CN106572464B - 无线局域网中非法ap监测方法及其抑制方法、监测ap - Google Patents
无线局域网中非法ap监测方法及其抑制方法、监测ap Download PDFInfo
- Publication number
- CN106572464B CN106572464B CN201611025355.1A CN201611025355A CN106572464B CN 106572464 B CN106572464 B CN 106572464B CN 201611025355 A CN201611025355 A CN 201611025355A CN 106572464 B CN106572464 B CN 106572464B
- Authority
- CN
- China
- Prior art keywords
- illegal
- mac address
- legal
- message
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 96
- 238000000034 method Methods 0.000 title claims abstract description 61
- 230000005764 inhibitory process Effects 0.000 title description 3
- 230000003993 interaction Effects 0.000 claims abstract description 47
- 230000002452 interceptive effect Effects 0.000 claims description 12
- 230000001629 suppression Effects 0.000 claims description 6
- 238000005242 forging Methods 0.000 claims description 4
- 230000000452 restraining effect Effects 0.000 abstract description 3
- 230000008569 process Effects 0.000 description 14
- 230000004044 response Effects 0.000 description 11
- 230000005540 biological transmission Effects 0.000 description 6
- 239000000523 sample Substances 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 239000000463 material Substances 0.000 description 5
- 238000005034 decoration Methods 0.000 description 3
- 101100059544 Arabidopsis thaliana CDC5 gene Proteins 0.000 description 2
- 101150115300 MAC1 gene Proteins 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 101100244969 Arabidopsis thaliana PRL1 gene Proteins 0.000 description 1
- 102100039558 Galectin-3 Human genes 0.000 description 1
- 101100454448 Homo sapiens LGALS3 gene Proteins 0.000 description 1
- 101150051246 MAC2 gene Proteins 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种无线局域网中非法AP监测方法及其抑制方法、监测AP,其中,该非法AP监测方法中包括:S10获取终端与无线局域网中AP之间的数据交互报文;S20解析数据交互报文得到可疑非法AP的MAC地址集合;S30逐一将可疑非法AP的MAC地址集合中的MAC地址作为关键字在内部存储的合法AP的MAC地址集合中查询;S40若一可疑非法AP的MAC地址在合法AP的MAC地址集合中未查询到,则判定该可疑非法AP为非法AP。由合法AP的MAC地址在无线局域网中每个合法AP中存储,大大提高了判断效率,能够迅速给出判定结果并作出相应反映,从而大大减少用户被诱导接入非法AP的可能性。
Description
技术领域
本发明涉及无线接入技术领域,尤其涉及一种无线局域网中非法AP监测方法及其抑制方法、监测AP。
背景技术
无线网络一般覆盖在用户需要的某一区域,并且是由多个无线AP(Access Point,接入点)组成的Mesh网络(无线网格网络)。通常来说,用户进入无线网络覆盖的区域后,使用移动终端选择某一个SSID(Service Set Identifier,服务集标识),接入某一个BSSID(本地管理的IEEE MAC地址)的无线AP,完成关联和无线认证后,即可使用无线服务。用户使用移动终端通过Wi-Fi(Wireless-Fidelity,无线保真)接入无线网络时,会面临一些安全方面的风险,尤其是当前越来越多的商家提供Wi-Fi给用户使用,虽然很大程度上方便了用户,同样也暴露了越来越多的风险。
在所有无线接入风险中,危害性最大的一类是不法分子利用非法AP(AccessPoint,接入点)提供无线接入,然后通过钓鱼网站进一步获得用户大量私人信息。如,将一台非法AP设置与无线AP相同或相似的SSID和BSSID,提供免费的上网服务。用户一旦接入,非法AP通过重定向的方式实现Portal门户网页,但推送的Portal门户网页只是与正常的Portal页面相似的一种钓鱼网页或网站。用户输入自己账户信息进行认证,非法AP就能轻松的获得了用户的手机号等账户信息。再有,假装认证成功后,用户访问的任何网站都有可能转到指定的钓鱼网站,这包括网上银行、各种电子银行支付网站等,从而造成用户大量的钱财受到损失,威胁用户的财产安全。除此之外,用户接入一个无线AP以后,大多数移动终端会缓存所接入AP的BSSID和SSID名称,如果用户手持移动终端在这类非法AP附近,移动终端就会自动发起关联请求,自动接入到了非法AP,可见,通过无线AP对非法AP进行有效的抑制是当前面临的重大安全问题。
当然,目前也有能够解决上述问题的技术方案:在用户接入无线网络时,在Portal页面显示一串动态密码,并提示用户留意所在场所的媒体显示器也会显示动态密码(一般每一分钟刷新一次),通过用户比对两个动态密码是否一致,完成合法接入甄别。由于非法AP并不知晓动态密码的生成算法,所以很难生成完全一致的动态密码,从而达到了一定的效果。但是,这种解决方案也存在一定的漏洞,第三方渠道的显示器也有可能被伪装或非法安装,无法保证一定安全;另一方面,用户体验不太好,过程较为繁琐,有时用户并不太注意显示器,更甚至如果没有第三方的媒体显示器或由于设备故障等原因无法使用,将不能使用该方法。
发明内容
针对上述问题,本发明提供了一种无线局域网中非法AP监测方法及其抑制方法、监测AP,有效解决了无线局域网中非法AP监测较为繁琐的技术问题。
本发明提供的技术方案如下:
一种无线局域网中非法AP监测方法,应用于监测AP,所述监测AP中存储有无线局域网中所有合法AP的MAC地址集合,所述监测AP为无线局域网中任意一合法AP,所述非法AP监测方法中包括:
S10获取终端与无线局域网中AP之间的数据交互报文;
S20解析数据交互报文得到可疑非法AP的MAC地址集合;
S30逐一将可疑非法AP的MAC地址集合中的MAC地址作为关键字在内部存储的合法AP的MAC地址集合中查询;
S40若一可疑非法AP的MAC地址在合法AP的MAC地址集合中未查询到,则判定该可疑非法AP为非法AP。
在本技术方案中,监测AP通过获取终端与无线局域网中所有AP(包括合法AP和非法AP)之间的数据交互报文,并对其进行解析得到可疑非法AP的MAC地址集合(即无线局域网中所有AP的MAC地址集合),之后再逐一进行比对,找到非法AP。由合法AP的MAC地址在无线局域网中每个合法AP中存储,大大提高了判断效率,能够迅速给出判定结果并作出相应反映,从而大大减少用户被诱导接入非法AP的可能性;同时,不受第三方渠道的限制或不会因其他确定因素造成安全机制失灵,从而提高了用户体验。
进一步优选地,所述数据交互报文至少包括:监测AP周围的AP发送的信标帧、AP与终端之间交互的关联报文、以及AP与终端之间交互的加密数据报文中的一种。
在本技术方案中,通过数据交互报文更加详尽的获得可疑非法AP的MAC地址集合,以此提高判断效率和判断结果。
进一步优选地,在步骤S40中具体包括:
S41若一可疑非法AP的MAC地址在合法AP的MAC地址集合中未查询到,则根据该MAC地址向无线局域网中所有合法AP发送进一步查询请求;
S42若没有任意一合法AP响应,则判定该可疑非法AP为非法AP。
在本技术方案中,若某一可疑非法AP的MAC地址未在合法AP的MAC地址集合中查询到,进一步向无线局域网中所有合法AP发送查询请求,以此提高非法AP的判断准确率,以免出现误判的现象(若某一合法AP的信息未存储在监测AP中或者监测AP中查询出错,就会出现误判)。
进一步优选地,在步骤S41之后还包括:
S43若一可疑非法AP的MAC地址在合法AP的MAC地址集合中查询到,则判定该可疑非法AP为合法AP;
在步骤S42之后还包括:
S44若无线局域网内某一合法AP响应查询到该MAC地址,则判定该可疑非法AP为合法AP。
进一步优选地,在步骤S10之前还包括:
S01建立合法AP的MAC地址安全数据库;
S02将MAC地址安全数据库下发至云控制器;
S03云控制器将MAC地址安全数据库分别下发至无线局域网中的每个合法AP中进行存储。
由无线局域网中包括的合法AP除了包括运营商部署的AP之外,还包括商家自建的AP,而这些AP的信息并不能通过云控制器上传至数据库服务器中,而是需要报备,由管理人员手动输入到数据库中,过程非常的繁琐,给商家和运营商带来不便;另外,若仅仅针对商家部署的AP进行监控,则判断的准确率会非常的低下,从而影响用户对无线局域网络的接入,大大降低用户的体验。在本技术方案中,通过公共场所无线服务进行合法AP的预先登记,以此建立合法AP的MAC地址安全数据库,且登记过程由公安安全主管部门负责登记录入,多个设备厂家提供必要的证明材料进行录入,大大减少了数据库建立过程中的繁琐程度,节约人力物力,且最大程度上保证信息的安全性;之后再将合法AP的列表信息通过云控制器下发至无线局域网中各合法AP中,保证非法AP监控的效率和准确率。
本发明还提供了一种无线局域网中非法AP抑制方法,包括上述非法AP监测方法,还包括:
S50解析数据交互报文得到终端的MAC地址集合;
S60伪造解除关联报文并将其发送至非法AP,以此解除终端与非法AP之间的关联,所述解除关联报文中源MAC地址为终端对应的MAC地址、目的MAC地址为非法AP对应的MAC地址。
在本技术方案中,若判断出无线局域网中某一AP为非法AP,则监测AP伪造解除关联报文,以此解除终端与非法AP之间的关联,减少用户被诱导接入非法AP的可能性,一定程度上解决了非法AP推送钓鱼网站引起的安全问题。
进一步优选地,在步骤S60之后包括:
S70判断非法AP是否解除成功;
S80若没有解除成功,则进一步向非法AP发送大量的广播包。
在本技术方案中,若在发送了伪造的解除关联报文之后仍然没有成功的解除关联关系,则监测AP进一步向非法AP发送大量的广播包,占用非法AP的工作信道,提高网络延时,降低网络速率,逼迫用户自动放弃与该非法AP的关联。
本发明还提供了一种监测AP,无线局域网中包括多个合法AP,监测AP为无线局域网中任意一合法AP,所述监测AP中包括:
存储模块,用于存储无线局域网中所有合法AP的MAC地址集合;
报文获取模块,用于获取终端与无线局域网中AP之间的数据交互报文;
报文解析模块,用于对报文获取模块获取到的数据交互报文进行解析得到可疑非法AP的MAC地址集合;
查询模块,用于逐一将报文解析模块得到的可疑非法AP的MAC地址集合中的MAC地址作为关键字在存储模块中存储的合法AP的MAC地址集合中查询;
判定模块,若非法AP的MAC地址集合中的一MAC地址在合法AP的MAC地址集合中未查询到,则判定模块判定该可疑非法AP为非法AP。
在本技术方案中,监测AP通过获取终端与无线局域网中所有AP(包括合法AP和非法AP)之间的数据交互报文,并对其进行解析得到可疑非法AP的MAC地址集合(即无线局域网中所有AP的MAC地址集合),之后再逐一进行比对,找到非法AP。由合法AP的MAC地址在无线局域网中每个合法AP中存储,大大提高了判断效率,能够迅速给出判定结果并作出相应反映,从而大大减少用户被诱导接入非法AP的可能性。
进一步优选地,报文获取模块获取的数据交互报文至少包括:监测AP周围的AP发送的信标帧、AP与终端之间交互的关联报文、以及AP与终端之间交互的加密数据报文中的一种。
在本技术方案中,通过数据交互报文更加详尽的获得可疑非法AP的MAC地址集合,以此提高判断效率和判断结果。
进一步优选地,所述监测AP中还包括查询请求发送模块;
若非法AP的MAC地址集合中的一MAC地址在合法AP的MAC地址集合中未查询到,则查询请求发送模块根据该MAC地址向无线局域网中所有合法AP发送进一步查询请求;若没有任意一合法AP响应,则判定模块判定该可疑非法AP为非法AP。
在本技术方案中,若某一可疑非法AP的MAC地址未在合法AP的MAC地址集合中查询到,进一步向无线局域网中所有合法AP发送查询请求,以此提高非法AP的判断准确率,以免出现误判的现象(若某一合法AP的信息未存储在监测AP中或者监测AP中查询出错,就会出现误判)。
进一步优选地,所述报文解析模块还用于对报文获取模块获取到的数据交互报文进行解析得到终端的MAC地址集合;
所述监测AP中还包括:
解除关联报文伪造模块,用于根据报文解析模块得到的可疑非法AP的MAC地址集合和终端的MAC地址集合伪造解除关联报文,所述解除关联报文中源MAC地址为终端对应的MAC地址、目的MAC地址为非法AP对应的MAC地址;
报文发送模块,用于将解除关联报文伪造模块伪造的解除关联报文发送至非法AP。
在本技术方案中,若判断出无线局域网中某一AP为非法AP,则监测AP伪造解除关联报文,以此解除终端与非法AP之间的关联,减少用户被诱导接入非法AP的可能性。
进一步优选地,所述判断模块还用于判断非法AP是否解除成功;
若没有解除成功,则所述报文发送模块进一步向非法AP发送大量的广播包。
在本技术方案中,若在发送了伪造的解除关联报文之后仍然没有成功的解除关联关系,则监测AP进一步向非法AP发送大量的广播包,占用非法AP的工作信道,提高网络延时,降低网络速率,逼迫用户自动放弃与该非法AP的关联。
附图说明
下面将以明确易懂的方式,结合附图说明优选实施方式,对上述特性、技术特征、优点及其实现方式予以进一步说明。
图1为本发明中无线局域网中非法AP监测方法一种实施方式流程示意图;
图2为本发明中无线局域网中非法AP监测方法另一种实施方式流程示意图;
图3为本发明中无线局域网中非法AP抑制方法一种实施方式流程示意图;
图4为本发明中无线局域网中非法AP抑制方法另一种实施方式流程示意图;
图5为本发明中无线AP一种实施方式示意图;
图6为本发明中无线AP另一种实施方式示意图;
图7为本发明中无线AP另一种实施方式示意图。
附图标号说明:
100-监测AP,110-存储模块,120-报文获取模块,130-报文解析模块,140-查询模块,150-判定模块,160-查询请求发送模块,170-解除关联报文伪造模块,180-报文发送模块。
具体实施方式
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对照附图说明本发明的具体实施方式。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图,并获得其他的实施方式。
如图1所示为本发明提供的无线局域网中非法AP监测方法一种实施方式流程示意图,具体,该非法AP监测方法应用于监测AP,监测AP中存储有无线局域网中所有合法AP的MAC地址集合,且该监测AP为无线局域网中任意一合法AP。从图中可以看出,在该非法AP监测方法中包括:S10获取终端与无线局域网中AP之间的数据交互报文;S20解析数据交互报文得到可疑非法AP的MAC地址集合;S30逐一将可疑非法AP的MAC地址集合中的MAC地址作为关键字在内部存储的合法AP的MAC地址集合中查询;S40若一可疑非法AP的MAC地址在合法AP的MAC地址集合中未查询到,则判定该可疑非法AP为非法AP。
在本实施方式中,监测AP通过获取终端与无线局域网中所有AP(包括合法AP和非法AP)之间的数据交互报文,并对其进行解析得到可疑非法AP的MAC地址集合(即无线局域网中所有AP的MAC地址集合),之后再逐一进行比对,找到非法AP。具体,若一可疑非法AP的MAC地址在合法AP的MAC地址集合中未查询到,则判定该可疑非法AP为非法AP;相反,若一可疑非法AP的MAC地址在合法AP的MAC地址集合中查询到,则判定该可疑非法AP为合法AP,即终端安全接入。另外,要说明的是,在该过程中,每个监测AP能监测到的是其附近的AP与终端之间的数据交互报文,在实际应用中,无线局域网中的任意一个合法AP都能作为监测AP对非法AP进行监测,以此实现对无线局域网中非法AP的全面监测。
具体,数据交互报文至少包括:监测AP周围的AP发送的信标帧(Beacon帧)、AP与终端之间交互的关联报文、以及AP与终端之间交互的加密数据报文中的一种。其中,监测AP从信标帧中获取源MAC地址并进行缓存,得到可疑非法AP的MAC地址集合。关联报文包括探测请求帧(Probe Request)、探测响应帧(Probe Response)、身份认证请求帧(Authentication Request)、身份认证响应帧(Authentication Response)、关联请求帧(Association Request)以及关联响应帧(Association Response),监测AP从上述关联报文中获取源MAC地址,得到终端MAC地址和可疑非法AP的MAC地址集合并进行存储。加密数据报文,具体为payload(有效载荷)加密报文,监测AP从该payload加密报文中获取源MAC地址和目的MAC地址。集合从信标帧、关联报文以及加密数据报文中获取的MAC地址,统计得到若干组<STA,AP>之间对应的MAC地址数据,其中,STA为终端,以此得到可疑非法AP的MAC地址集合和终端MAC地址集合,提高判断效率和判断结果。
对上述实施方式进行改进得到本实施方式,如图2所示,在本实施方式中,该非法AP监测方法中包括:S10获取终端与无线局域网中AP之间的数据交互报文;S20解析数据交互报文得到可疑非法AP的MAC地址集合;S30逐一将可疑非法AP的MAC地址集合中的MAC地址作为关键字在内部存储的合法AP的MAC地址集合中查询;S41若一可疑非法AP的MAC地址在合法AP的MAC地址集合中未查询到,则根据该MAC地址向无线局域网中所有合法AP发送进一步查询请求;S42若没有任意一合法AP响应,则判定该可疑非法AP为非法AP。
在本实施方式中,监测AP通过获取终端与无线局域网中所有AP(包括合法AP和非法AP)之间的数据交互报文,并对其进行解析得到可疑非法AP的MAC地址集合(即无线局域网中所有AP的MAC地址集合),之后再逐一进行比对,找到非法AP。若一可疑非法AP的MAC地址在合法AP的MAC地址集合中查询到,则判定该可疑非法AP为合法AP,即终端安全接入。相反,若某一可疑非法AP的MAC地址未在合法AP的MAC地址集合中查询到,进一步向无线局域网中所有合法AP发送查询请求,以此提高非法AP的判断准确率,以免出现误判的现象(若某一合法AP的信息未存储在监测AP中或者监测AP中查询出错,就会出现误判)。相反,若无线局域网内某一合法AP响应查询到该MAC地址,则判定该可疑非法AP为合法AP,即终端安全接入。
在上述实施方式中,在步骤S10之前还包括:S01建立合法AP的MAC地址安全数据库;S02将MAC地址安全数据库下发至云控制器;S03云控制器将MAC地址安全数据库分别下发至无线局域网中的每个合法AP中进行存储。具体,在该过程中,通过公共场所无线服务进行合法AP的预先登记,以此建立合法AP的MAC地址安全数据库,且登记过程由公安安全主管部门负责登记录入,多个设备厂家提供必要的证明材料进行录入,大大减少了数据库建立过程中的繁琐程度,节约人力物力,且最大程度上保证信息的安全性;在将其分别下发至无线局域网中所有合法AP中之后,能够帮助迅速的判断出可疑非法AP是否为非法AP。
如图3所示为本发明提供的无线局域网中非法AP抑制方法一种实施方式流程示意图,包括上述非法AP监测方法,从图中可以看出,在该非法AP抑制方法中包括:S10获取终端与无线局域网中AP之间的数据交互报文;S20解析数据交互报文得到可疑非法AP的MAC地址集合;S30逐一将可疑非法AP的MAC地址集合中的MAC地址作为关键字在内部存储的合法AP的MAC地址集合中查询;S41若一可疑非法AP的MAC地址在合法AP的MAC地址集合中未查询到,则根据该MAC地址向无线局域网中所有合法AP发送进一步查询请求;S42若没有任意一合法AP响应,则判定该可疑非法AP为非法AP;S50解析数据交互报文得到终端的MAC地址集合;S60伪造解除关联报文并将其发送至非法AP,以此解除终端与非法AP之间的关联,解除关联报文中源MAC地址为终端对应的MAC地址、目的MAC地址为非法AP对应的MAC地址。
在本实施方式中,若在步骤S10~S42中判断出无线局域网中某一AP为非法AP,则监测AP根据该非法AP的MAC地址伪造解除关联报文,以此解除终端与非法AP之间的关联,具体,在该解除关联报文中源MAC地址为终端对应的MAC地址、目的MAC地址为非法AP对应的MAC地址。更具体来说,在该过程中,若监测AP将伪造解除关联报文发送至非法AP之后,该终端再次关联该非法AP(仍然能够监测到该终端与非法AP之间的数据交互报文),则监测AP再次伪造上述解除关联报文,再次发送至该非法AP。由正常来说,发送三次解除关联报文之后,终端将不再关联该非法AP,以此降低终端接入非法AP的可能性。当然,同一解除关联报文的伪造和发送次数可以根据实际情况进行设定,如,在一个实例中,伪造并发送两次;在另一实例中,伪造并发送三次甚至更多。
对上述实施方式进行改进得到本实施方式,如图4所示,在本实施方式中,S10获取终端与无线局域网中AP之间的数据交互报文;S20解析数据交互报文得到可疑非法AP的MAC地址集合;S30逐一将可疑非法AP的MAC地址集合中的MAC地址作为关键字在内部存储的合法AP的MAC地址集合中查询;S41若一可疑非法AP的MAC地址在合法AP的MAC地址集合中未查询到,则根据该MAC地址向无线局域网中所有合法AP发送进一步查询请求;S42若没有任意一合法AP响应,则判定该可疑非法AP为非法AP;S50解析数据交互报文得到终端的MAC地址集合;S60伪造解除关联报文并将其发送至非法AP,以此解除终端与非法AP之间的关联,解除关联报文中源MAC地址为终端对应的MAC地址、目的MAC地址为非法AP对应的MAC地址;S70判断非法AP是否解除成功;S80若没有解除成功,则进一步向非法AP发送大量的任意数据内容的广播包。
在本实施方式中,若监测AP伪造解除关联报文并发送至非法AP之后仍然没有成功的解除关联关系,则监测AP进一步向非法AP发送大量的广播包,以占用非法AP的工作信道,提高网络延时,降低网络速率,逼迫用户自动放弃与该非法AP的关联。
如图5所示为本发明提供的监测AP一种实施方式示意图,具体,在无线局域网中包括多个合法AP,监测AP为无线局域网中任意一合法AP,从图中可以看出,在该监测AP100中包括:存储模块110、报文获取模块120、报文解析模块130、查询模块140以及判定模块150,其中,报文解析模块130与报文获取模块120连接,查询模块140分别与存储模块110、报文解析模块130以及判定模块150连接。
在工作之前,通过公共场所无线服务进行合法AP的预先登记,以此建立合法AP的MAC地址安全数据库,且登记过程由公安安全主管部门负责登记录入,多个设备厂家提供必要的证明材料进行录入,并将MAC地址安全数据库下发至云控制器;云控制器将MAC地址安全数据库分别下发至无线局域网中的每个合法AP中,存储在合法AP的存储模块110中。
在工作过程中,首先,报文获取模块120获取终端与无线局域网中AP之间的数据交互报文;之后,报文解析模块130对报文获取模块120获取到的数据交互报文进行解析得到可疑非法AP的MAC地址集合;接着,查询模块140逐一将报文解析模块130得到的可疑非法AP的MAC地址集合中的MAC地址作为关键字在存储模块110中存储的合法AP的MAC地址集合中查询;若非法AP的MAC地址集合中的一MAC地址在合法AP的MAC地址集合中未查询到,则判定模块150判定该可疑非法AP为非法AP。
在本实施方式中,通过报文获取模块120获取终端与无线局域网中所有AP(包括合法AP和非法AP)之间的数据交互报文,并通过报文解析模块130对其进行解析得到可疑非法AP的MAC地址集合(即无线局域网中所有AP的MAC地址集合),之后再通过查询模块140逐一进行比对,判断出非法AP。具体,若一可疑非法AP的MAC地址在合法AP的MAC地址集合中未查询到,则判断模块判定该可疑非法AP为非法AP;相反,若一可疑非法AP的MAC地址在合法AP的MAC地址集合中查询到,则判断模块判定该可疑非法AP为合法AP,即终端安全接入。
具体,报文获取模块120中获取的数据交互报文至少包括:监测AP周围的AP发送的信标帧(Beacon帧)、AP与终端之间交互的关联报文、以及AP与终端之间交互的加密数据报文中的一种。其中,报文解析模块130从信标帧中获取源MAC地址并进行缓存,得到可疑非法AP的MAC地址集合。关联报文包括探测请求帧、探测响应帧、身份认证请求帧、身份认证响应帧、关联请求帧以及关联响应帧,报文解析模块130从上述关联报文中获取源MAC地址,得到终端MAC地址和可疑非法AP的MAC地址集合并进行存储。加密数据报文,具体为payload(有效载荷)加密报文,报文解析模块130从该payload加密报文中获取源MAC地址和目的MAC地址。最后,集合从信标帧、关联报文以及加密数据报文中获取的MAC地址,统计得到若干组<STA,AP>对应关系的MAC地址数据,其中,STA为终端,以此得到可疑非法AP的MAC地址集合和终端MAC地址集合。
对上述实施方式进行改进得到本实施方式,如图6所示,监测AP100中除了包括存储模块110、报文获取模块120、报文解析模块130、查询模块140以及判定模块150之外,还包括查询请求发送模块160。
在工作过程中,若一可疑非法AP的MAC地址在合法AP的MAC地址集合中未查询到,则查询请求发送模块160根据该MAC地址向无线局域网中所有合法AP发送进一步查询请求;若没有任意一合法AP响应,则判定模块150判定该可疑非法AP为非法AP;相反,若无线局域网内某一合法AP响应查询到该MAC地址,则判断模块判定该可疑非法AP为合法AP,即终端安全接入。
对上述实施方式进行改进得到本实施方式,如图7所示,在本实施方式中,监测AP100中除了包括存储模块110、报文获取模块120、报文解析模块130、查询模块140、判定模块150以及查询请求发送模块160之外,还包括解除关联报文伪造模块170和报文发送模块180。
在工作过程中,通过报文解析模块130对报文获取模块120获取到的数据交互报文进行解析得到可疑非法AP的MAC地址集合和终端的MAC地址集合;且判断模块判断出某一可疑非法AP为非法AP,则解除关联报文伪造模块170根据报文解析模块130得到的可疑非法AP的MAC地址集合和终端的MAC地址集合伪造解除关联报文,其中,解除关联报文中源MAC地址为终端对应的MAC地址、目的MAC地址为非法AP对应的MAC地址;之后,报文发送模块180将解除关联报文伪造模块170伪造的解除关联报文发送至非法AP,以此解除终端与非法AP之间的关联。
具体,在该过程中,若报文发送模块180将伪造解除关联报文发送至非法AP之后,该终端再次关联该非法AP,则解除关联报文伪造模块170再次伪造上述解除关联报文,并通过报文发送模块180再次发送至该非法AP。由正常来说,发送三次解除关联报文之后,终端将不再关联该非法AP,以此降低终端接入非法AP的可能性。当然,同一解除关联报文的伪造和发送次数可以根据实际情况进行设定,如,在一个实例中,伪造并发送两次;在另一实例中,伪造并发送三次甚至更多。
对上述实施方式进行改进得到本实施方式,在本实施方式中,报文发送模块180将解除关联报文发送至非法AP之后,判断模块进一步判断非法AP是否解除成功;若没有解除成功,则报文发送模块180进一步向非法AP发送大量的广播包,以占用非法AP的工作信道,提高网络延时,降低网络速率,逼迫用户自动放弃与该非法AP的关联。
根据以上对无线局域网中非法AP监测方法及其抑制方法、监测AP的描述,以下通过一实例对其进行进一步说明:
1).通过公共场所无线服务的合法AP预先登记,建立合法AP的MAC地址安全数据库,具体,在该MAC地址安全数据库中包括MAC1、MAC2、MAC3、MAC4四个合法AP的MAC地址;
2).合法AP安全数据库服务器将合法AP列表下发给相应设备厂家的云控制器,云控制器根据所管辖无线局域网区域的合法AP个数,将合法AP列表划分若干份之后分别下发给无线局域网内的所有合法AP;具体,若某云控制器所管辖的无线局域网区域中包括n个合法AP,分别为AP1、...、APn,则云控制器将AP列表划分成n个子列表,AP1、...、APn分别获得到1份合法AP子列表;
3).MAC地址为MAC1的合法AP在无线局域网中某一场所的固定点安装后,利用射频间隙全频段扫描周围的无线信号,作为监测AP;
4).监测AP抓取到终端与AP之间的数据交换报文,包括信标帧、关联报文以及加密的数据报文,得到可疑非法AP的MAC地址集合及终端MAC地址集合,并进行存储;
5).监测AP将MAC地址集合中的MAC地址作为关键字,在监测AP本地缓存的子列表中查询,某一非法AP对应的MAC地址没有在子列表中查找到,则根据该非法AP的MAC地址向无线局域网中所有合法AP发出查询请求;此时,没有任何AP响应该查询请求,判定该终端接入了非法AP;
6).在判断出该可疑非法AP为非法AP之后,监测AP伪造以此终端为源MAC、非法AP为目的MAC的解除关联报文并将其发送至非法AP;非法AP收到伪造的解除关联报文,以此解除终端的关联关系;若发送了解除关联报文之后仍然没有解除,则监测AP进一步发送大量广播包占用非法AP工作信道,逼迫终端自动解除该关联关系。
应当说明的是,上述实施例均可根据需要自由组合。以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种无线局域网中非法AP监测方法,其特征在于,应用于监测AP,所述监测AP中存储有无线局域网中所有合法AP的MAC地址集合,所述监测AP为无线局域网中任意一合法AP,所述非法AP监测方法中包括:
S10获取终端与无线局域网中AP之间的数据交互报文;
S20解析数据交互报文得到可疑非法AP的MAC地址集合;
S30逐一将可疑非法AP的MAC地址集合中的MAC地址作为关键字在内部存储的合法AP的MAC地址集合中查询;
S40若一可疑非法AP的MAC地址在合法AP的MAC地址集合中未查询到,则判定该可疑非法AP为非法AP,具体包括:
S41若一可疑非法AP的MAC地址在合法AP的MAC地址集合中未查询到,则根据该MAC地址向无线局域网中所有合法AP发送进一步查询请求;
S42若没有任意一合法AP响应,则判定该可疑非法AP为非法AP。
2.如权利要求1所述的非法AP监测方法,其特征在于,所述数据交互报文至少包括:监测AP周围的AP发送的信标帧、AP与终端之间交互的关联报文、以及AP与终端之间交互的加密数据报文中的一种。
3.如权利要求1所述的非法AP监测方法,其特征在于,
在步骤S41之后还包括:
S43若一可疑非法AP的MAC地址在合法AP的MAC地址集合中查询到,则判定该可疑非法AP为合法AP;
在步骤S42之后还包括:
S44若无线局域网内某一合法AP响应查询到该MAC地址,则判定该可疑非法AP为合法AP。
4.如权利要求1或2或3所述的非法AP监测方法,其特征在于,在步骤S10之前还包括:
S01建立合法AP的MAC地址安全数据库;
S02将MAC地址安全数据库下发至云控制器;
S03云控制器将MAC地址安全数据库分别下发至无线局域网中的每个合法AP中进行存储。
5.一种无线局域网中非法AP抑制方法,其特征在于,所述非法AP抑制方法中包括如权利要求1-4任意一项所述的非法AP监测方法,所述非法AP抑制方法中还包括:
S50解析数据交互报文得到终端的MAC地址集合;
S60伪造解除关联报文并将其发送至非法AP,以此解除终端与非法AP之间的关联,所述解除关联报文中源MAC地址为终端对应的MAC地址、目的MAC地址为非法AP对应的MAC地址。
6.如权利要求5所述的非法AP抑制方法,其特征在于,在步骤S60之后包括:
S70判断非法AP是否解除成功;
S80若没有解除成功,则进一步向非法AP发送大量的广播包。
7.一种监测AP,其特征在于,无线局域网中包括多个合法AP,监测AP为无线局域网中任意一合法AP,所述监测AP中包括:
存储模块,用于存储无线局域网中所有合法AP的MAC地址集合;
报文获取模块,用于获取终端与无线局域网中AP之间的数据交互报文;
报文解析模块,用于对报文获取模块获取到的数据交互报文进行解析得到可疑非法AP的MAC地址集合;
查询模块,用于逐一将报文解析模块得到的可疑非法AP的MAC地址集合中的MAC地址作为关键字在存储模块中存储的合法AP的MAC地址集合中查询;
判定模块,若非法AP的MAC地址集合中的一MAC地址在合法AP的MAC地址集合中未查询到,则判定模块判定该可疑非法AP为非法AP;
还包括查询请求发送模块;
若非法AP的MAC地址集合中的一MAC地址在合法AP的MAC地址集合中未查询到,则查询请求发送模块根据该MAC地址向无线局域网中所有合法AP发送进一步查询请求;若没有任意一合法AP响应,则判定模块判定该可疑非法AP为非法AP。
8.如权利要求7所述的监测AP,其特征在于,报文获取模块获取的数据交互报文至少包括:监测AP周围的AP发送的信标帧、AP与终端之间交互的关联报文、以及AP与终端之间交互的加密数据报文中的一种。
9.如权利要求8所述的监测AP,其特征在于,
所述报文解析模块还用于对报文获取模块获取到的数据交互报文进行解析得到终端的MAC地址集合;
所述监测AP中还包括:
解除关联报文伪造模块,用于根据报文解析模块得到的可疑非法AP的MAC地址集合和终端的MAC地址集合伪造解除关联报文,所述解除关联报文中源MAC地址为终端对应的MAC地址、目的MAC地址为非法AP对应的MAC地址;
报文发送模块,用于将解除关联报文伪造模块伪造的解除关联报文发送至非法AP。
10.如权利要求9所述的监测AP,其特征在于,
所述判定模块还用于判断非法AP是否解除成功;
若没有解除成功,则所述报文发送模块进一步向非法AP发送大量的广播包。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611025355.1A CN106572464B (zh) | 2016-11-16 | 2016-11-16 | 无线局域网中非法ap监测方法及其抑制方法、监测ap |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611025355.1A CN106572464B (zh) | 2016-11-16 | 2016-11-16 | 无线局域网中非法ap监测方法及其抑制方法、监测ap |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106572464A CN106572464A (zh) | 2017-04-19 |
| CN106572464B true CN106572464B (zh) | 2020-10-30 |
Family
ID=58542375
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611025355.1A Active CN106572464B (zh) | 2016-11-16 | 2016-11-16 | 无线局域网中非法ap监测方法及其抑制方法、监测ap |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106572464B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109275136A (zh) * | 2018-09-03 | 2019-01-25 | 武汉思普崚技术有限公司 | 阻断Wi-Fi恶意攻击的方法及系统 |
| CN109309535A (zh) * | 2018-10-26 | 2019-02-05 | 四川长虹电器股份有限公司 | Ap设备无线自动化检测系统及方法 |
| CN110012469B (zh) * | 2019-04-29 | 2021-03-30 | 四川英得赛克科技有限公司 | 一种工业控制环境下无线热点合法性快速判别方法 |
| CN110087244A (zh) * | 2019-04-29 | 2019-08-02 | 新华三技术有限公司 | 一种信息获取方法和装置 |
| CN110535844B (zh) * | 2019-08-20 | 2021-09-28 | 北京网思科平科技有限公司 | 一种恶意软件通讯活动检测方法、系统及存储介质 |
| CN111417120A (zh) * | 2020-03-27 | 2020-07-14 | 中国人民解放军战略支援部队信息工程大学 | 一种基于去认证消息重构的WiFi热点和终端通信阻断方法 |
| CN113473471A (zh) * | 2021-06-21 | 2021-10-01 | 杭州网银互联科技股份有限公司 | 一种阻断无线移动终端接入非法ap的方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011097437A (ja) * | 2009-10-30 | 2011-05-12 | Toshiba Corp | 通信システム、当該システムの携帯端末、および当該システムのセンタ |
| CN104683984A (zh) * | 2015-03-11 | 2015-06-03 | 无锡北邮感知技术产业研究院有限公司 | 无线通信信号实时监测处理方法和系统 |
| CN105430651A (zh) * | 2015-11-02 | 2016-03-23 | 上海斐讯数据通信技术有限公司 | 检测非法无线接入点的方法及系统 |
| CN105451232A (zh) * | 2014-08-13 | 2016-03-30 | 中国移动通信集团江苏有限公司 | 伪基站检测方法、系统及终端、服务器 |
| CN106162649A (zh) * | 2015-04-20 | 2016-11-23 | 中兴通讯股份有限公司 | 一种识别无线接入点合法性的方法、终端及系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI307232B (en) * | 2006-06-09 | 2009-03-01 | Hon Hai Prec Ind Co Ltd | Wireless local area network with protection function and method for preventing attack |
| CN100544279C (zh) * | 2006-12-25 | 2009-09-23 | 杭州华三通信技术有限公司 | 无线局域网中监控非法接入点的方法、设备及系统 |
| CN101079741A (zh) * | 2007-06-29 | 2007-11-28 | 杭州华三通信技术有限公司 | 接入点,接入控制器以及监控非法接入的方法 |
| CN104349325B (zh) * | 2014-11-07 | 2018-09-28 | 工业和信息化部通信计量中心 | 用于监测伪无线接入点ap的方法及装置 |
-
2016
- 2016-11-16 CN CN201611025355.1A patent/CN106572464B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011097437A (ja) * | 2009-10-30 | 2011-05-12 | Toshiba Corp | 通信システム、当該システムの携帯端末、および当該システムのセンタ |
| CN105451232A (zh) * | 2014-08-13 | 2016-03-30 | 中国移动通信集团江苏有限公司 | 伪基站检测方法、系统及终端、服务器 |
| CN104683984A (zh) * | 2015-03-11 | 2015-06-03 | 无锡北邮感知技术产业研究院有限公司 | 无线通信信号实时监测处理方法和系统 |
| CN106162649A (zh) * | 2015-04-20 | 2016-11-23 | 中兴通讯股份有限公司 | 一种识别无线接入点合法性的方法、终端及系统 |
| CN105430651A (zh) * | 2015-11-02 | 2016-03-23 | 上海斐讯数据通信技术有限公司 | 检测非法无线接入点的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106572464A (zh) | 2017-04-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106572464B (zh) | 无线局域网中非法ap监测方法及其抑制方法、监测ap | |
| US9125055B1 (en) | Systems and methods for authenticating users accessing unsecured WiFi access points | |
| US8782745B2 (en) | Detection of unauthorized wireless access points | |
| US9237154B2 (en) | Secure and automatic connection to wireless network | |
| WO2021021956A1 (en) | Systems and methods for obtaining permanent mac addresses | |
| CN107948974B (zh) | 一种WiFi安全认证方法 | |
| CN105681272B (zh) | 一种移动终端钓鱼WiFi的检测与抵御方法 | |
| US20070186276A1 (en) | Auto-detection and notification of access point identity theft | |
| CN106961683B (zh) | 一种检测非法ap的方法、系统及发现者ap | |
| CN107197456B (zh) | 一种基于客户端的识别伪ap的检测方法及检测装置 | |
| CN104219670A (zh) | 识别虚假wifi的方法、客户端、服务器端和系统 | |
| US9730061B2 (en) | Network authentication | |
| CN104486765A (zh) | 一种无线入侵检测系统及其检测方法 | |
| US20170118638A1 (en) | Method and apparatus for passpoint eap session tracking | |
| WO2017128546A1 (zh) | 一种WiFi网络安全接入方法及装置 | |
| CN102857517B (zh) | 认证方法、宽带远程接入服务器以及认证服务器 | |
| CN106060072A (zh) | 认证方法以及装置 | |
| WO2017084456A1 (zh) | Wifi热点的处理方法、装置及系统 | |
| CN106982434B (zh) | 一种无线局域网安全接入方法及装置 | |
| CN109688096B (zh) | Ip地址的识别方法、装置、设备及计算机可读存储介质 | |
| CN106878992B (zh) | 无线网络安全检测方法和系统 | |
| CN111405548B (zh) | 一种钓鱼wifi的检测方法及装置 | |
| KR20150041407A (ko) | 신뢰 액세스포인트 접속 장치 및 방법 | |
| CN106412904B (zh) | 一种防假冒用户认证权限的方法及系统 | |
| CN113094719B (zh) | 访问控制方法、装置、设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20201028 Address after: 318015 no.2-3167, zone a, Nonggang City, no.2388, Donghuan Avenue, Hongjia street, Jiaojiang District, Taizhou City, Zhejiang Province Patentee after: Taizhou Jiji Intellectual Property Operation Co.,Ltd. Address before: 201616 Shanghai city Songjiang District Sixian Road No. 3666 Patentee before: Phicomm (Shanghai) Co.,Ltd. |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20201224 Address after: 313300 Sunshine Industrial Park, Dipu Town, Anji County, Huzhou City, Zhejiang Province Patentee after: Zhejiang Anji chair Technology Co.,Ltd. Address before: 318015 no.2-3167, area a, nonggangcheng, 2388 Donghuan Avenue, Hongjia street, Jiaojiang District, Taizhou City, Zhejiang Province Patentee before: Taizhou Jiji Intellectual Property Operation Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Illegal AP monitoring method and its suppression method in wireless LAN Effective date of registration: 20211022 Granted publication date: 20201030 Pledgee: Zhejiang Anji Rural Commercial Bank of the West Branch of Limited by Share Ltd. Pledgor: Zhejiang Anji chair Technology Co.,Ltd. Registration number: Y2021330002007 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20221122 Granted publication date: 20201030 Pledgee: Zhejiang Anji Rural Commercial Bank of the West Branch of Limited by Share Ltd. Pledgor: Zhejiang Anji chair Technology Co.,Ltd. Registration number: Y2021330002007 |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240111 Address after: Room 602, No. 72, Lane 500, Jiangzhi Road, Minhang District, Shanghai, 2011 Patentee after: Liu Shiyuan Address before: 313300 Sunshine Industrial Park, Dipu Town, Anji County, Huzhou City, Zhejiang Province Patentee before: Zhejiang Anji chair Technology Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240122 Address after: 201100 floor 2, building 2, No. 1508, Kunyang Road, Minhang District, Shanghai Patentee after: Fenshang (Shanghai) Intelligent Technology Co.,Ltd. Country or region after: China Address before: Room 602, No. 72, Lane 500, Jiangzhi Road, Minhang District, Shanghai, 2011 Patentee before: Liu Shiyuan Country or region before: China |