zh) * | 2011-08-12 | 2014-06-25 | F-赛酷公司 | 检测可疑无线接入点 |
| US8769130B1 (en) * | 2008-05-12 | 2014-07-01 | Trend Micro Incorporated | Selection of computer network wireless access points |
| CN104023336A (zh) * | 2014-06-13 | 2014-09-03 | 张力军 | 移动终端的无线接入方法及移动终端 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7236460B2 (en) * | 2002-03-29 | 2007-06-26 | Airmagnet, Inc. | Detecting a counterfeit access point in a wireless local area network |
-
2014
- 2014-11-25 CN CN201410692193.1A patent/CN105611534B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8769130B1 (en) * | 2008-05-12 | 2014-07-01 | Trend Micro Incorporated | Selection of computer network wireless access points |
| US20100172259A1 (en) * | 2009-01-05 | 2010-07-08 | Qualcomm Incorporated | Detection Of Falsified Wireless Access Points |
| CN102843684A (zh) * | 2011-06-21 | 2012-12-26 | 航天信息股份有限公司 | 局域网中探测非法无线接入点的方法和系统 |
| CN103891332A (zh) * | 2011-08-12 | 2014-06-25 | F-赛酷公司 | 检测可疑无线接入点 |
| CN104023336A (zh) * | 2014-06-13 | 2014-09-03 | 张力军 | 移动终端的无线接入方法及移动终端 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105611534A (zh) | 2016-05-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105611534B (zh) | 无线终端识别伪WiFi网络的方法及其装置 | |
| EP2304902B1 (en) | Network discovery and selection | |
| RU2546610C1 (ru) | Способ определения небезопасной беспроводной точки доступа | |
| US9705913B2 (en) | Wireless hotspot attack detection | |
| JP6356825B2 (ja) | 無線アクセスポイントのセキュリティおよび品質評価のためのシステムおよび方法 | |
| US8621570B2 (en) | Access through non-3GPP access networks | |
| US9603021B2 (en) | Rogue access point detection | |
| US7333481B1 (en) | Method and system for disrupting undesirable wireless communication of devices in computer networks | |
| US7710933B1 (en) | Method and system for classification of wireless devices in local area computer networks | |
| US20130007848A1 (en) | Monitoring of smart mobile devices in the wireless access networks | |
| US20150271194A1 (en) | Fake Base Station Detection with Core Network Support | |
| EP2403283A1 (en) | Improved subscriber authentication for unlicensed mobile access signaling | |
| KR101001900B1 (ko) | Arp 공격 감지 방법 및 이를 이용한 시스템 | |
| US7333800B1 (en) | Method and system for scheduling of sensor functions for monitoring of wireless communication activity | |
| US11317277B2 (en) | Method, device and system for secure connection in wireless communications networks | |
| Kaplanis | Detection and prevention of man in the middle attacks in Wi-Fi technology | |
| US8542581B2 (en) | System and method for exposing malicious clients in wireless access networks | |
| WO2020043098A1 (zh) | 建立设备表项 | |
| EP4106376A1 (en) | A method and system for authenticating a base station | |
| CN112839015B (zh) | 攻击Mesh节点检测方法、装置及系统 | |
| WO2022174729A1 (zh) | 保护身份标识隐私的方法与通信装置 | |
| CN108702619A (zh) | 获取、发送用户设备标识的方法及设备 | |
| CN117296296A (zh) | 用于防御使两个实体断开连接的尝试的方法及关联系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |