本发明专利技术公开了一种检测WIFI攻击的方法,包括:在AP中增加一个攻击检测模块和告警公告模块;攻击检测模块对无线驱动模块丢弃的无效或问题包进行攻击检测,并根据攻击检测结果判断是否受到攻击,并在受到攻击时,向告警公告模块发送攻击消息;告警公告模块生成两个告警公告消息,一个通过上网业务模块转发给正在与此AP连接的客户终端,进行告警公告;另一个通过上网业务模块转发给有网管中心网络的网管中心。本发明专利技术在上网出现瞬断、速度降低、不能上网的现象时,客户和运营商就能够迅速确定是否遭受WIFI攻击,节省人力物力,使客户和运营商能够及时采取相应措施,避免用户的敏感信息丢失,造成损失。
【技术实现步骤摘要】
一种检测WIFI攻击的方法
本专利技术涉及WIFI攻击,具体涉及一种检测WIFI攻击的方法。
技术介绍
由于WIFI不用重新布线,就可接入各种笔记本电脑、手机、平板(PAD)的特点,广泛应用于家庭、办公室、酒店等场所。WIFI无线网络由客户端和AP组成,无线接入点AP为提供WIFI无线接入的设备。根据标准,AP会定期发送Beacon帧,让无线客户端感知它的存在;同时,无线客户端也会通过主动扫描,选择相应的AP进行关联。通常无线网络客户端每次成功建立连接,就记录对应的APID,下次扫描到有连接记录的APID时会自动尝试建立连接;任何无线客户端要与AP建立连接,都需要经过认证、关联过程,最基本的连接建立过程为:无线客户端要与AP建立连接,首先会给AP发送AUTHrequest,AP收到后会回复AUTHresponse;然后,客户端再发送关联请求帧(包含加密认证),AP收到后回复关联响应。随着最后一公里接入技术的发展和用户的需求,DSL终端、PON上行终端也纷纷整合进了WIFI的AP功能,这些终端通常是由运营商进行维护的,由于该WIFI使用的是公众无线通道,一般是2.4G,所以很容易受到攻击,WIFI攻击,通常是利用连接建立过程的漏洞进行攻击;用户在遭受WIFI攻击时,出现的感知是上网出现瞬断、速度降低、不能上网,而其它原因也会导致同样的现象,如上层网络拥塞、接入线路问题等,客户和运营商无法快速确定出现上述现象原因是否是遭受到WIFI攻击,不仅耗费大量的人力物力,可能会导致用户的敏感信息丢失,造成损失。
技术实现思路
本专利技术所要解决的技术问题是在上网出现瞬断、速度降低、不能上网的现象时,客户和运营商能够迅速确定其发生原因是遭受WIFI攻击,以便采取相对措施的问题。为了解决上述技术问题,本专利技术所采用的技术方案是提供一种检测WIFI攻击的方法,包括以下步骤:在AP中增加一个攻击检测模块和告警公告模块;所述攻击检测模块对无线驱动模块丢弃的无效或问题包进行攻击检测,并根据攻击检测结果判断是否受到攻击,并在受到攻击时,向告警公告模块发送攻击消息;所述告警公告模块生成两个告警公告消息,一个通过上网业务模块转发给正在与此AP连接的客户终端,进行告警公告;另一个通过上网业务模块转发给有网管中心网络的网管中心。在上述方法中,AP的所述无线驱动模块实时记录客户终端和AP间的关联状态信息、收、发包的接收强度信号指示,并同无效或问题包的原始数据包一起发送给攻击检测模块。在上述方法中,所述告警公告模块将告警公告消息通过上网业务模块转发给正在与此AP连接的客户终端的方式如下:(1)上网登录界面提示的方式,具体包括以下两种情况:在检测到攻击时,由于攻击发生客户与网络连接自动掉线,客户在重新连网时,在上网登录界面上提示WIFI攻击;AP根据攻击的情况强行断开连接客户终端,客户终端被动重新连网时,在上网的登录界面上提示WIFI攻击;(2)通过AP的DNS临时转向,在客户终端的上网界面弹出一个告警窗口,通过告警窗口向无线客户终端发送告警公告消息。在上述方法中,所述无效或问题包包括协议栈不能处理需要丢弃的包、RSSI突变的包、MAC地址或者SSID不符合逻辑的包。在上述方法中,攻击检测的检测内容包括包是否符合攻击包外部特征、收到的包是否和协议标准的状态不符合、RSSI异常是否符合攻击特征。在上述方法中,判断是否受到攻击不能根据一个无效或问题包的攻击检测结果得到时,攻击检测模块记录收到的多个包的攻击检测结果,对这些包的攻击检测结果进行综合判断。本专利技术通过在AP中增加一个攻击检测模块和告警公告模块,检测WIFI攻击,并同时通知客户终端和网管中心,在上网出现瞬断、速度降低、不能上网的现象时,客户和运营商能够就可迅速确定是否够遭受WIFI攻击,不需要通过其他设备确定原因,节省人力物力,进而采取相应措施,避免用户的敏感信息丢失,造成损失。附图说明图1为采用本专利技术提供一种检测WIFI攻击的方法的AP结构示意图;图2为采用本专利技术对无线客户终端与连接的AP之间进行WIFI攻击检测的流程图。具体实施方式下面结合说明书附图和具体实施例对本专利技术做出详细的说明。通常一个AP包括无线驱动模块、上网业务模块和上联口模块,无线驱动模块完成无线空口包的收发、无线协议802.11的实现等;上网业务模块进行NAT转发等操作;上联口模块将上网业务模块处理好的包发到互联网,同时将收到的互联网的包发到上网业务模块处理;上联口模块的上联口上联以太网、DSL、PON等,不同的上联口的物理形式不一样。而对于非法的WIFI攻击包,在通常情况下,无线驱动模块收到后,如果是无效包,直接丢弃,不作任何处理;如果是伪装成功的问题包,无法被检测到,会进行相应的协议处理。本专利技术提供的一种检测WIFI攻击的方法,如图1所示,增加一个攻击检测模块和告警公告模块;攻击检测模块处理无线驱动模块丢弃的各种包(无效包),攻击检测模块对收到的包进行分析处理,根据逻辑条件判断该包是否有攻击以及攻击类型,并记录下对应攻击时间,向告警公告模块发送攻击消息;告警公告模块生成两个方向的告警公告消息,一个方向是通过上网业务模块发送给正在通过此AP上网的客户终端,让无线客户终端察觉到无线网络环境存在攻击;另一个方向是通过上网业务模块发送到有网管中心网络的网管中心,提醒该网管下挂用户无线环境产生了攻击,并记录在网管上,用于客服排查问题。在本专利技术中,无线驱动模块传递给攻击检测模块的无效包,除了原始数据包外,还包括正常包的接收强度信号指示(即RSSI),RSSI能够侧面反应无线客户终端的特征,即无线客户终端和AP之间的距离以及终端无线网卡的发送功率,这是因为正常包的RSSI由于是合法的终端产生的,有一定的物理特征,在和AP正常通信时,RSSI只会在较小范围内跳动,如果终端发生移动或者被移动物体遮挡时,由于物体运动的速率原因,RSSI变化率也在一定的范围内改变;反之,如果发生攻击,尽管攻击包可以模拟合法终端的各种数据特征(如MAC地址等),但是由于攻击者的物理位置和合法终端一般不可能在同一位置以及与合法终端网卡的无线发送功率相同,这样当在AP的无线网卡上出现正常包的RSSI有一定规律地上下跳动时,AP通过这个逻辑就可以进行一种攻击判别。因此,无线驱动模块在向检测模块发送丢弃包时还需要将正常包的RSSI也同步传送过来。此外,攻击检测模块还会获取AP的MAC地址、SSID等信息,用于内部攻击检测的逻辑处理。本专利技术的告警公告模块通过上网登录界面提示的方式向无线客户终端发送告警公告消息,具体包括以下两种情况:(1)上网登录界面提示,在检测到攻击时,由于攻击发生客户与网络连接自动掉线(如Deauth洪泛攻击),客户在重新连网时,在上网登录界面上提示WIFI攻击;(2)AP根据攻击的情况强行断开连接客户终端,客户终端被动重新连网时,在上网的登录界面上提示WIFI攻击;本专利技术的告警公告模块还可以通过AP的DNS临时转向,在客户终端的上网界面弹出一个告警窗口,通过告警窗口向无线客户终端发送告警公告消息。在本专利技术中,告警公告模块向网管中心发送告警公告消息可以根据AP和网管服务器的联接方式,选择SNMP、TR069等方式,网管中心收到了告警公告消息就可以本文档来自技高网...
【技术保护点】
一种检测WIFI攻击的方法,其特征在于,包括以下步骤:在AP中增加一个攻击检测模块和告警公告模块;所述攻击检测模块对无线驱动模块丢弃的无效或问题包进行攻击检测,并根据攻击检测结果判断是否受到攻击,并在受到攻击时,向告警公告模块发送攻击消息;所述告警公告模块生成两个告警公告消息,一个通过上网业务模块转发给正在与此AP连接的客户终端,进行告警公告;另一个通过上网业务模块转发给有网管中心网络的网管中心。
【技术特征摘要】
1.一种检测WIFI攻击的方法,其特征在于,包括以下步骤:在AP中增加一个攻击检测模块和告警公告模块;所述攻击检测模块对无线驱动模块丢弃的无效或问题包进行攻击检测,并根据攻击检测结果判断是否受到攻击,并在受到攻击时,向告警公告模块发送攻击消息;所述告警公告模块生成两个告警公告消息,一个通过上网业务模块转发给正在与此AP连接的客户终端,进行告警公告;另一个通过上网业务模块转发给有网管中心网络的网管中心。2.如权利要求1所述的方法,其特征在于,AP的所述无线驱动模块实时记录客户终端和AP间的关联状态信息、收、发包的接收强度信号指示,并同无效或问题包的原始数据包一起发送给攻击检测模块。3.如权利要求1所述的方法,其特征在于,所述告警公告模块将告警公告消息通过上网业务模块转发给正在与此AP连接的客户终端的方式如下:(1)上网登录界面提示的方式,具体包括以下两种情况:在检测到攻击时...
【专利技术属性】
技术研发人员:刘新峰,
申请(专利权)人:烽火通信科技股份有限公司,
类型:发明
国别省市:湖北,42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。