基于无线网络的入侵检测技术(2)

　　1.2　Rogue Client的检测

　　Rogue Client是一种试图非法进入WLAN或破坏正常无线通信的带有恶意的无线客户，管理员只要多注意他们的异常行为，就不难识别假冒客户。其异常行为的特征主要有:①发送长持续时间(Duration)帧;②持续时间攻击;③探测“any SSID”设备;④非认证客户。

　　如果客户发送长持续时间/ID的帧，其他的客户必须要等到指定的持续时间(Duration)后才能使用无线媒介，如果客户持续不断地发送这样的长持续时间帧，这样就会使其他用户不能使用无线媒介而一直处于等待状态。

　　为了避免网络冲突，无线节点在一帧的指定时间内可以发送数据，根据802.11帧格式，在帧头的持续时间/ID域所指定的时间间隔内，为节点保留信道。网络分配矢量(NAV)存储该时间间隔值，并跟踪每个节点。只有当该持续时间值变为O后，其他节点才可能拥有信道。这迫使其他节点在该持续时间内不能拥有信道。如果攻击者成功持续发送了长持续时间的数据包，其他节点就必须等待很长时间，不能接受服务，从而造成对其他节点的拒绝服务。

　　如果AP允许客户以任意SSID接入网络，这将给攻击者带来很大的方便，如果发现有客户以任意SSID方式连接，就很可能是攻击者，管理员应该更改AP的设置，禁止以任意SSID方式接入。如果假冒客户在合法客户认证列表中出现，可以根据客户MAC地址和设备供应商标识进行判断，如果NIC的MAC地址或Vendor标识未在访问控制列表中，则可能是非法客户。

　　2、无线网络攻击的防御

　　当识别出假冒AP之后，应该立即采取的措施就是阻断该AP的连接，有以下方式可以阻断AP连接:(1)采用DoS攻击的办法，迫使其拒绝对所有客户的无线服务;(2)网络管理员利用网络管理软件，确定该非法AP的物理连接位置，从物理上断开;(3)检测出非法AP连接在交换机的端口，并禁止该端口。可以利用无线网络管理软件来完成该任务。一旦假冒AP被确认，管理软件查找该AP的MAC地址，然后根据该MAC地址，找到其连接在交换机的哪个端口，从而断开或阻断所有通过该端口的网络流量。这能自动阻止客户连接到该假冒AP，而转为向其他相邻AP进行连接。这是一种最有效的方法。