專利名稱:局域網中探測非法無線接入點的方法和系統的制作方法
技術領域:
本發明涉及無線局域網領域,具體而言,涉及一種局域網中探測非法無線接入點的方法和系統。
背景技術:
作為全球公認的局域網權威,IEEE(Institute of Electrical and ElectronicsEngineers,美國電氣和電子工程師協會)802工作組建立的標準 在過去二十年內在局域網領域內獨領風騷。這些協議包括了 802. 3Ethernet (以太網)協議、802. 5Token Ring (令牌環網)協議、802. 3z 100BASE-T快速以太網協議。在1997年,經過了 7年的工作以后,IEEE發布了 802. 11協議,這也是在無線局域網領域內的第一個國際上被認可的協議。在1999年9月,他們又提出了 802. Ilb “High Rate”協議,用來對802. 11協議進行補充,802. Ilb在802. 11的IMbps和2Mbps速率下又增加了 5. 5Mbps和IlMbps兩個新的網絡吞吐速率,后來又演進到802. Ilg的54Mbps,直至今日802. Iln的300Mbps。利用802. 11,移動用戶能夠獲得同Ethernet—樣的性能、網絡吞吐率、可用性。這個基于標準的技術使得管理員可以根據環境選擇合適的局域網技術來構造自己的網絡,滿足他們的商業用戶和其他用戶的需求。和其他IEEE 802標準一樣,802. 11協議主要工作在ISO協議的最低兩層上,也就是物理層和數字鏈路層。任何局域網的應用程序、網絡操作系統或者像TCP/IP、NovellNetWare都能夠在802. 11協議上兼容運行,就像他們運行在802. 3Ethernet上一樣。由于無線局域網(WLAN, Wireless Local Area Networks)具有便捷、易使用和可提高人們工作效率等優點,可使人們的工作學習從一個固定地點,擴展到無線局域網覆蓋的任何地方,而條件是只要有一個具有無線網卡的筆記本等移動接入設備就可達成目標。但是我們也應看到任何事物都是矛盾的兩面體,在WLAN具有諸多優點的同時,來自WLAN的安全威脅也很多,如刺探、拒絕服務攻擊、監視攻擊、中間人(MITM)攻擊、從客戶機到客戶機的入侵、flooding攻擊等,本文研究其中最為嚴重的威脅局域網中非法無線接入點(Rogue AP),并給出其的檢測、定位和反制方法。非法無線接入點(Rogue AP)是現在WLAN中最大的安全威脅,黑客、不懷好意的雇員,或者無心地沒考慮到后果只是為提高工作效率的雇員在WLAN中安放未經授權的AP(Access Point,接入點)或客戶機提供對網絡的無限制訪問,從而給外界的不法分子提供了入侵和滲透的機會,這樣的后果可能就是大量企業和用戶的機密和私密的信息被竊取甚至遭到破壞。
發明內容
本發明提供一種局域網中探測非法無線接入點的方法和系統,用以防止不法分子入侵和滲透到局域網中,保護企業和用戶的信息安全。為達到上述目的,本發明提供了一種局域網中探測非法無線接入點的系統,該系統包括數據庫,用于將局域網中合法無線接入點的相應信息存入合法列表中;無線監聽模塊,用于周期性掃描局域網中的各個頻道,并接收局域網已有接入點散播的beacon信息,從中獲取標識信息,以及用于對中央處理單元確定的可疑無線接入點進行測試,在管理模式下嘗試連接可疑無線接入點,如果連接成功,嘗試通過可疑無線接入點連接局域網內的多個合法節點;中央處理單元,用于將掃描獲得的已有接入點的標識信息與合法列表中的相應信息進行比對,將未在合法列表中出現的無線接入點列為可疑無線接入點,以及若成功收到無線監聽模塊反饋的可疑無線接入點成功連接合法節點的反饋信息,則判定可疑無線接入點為非法無線接入點。較佳的,上述系統還包括有線監聽模塊,用于周期性地掃描局域網內的不同鏈·路,在進行ARP (Address Resolution Protocol,地址解析協議)測試時監聽ARP請求。較佳的,上述無線監聽模塊為USB (Universal Serial BUS,通用串行總線)網卡。較佳的,上述有線監聽模塊為交換機。為達到上述目的,本發明還提供了一種局域網中探測非法無線接入點的方法,該方法包括以下步驟將局域網中合法無線接入點的相應信息存入數據庫的合法列表中;通過無線監聽模塊周期性掃描局域網中的各個頻道,并接收局域網已有接入點散播的beacon信息,從中獲取標識信息;將掃描獲得的已有接入點的標識信息與合法列表中的相應信息進行比對,將未在合法列表中出現的無線接入點列為可疑無線接入點;對可疑無線接入點進行測試,無線監聽器在管理模式下嘗試連接可疑無線接入點,如果連接成功,嘗試通過可疑無線接入點連接局域網內的多個合法節點,若成功收到所述合法節點針對此次連接的反饋信息,則可疑無線接入點為非法無線接入點。較佳的,上述方法還包括以下步驟如果無線檢測模塊連接測試可疑無線接入點失敗,則可疑無線接入點是采用WEP (Wired Equivalent Privacy,有線等效保密)加密或者 MAC (Medium Access Control,介質訪問控制層)過濾或者是鄰居的無線接入點;對可疑無線接入點進行ARP測試,如果連接測試失敗,則可疑無線接入點采用MAC過濾或者采用了 WEP加密;通過中央處理單元模塊詢問局域網中的有線監聽模塊是否收到了 ARP請求,若是則詢問無線監聽模塊是否監聽到具有相同的MAC地址的信息幀,如果無線監聽模塊報告監聽到具有相同的MAC地址的信息幀,則確定可疑無線接入點為鏈接在局域網上的非法無線接入點。較佳的,上述方法還包括以下步驟中央處理單元模塊根據多個無線監聽模塊監聽到的非法無線接入點的信號強度,判斷出非法無線接入點的大概位置。較佳的,上述相應信息包括SSID(Service Set Identifier,服務集標識),BSSID (Basic Service Set Identif ier),頻道,生產廠商和安裝時間。較佳的,上述無線監聽模塊為USB網卡。
較佳的,上述有線監聽模塊為交換機。在上述實施例中,將無線監聽模塊探測到的無線接入點信息與數據庫中的合法列表保存的合法接入點信息進行對比,確定可疑的無線接入點,進而通過對可疑無線接入點進行連接測試和ARP測試判斷出該可疑無線接入點是否為非法無線接入點,從而可以采取措施防止不法分子入侵和滲透到局域網中,保護企業和用戶的信息安全。
為了更清楚地說明本發明實施例或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發明的一些實施例,對于本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據這些附圖獲得其他的附圖。圖I為根據本發明一實施例的局域網中探測非法無線接入點的系統框圖;·圖2為在圖I實施例基礎上的一更優實施例的系統框圖;圖3為根據本發明一實施例的局域網中探測非法無線接入點的系統工作原理框圖;圖4為根據本發明一實施例的局域網中探測非法無線接入點的方法流程圖。
具體實施例方式下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發明一部分實施例,而不是全部的實施例。基于本發明中的實施例,本領域普通技術人員在沒有付出創造性勞動前提下所獲得的所有其他實施例,都屬于本發明保護的范圍。圖I為根據本發明一實施例的局域網中探測非法無線接入點的系統框圖。如圖I所示,該系統包括數據庫10,用于將局域網中合法無線接入點的相應信息存入合法列表中;無線監聽模塊20,用于周期性掃描局域網中的各個頻道,并接收局域網已有接入點散播的beacon信息,從中獲取標識信息,以及用于對中央處理單元確定的可疑無線接入點進行測試,在管理模式下嘗試連接可疑無線接入點,如果連接成功,嘗試通過可疑無線接入點連接局域網內的多個合法節點;中央處理單元30,用于將掃描獲得的已有接入點的標識信息與合法列表中的相應信息進行比對,將未在合法列表中出現的無線接入點列為可疑無線接入點,以及若成功收到無線監聽模塊反饋的可疑無線接入點成功連接合法節點的反饋信息,則判定可疑無線接入點為非法無線接入點。在本實施例中,將無線監聽模塊探測到的無線接入點信息與數據庫中的合法列表保存的合法接入點信息進行對比,確定可疑的無線接入點,進而通過對可疑無線接入點進行連接測試判斷出該可疑無線接入點是否為非法無線接入點,從而可以采取措施防止不法分子入侵和滲透到局域網中,保護企業和用戶的信息安全。圖2為在圖I實施例基礎上的一更優實施例的系統框圖。如圖2所示,上述系統還包括有線監聽模塊40,用于周期性地掃描局域網內的不同鏈路,在進行ARP測試時監聽ARP請求。上述無線監聽模塊具體來說是一個具備相應探測功能的網卡,可以是USB形式的網卡或者其他形式的網卡。該網卡可以接插在需要進行探測的環境中的臺式機上,安裝Utility軟件后,可以開啟該網卡的監聽(Monitor)模式,之后在不同的頻道上展開被動監聽工作。這樣就相當于利用了企業和一般環境中常見的臺式機來完成監聽的工作,不需要額外的添加專門的監聽設備。Utility軟件可以在驅動層開啟監聽模式,主要的功能是控制網卡循環的在各個頻段上進行被動監聽,將監聽到的SSID和BSSID信息定時傳送給數據庫,接收和解析中央處理單元傳送來的命令,然后執行之。 無線監聽模塊,不僅具備一般的被動監聽功能還能在中央處理單元下達測試命令后,切換到管理(Managed)模式,監聽模塊去嘗試連接一個無線接入點從而為了獲取更多的信息以達到測試的目的。有線監聽模塊的結構是和無線監聽模塊的結構一樣,只是其是在有線網絡上進行監聽的。有很多企業級的能提供動態端口映射功能的企業級交換機,可以使得一個有線監聽模塊去周期性的掃描一個子網內的很多不同的鏈路。圖3為根據本發明一實施例的局域網中探測非法無線接入點的系統工作原理框圖。集中的由計算機來完成的密集分析工作都交給中央處理單元來完成。中央處理單元周期性的向數據庫模塊取得相應的信息,包括SSID,BSSID,然后對這些SSID和BSSID進行檢查看是否它們是在合法AP列表中的如果發現了一個不明的可疑網絡或者節點。那么中央處理單元就會命令無線監聽模塊去進行一系列的檢查工作來分析這個可疑設備是否是接在本有線網絡上的。數據庫模塊用來存放合法無線接入點的信息,包括SSID、BSSID和其他相應信息,同時也存儲無線監聽模塊和有線監聽模塊探測到的相應信息。具體應用的數據庫可以是時下流行的數據庫,并且為了適應企業級的環境,可以架設不止一個數據庫服務器。上述實施例充分利用企業中很常見的臺式機,來達成密集程度很高的無線監測網,具有檢測性強,經濟代價較低,易于部署和易于擴展等優點,最終可以達到在無線局域網特別是企業級無線局域網環境中成功探測非法無線接入點的目的。圖4為根據本發明一實施例的局域網中探測非法無線接入點的方法流程圖。如圖4所示,該方法包括以下步驟S102,將局域網中合法無線接入點的相應信息存入數據庫的合法列表中;S104,通過無線監聽模塊周期性掃描局域網中的各個頻道,并接收局域網已有接入點散播的beacon信息,從中獲取標識信息;S106,將掃描獲得的已有接入點的標識信息與合法列表中的相應信息進行比對,將未在合法列表中出現的無線接入點列為可疑無線接入點;S108,對可疑無線接入點進行測試,無線監聽器在管理模式下嘗試連接可疑無線接入點,如果連接成功,嘗試通過可疑無線接入點連接局域網內的多個合法節點,若成功收到合法節點針對此次連接的反饋信息,則可疑無線接入點為非法無線接入點。在本實施例中,將無線監聽模塊探測到的無線接入點信息與數據庫中的合法列表保存的合法接入點信息進行對比,確定可疑的無線接入點,進而通過對可疑無線接入點進行連接測試判斷出該可疑無線接入點是否為非法無線接入點,從而可以采取措施防止不法分子入侵和滲透到局域網中,保護企業和用戶的信息安全。例如,上述方法還包括以下步驟如果無線檢測模塊連接測試可疑無線接入點失敗,則可疑無線接入點是采用WEP加密或者MAC過濾或者是鄰居的無線接入點;對可疑無線接入點進行ARP測試,如果連接測試失敗,則可疑無線接入點采用MAC過濾或者采用了 WEP加密;通過中央處理單元模塊詢問局域網中的有線監聽模塊是否收到了 ARP請求,若是則詢問無線監聽模塊是否監聽到具有相同的MAC地址的信息幀,如果無線監聽模塊報告監聽到具有相同的MAC地址的信息幀,則確定可疑無線接入點為鏈接在局域網上的非法無線接入點。
·
例如,上述方法還包括以下步驟中央處理單元模塊根據多個無線監聽模塊監聽到的非法無線接入點的信號強度,判斷出非法無線接入點的大概位置。例如,上述相應信息包括SSID,BSSID,頻道,生產廠商和安裝時間。例如,上述無線監聽模塊為USB網卡。例如,上述有線監聽模塊為交換機。需要說明的是,上述實施例中監聽的方法雖然有兩種,主動的被動的,但我們這里實際上在無線局域網中,為不對其他網絡節點發生影響,以被動探測為主,而且被動探測,如果檢測器的位置和角度布置的合理的話,是可以監聽到很大部分的非法無線接入點的情況的。另外被動監聽不會影響網絡內的通信質量。本發明的上述實施例針對無線局域網中的非法無線接入點難題,提出了一種有效的解決方案。業界對于非法無線接入點難題的解決方案不僅很少,而且大多需要專門的探測裝置,如果環境面積較大,則不僅花費金額較大而且難于部署。本發明上述實施例采用企業和辦公室中很常見的臺式機插入專門的探測器件,同時部署一些比較少的設施即可以達到相應的信息安全要求。本領域普通技術人員可以理解附圖只是一個實施例的示意圖,附圖中的模塊或流程并不一定是實施本發明所必須的。本領域普通技術人員可以理解實施例中的裝置中的模塊可以按照實施例描述分布于實施例的裝置中,也可以進行相應變化位于不同于本實施例的一個或多個裝置中。上述實施例的模塊可以合并為一個模塊,也可以進一步拆分成多個子模塊。本領域普通技術人員可以理解實現上述方法實施例的全部或部分步驟可以通過程序指令相關的硬件來完成,前述的程序可以存儲于一計算機可讀取存儲介質中,該程序在執行時,執行包括上述方法實施例的步驟;而前述的存儲介質包括R0M、RAM、磁碟或者光盤等各種可以存儲程序代碼的介質。最后應說明的是以上實施例僅用以說明本發明的技術方案,而非對其限制;盡管參照前述實施例對本發明進行了詳細的說明,本領域的普通技術人員應當理解其依然可以對前述實施例所記載的技術方案進行修改,或者對其中部分技術特征進行等同替換;而這些修改或者替換,并不使相應技術方案的本質脫離本發明實施例技術方案的精神和范圍。
權利要求
1.一種局域網中探測非法無線接入點的系統,其特征在于,包括 數據庫,用于將局域網中合法無線接入點的相應信息存入合法列表中; 無線監聽模塊,用于周期性掃描局域網中的各個頻道,并接收局域網已有接入點散播的beacon信息,從中獲取標識信息,以及用于對中央處理單元確定的可疑無線接入點進行測試,在管理模式下嘗試連接所述可疑無線接入點,如果連接成功,嘗試通過所述可疑無線接入點連接所述局域網內的多個合法節點; 所述中央處理單元,用于將掃描獲得的已有接入點的標識信息與所述合法列表中的相應信息進行比對,將未在所述合法列表中出現的無線接入點列為可疑無線接入點,以及若成功收到所述無線監聽模塊反饋的所述可疑無線接入點成功連接所述合法節點的反饋信息,則判定所述可疑無線接入點為非法無線接入點。
2.根據權利要求I所述的系統,其特征在于,還包括 有線監聽模塊,用于周期性地掃描所述局域網內的不同鏈路,在進行ARP測試時監聽ARP請求。
3.根據權利要求I所述的系統,其特征在于,所述無線監聽模塊為USB網卡。
4.根據權利要求2所述的系統,其特征在于,所述有線監聽模塊為交換機。
5.一種局域網中探測非法無線接入點的方法,其特征在于,包括以下步驟 將局域網中合法無線接入點的相應信息存入數據庫的合法列表中; 通過無線監聽模塊周期性掃描局域網中的各個頻道,并接收局域網已有接入點散播的beacon信息,從中獲取標識信息; 將掃描獲得的已有接入點的標識信息與所述合法列表中的相應信息進行比對,將未在所述合法列表中出現的無線接入點列為可疑無線接入點; 對所述可疑無線接入點進行測試,所述無線監聽器在管理模式下嘗試連接所述可疑無線接入點,如果連接成功,嘗試通過所述可疑無線接入點連接所述局域網內的多個合法節點,若成功收到所述合法節點針對此次連接的反饋信息,則所述可疑無線接入點為非法無線接入點。
6.根據權利要求5所述的方法,其特征在于,還包括以下步驟 如果所述無線檢測模塊連接測試所述可疑無線接入點失敗,則所述可疑無線接入點是采用WEP加密或者MAC過濾或者是鄰居的無線接入點; 對所述可疑無線接入點進行ARP測試,如果連接測試失敗,則所述可疑無線接入點采用MAC過濾或者采用了 WEP加密; 通過中央處理單元模塊詢問局域網中的有線監聽模塊是否收到了 ARP請求,若是則詢問所述無線監聽模塊是否監聽到具有相同的MAC地址的信息幀,如果所述無線監聽模塊報告監聽到具有相同的MAC地址的信息幀,則確定所述可疑無線接入點為鏈接在所述局域網上的非法無線接入點。
7.根據權利要求5-6中任一項所述的方法,其特征在于,還包括以下步驟 所述中央處理單元模塊根據多個無線監聽模塊監聽到的所述非法無線接入點的信號強度,判斷出所述非法無線接入點的大概位置。
8.根據權利要求5所述的方法,其特征在于,所述相應信息包括 SSID,BSSID,頻道,生產廠商和安裝時間。
9.根據權利要求5所述的方法,其特征在于,所述無線監聽模塊為USB網卡。
10.根據權利要求6所述的方法,其特征在于,所述有線監聽模塊為交換機。
全文摘要
本發明公開了一種局域網中探測非法無線接入點的系統和方法,該系統包括數據庫,用于將局域網中合法無線接入點的相應信息存入合法列表中;無線監聽模塊,用于周期性掃描局域網中的各個頻道,從中獲取標識信息,以及用于對中央處理單元確定的可疑無線接入點進行測試,在管理模式下嘗試連接可疑無線接入點,如果連接成功,嘗試通過可疑無線接入點連接局域網內的多個合法節點;中央處理單元,用于將掃描獲得的已有接入點的標識信息與合法列表中的相應信息進行比對,將未在合法列表中出現的無線接入點列為可疑無線接入點,以及若成功收到無線監聽模塊反饋的可疑無線接入點成功連接合法節點的反饋信息,則判定可疑無線接入點為非法無線接入點。
文檔編號H04W24/00GK102843684SQ20111016695
公開日2012年12月26日 申請日期2011年6月21日 優先權日2011年6月21日
發明者徐樹民, 梁劍, 王永寶, 蘇斌 申請人:航天信息股份有限公司