扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
1.2 Rogue Client的检测
Rogue Client是一种试图非法进入WLAN或破坏正常无线通信的带有恶意的无线客户,管理员只要多注意他们的异常行为,就不难识别假冒客户。其异常行为的特征主要有:①发送长持续时间(Duration)帧;②持续时间攻击;③探测“any SSID”设备;④非认证客户。
如果客户发送长持续时间/ID的帧,其他的客户必须要等到指定的持续时间(Duration)后才能使用无线媒介,如果客户持续不断地发送这样的长持续时间帧,这样就会使其他用户不能使用无线媒介而一直处于等待状态。
为了避免网络冲突,无线节点在一帧的指定时间内可以发送数据,根据802.11帧格式,在帧头的持续时间/ID域所指定的时间间隔内,为节点保留信道。网络分配矢量(NAV)存储该时间间隔值,并跟踪每个节点。只有当该持续时间值变为O后,其他节点才可能拥有信道。这迫使其他节点在该持续时间内不能拥有信道。如果攻击者成功持续发送了长持续时间的数据包,其他节点就必须等待很长时间,不能接受服务,从而造成对其他节点的拒绝服务。
如果AP允许客户以任意SSID接入网络,这将给攻击者带来很大的方便,如果发现有客户以任意SSID方式连接,就很可能是攻击者,管理员应该更改AP的设置,禁止以任意SSID方式接入。如果假冒客户在合法客户认证列表中出现,可以根据客户MAC地址和设备供应商标识进行判断,如果NIC的MAC地址或Vendor标识未在访问控制列表中,则可能是非法客户。
2、无线网络攻击的防御
当识别出假冒AP之后,应该立即采取的措施就是阻断该AP的连接,有以下方式可以阻断AP连接:(1)采用DoS攻击的办法,迫使其拒绝对所有客户的无线服务;(2)网络管理员利用网络管理软件,确定该非法AP的物理连接位置,从物理上断开;(3)检测出非法AP连接在交换机的端口,并禁止该端口。可以利用无线网络管理软件来完成该任务。一旦假冒AP被确认,管理软件查找该AP的MAC地址,然后根据该MAC地址,找到其连接在交换机的哪个端口,从而断开或阻断所有通过该端口的网络流量。这能自动阻止客户连接到该假冒AP,而转为向其他相邻AP进行连接。这是一种最有效的方法。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。