本发明专利技术公开了一种无线局域网防范非法接入点的方法及系统,包括:接入点控制器控制一个或多个监控端向所有接入点发送检测报文,并且所述接入点控制器预先通过安全通道告知合法接入点收到该检测报文后不进行应答;所述接入点控制器通过所述监控端收到的应答确定所有接入点中的非法接入点,并控制所述监控端向所述非法接入点发送攻击报文。该方法简单,容易实现,通过该方法有效解决了非法AP将其MAC地址修改为合法AP的MAC地址进行非法接入的问题。
【技术实现步骤摘要】
本专利技术涉及通信
,尤其涉及一种无线局域网防范非法接入点的方法及系统。
技术介绍
无线局域网(WLAN,Wireless Local Area Network)技术是基于 IEEE 制定的802. 11标准建立的。该标准中将无线局域网称为基本服务集(BSS,Basic Service Set),组成BSS的设备被称为站点(STA,Station),并定义了两种组网模式基础设施模式(Infrastructure BSS) BSS 和独立模式(Independent) BSS。在 Infrastructure BSS 中,有一个STA既有连接到无线局域网的接口,也有连接到有线网络的接口,它被称为接入点(AP),其它STA都要连接到AP上,各STA与有线网络之间的通信,以及各STA之间的通信,都要经过AP中转。而IBSS也被称为ad hoc网络,各STA的地位是平等的,没有AP,它们相互连接,并直接通信。实际组网时大多会采用基础设施模式。由于WLAN的信号是在空中传输,所以相比有线局域网来说,它面临更多的安全威胁。其中一个比较大的威胁是非法AP。不法分子用很低的成本(只需一个无线网卡)就可以搭建起一个AP,将它放到热点区域,例如咖啡厅,并起一个与合法的无线网络名称相识或者相同的名称,例如ChinaNet-、CMCC-开头的,诱使用户连接上它,并提供虚假的登录页面,获取到用户的帐号和密码等。为了更具欺骗性,不法分子可能会采取中间人攻击方式,在他的电脑上安装两个无线网卡,其中一个配置成AP模式,提供虚假的接入服务;另外一个配置成STA模式,连接到合法AP上;两个网卡进行桥接。这样一来,STA连接到非法AP后,还能正常地上网,但是STA收发的报文全部被截获了,攻击者从中可以分析出用户的很多信肩、O要防范非法AP,首先要能检测出非法AP的存在。目前普遍采用的检测方法是基于AP的MAC地址控制器通过静态配置或者动态学习的方法维护一张合法AP的MAC地址列表,并指定若干个合法AP周期性的进行扫描操作;各合法AP将自己的扫描结果,包括各个邻居AP的MAC地址、信道号等信息,上报给控制器;控制器再将扫描结果与合法AP列表进行比较,如果有AP的MAC地址不在列表中的,就判断它是非法AP。但是由于无线网络环境是开放的,所以非法AP完全可以通过监听信标帧,获取到某个合法AP的MAC地址等信息,然后将自己的MAC地址等参数修改成与之相同,这样上面的检测方法就失效了。所以需要研究新的方法来应对这种情况。
技术实现思路
鉴于上述的分析, 本专利技术旨在提供一种无线局域网防范非法接入点的方法及系统,用以解决现有技术中不能防范非法AP将其MAC地址修改为合法的AP的MAC地址进行非法接入的问题。本专利技术的目的主要是通过以下技术方案实现的一种无线局域网防范非法接入点的方法,包括AC控制一个或多个监控端向所有AP发送检测报文,并且所述AC预先通过安全通道告知合法AP收到该检测报文后不进行应答;所述AC通过所述监控端收到的应答确定所有AP中的非法AP,并控制所述监控端向所述非法AP发送攻击报文。 优选地,所述AC确定非法AP后控制所述监控端向所述非法AP发送攻击报文的步骤具体包括所述AC确定非法AP后,随机构造多个假的STA地址,并将上述假的STA地址通过所述安全通道传递给所述监控端,如果所述非法AP冒充了合法AP的STA地址,同时将上述假的STA地址通过所述安全通道传递给所述非法AP冒充的合法AP ;所述AC控制所述监控端使用上述假的STA地址伪造成多个假的STA向所述非法AP发送攻击报文;所述非法AP冒充的合法AP收到上述攻击报文后,忽略该攻击报文。优选地,所述监控端为所述AC指定的监控STA或监控AP ;当所述监控端为监控AP时,所述监控AP伪装成STA向所有AP发送检测报文,其中,所述监控AP伪装成STA的MAC地址为所述AC随机构造的;当所述监控端为监控 STA时,所述监控STA的MAC地址为所述AC随机构造的。优选地,所述检测报文的类型包括探测请求和/或关联请求。优选地,所述攻击报文的类型包括认证请求和/或关联请求。本专利技术还提供了一种无线局域网防范非法接入点的系统,包括AC,用于控制一个或多个监控端向所有AP发送检测报文,并且预先通过安全通道告知合法AP收到该检测报文后不进行应答,并通过所述监控端收到的应答确定所有AP中的非法AP,并控制所述监控端向所述非法AP发送攻击报文;所述监控端,用于根据所述AC的指示向所有AP发送检测报文,并将收到的所述应答发送给所述AC,还根据所述AC的指示向所述非法AP发送攻击报文。优选地,所述AC具体用于,控制一个或多个监控端向所有AP发送检测报文,并且预先通过安全通道告知所有合法AP收到该检测报文后不进行应答,根据所述监控端收到的所述应答来确定所有AP中的非法AP,并在确定非法AP后随机构造多个假的STA地址,将上述假的STA地址通过所述安全通道传递给所述监控端,如果所述非法AP冒充了合法AP的STA地址,同时将上述假的STA地址通过所述安全通道传递给所述非法AP冒充的合法AP,并控制所述监控端使用上述假的STA地址伪造成多个假的STA向所述非法AP发送攻击报文;所述监控端具体用于,根据所述AC的指示向所有AP发送检测报文,并将收到的所述应答发送给所述AC,还根据所述AC的指示使用所述AC随机构造多个假的STA地址向所述非法AP发送攻击报文。优选地,所述监控端为所述AC指定的监控STA或监控AP ;当所述监控端为监控AP时,所述监控AP伪装成STA向所有AP发送检测报文,其中,所述监控AP伪装成STA的MAC地址为所述AC随机构造的;当所述监控端为监控STA时,所述监控STA的MAC地址为所述AC随机构造的。优选地,所述检测报文的类型包括探测请求和/或关联请求。优选地,所述攻击报文的类型包括认证请求和/或关联请求。本专利技术有益效果如下本专利技术提供了一种无线局域网防范非法接入点的方法及系统,通过接入点控制器控制监控端向所有AP发送检测报文,合法AP收到该检测报文后不进行应答,而非法AP收到所述检测报文后进行应答,接入点控制器根据所述监控端收到的所述非法AP发送来的所述应答来确定非法AP,并控制所述监控端向所述非法AP发送攻击报文,使所述非法AP不能正常工作。该方法简单,容易实现,通过该方法有效解决了非法AP将其MAC地址修改为合法AP的MAC地址进行非法接入的问题。本专利技术的其他特征和优点将在随后的说明书中阐述,并且,部分的从说明书中变得显而易见,或者通过实施本专利技术而了解。本专利技术的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。附图说明图1为本专利技术实施例1的无线局域网防范非法接入点的方法的流程图;图2为本专利技术实施例1的合法AP检测和攻击非法AP的方法的流程图;图3为本专利技术实施例1的STA检测和攻击非法AP的方法的流程图。具体实施例方式下面结合附图来具体描述本专利技术的优选实施例,其中,附图构成本申请一部分,并与本专利技术的实施例一起用于阐释本专利技术的原理。为了清楚和简化目的,当其可能使本专利技术的主题模糊不清时,将省略本文所描述的器件中已知功能和结构的详细具体说明。本专利技术本文档来自技高网...
【技术保护点】
一种无线局域网防范非法接入点的方法,其特征在于,包括:接入点控制器控制一个或多个监控端向所有接入点发送检测报文,并且所述接入点控制器预先通过安全通道告知合法接入点收到该检测报文后不进行应答;所述接入点控制器通过所述监控端收到的应答确定所有接入点中的非法接入点,并控制所述监控端向所述非法接入点发送攻击报文。
【技术特征摘要】
1.一种无线局域网防范非法接入点的方法,其特征在于,包括 接入点控制器控制一个或多个监控端向所有接入点发送检测报文,并且所述接入点控制器预先通过安全通道告知合法接入点收到该检测报文后不进行应答; 所述接入点控制器通过所述监控端收到的应答确定所有接入点中的非法接入点,并控制所述监控端向所述非法接入点发送攻击报文。2.根据权利要求1所述的方法,其特征在于,所述接入点控制器确定非法接入点后控制所述监控端向所述非法接入点发送攻击报文的步骤具体包括 所述接入点控制器确定非法接入点后,随机构造多个假的STA地址,并将上述假的STA地址通过所述安全通道传递给所述监控端,如果所述非法接入点冒充了合法接入点的STA地址,同时将上述假的STA地址通过所述安全通道传递给所述非法接入点冒充的合法接入占. 所述接入点控制器控制所述监控端使用上述假的STA地址伪造成多个假的STA向所述非法接入点发送攻击报文; 所述非法接入点冒充的合法接入点收到上述攻击报文后,忽略该攻击报文。3.根据权利要求1或2所述的方法,其特征在于,所述监控端为所述接入点控制器指定的监控STA或监控接入点; 当所述监控端为监控接入点时,所述监控接入点伪装成STA向所有接入点发送检测报文,其中,所述监控接入点伪装成STA的MAC地址为所述接入点控制器随机构造的; 当所述监控端为监控STA时,所述监控STA的MAC地址为所述接入点控制器随机构造的。4.根据权利要求1或2所述的方法,其特征在于,所述检测报文的类型包括探测请求和/或关联请求。5.根据权利要求1或2所述的方法,其特征在于,所述攻击报文的类型包括认证请求和/或关联请求。6.一种无线局域网防范非法接入点的系统,其特征在于,包括 接入点控制器,用于控制一个或多个监控端向所有接入点发送检测报文,并且预先通过安全通道告知合法接入点收到该检测报文后不进行应...
【专利技术属性】
技术研发人员:彭永超,熊杰,唐建国,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。