2、无线网络攻击的防御
当识别出假冒AP之后,应该立即采取的措施就是阻断该AP的连接,有以下方式可以阻断AP连接:(1)采用DoS攻击的办法,迫使其拒绝对所有客户的无线服务;(2)网络管理员利用网络管理软件,确定该非法AP的物理连接位置,从物理上断开;(3)检测出非法AP连接在交换机的端口,并禁止该端口。可以利用无线网络管理软件来完成该任务。一旦假冒AP被确认,管理软件查找该AP的MAC地址,然后根据该MAC地址,找到其连接在交换机的哪个端口,从而断开或阻断所有通过该端口的网络流量。这能自动阻止客户连接到该假冒AP,而转为向其他相邻AP进行连接。这是一种最有效的方法。
对于Rogue客户,当确认客户为非法客户时,网络管理员可以断开其网络连接。通常的做法是把非法客户的MAC地址从AP的访问控制列表(ACL)中去除,ACL决定哪些MAC地址可以接入网络,那些不能接入网络。
2.1 IDS的应用
入侵检测系统(IDS)通过分析网络中的传输数据来判断破坏系统和入侵事件。在一些情况下,简单地使用防火墙或者认证系统也可以被攻破。入侵检测就是以这种技术,对未经授权的连接企图做出反应,甚至可以抵御部分可能的入侵。IETF的ID-WG将一个入侵检测系统分为4个组件:事件产生器、事件分析器、响应单元、事件数据库。传统的有线网络中IDS基本框架如图1所示。
498)this.style.width=498;">
图1 入侵检测系统通用框架
放置在网络中的探测器检测到异常,产生一个事件,报告给分析器,通过分析后产生一个告警信息报告给管理器。管理员决定如何操作,并对事件做出响应。我们把传统网络中的IDS技术应用于无线网络,以期增强无线网络抵御攻击的能力。
我们在试验环境下,搭建了基于Infrastructure结构的WLAN网络,用于测试IDS的性能。
该检测系统是基于网络的入侵检测系统(NIDS),如图2所示。网络管理员中心控制台配置检测代理和浏览检测结果,并进行关联分析。监测代理的作用是监听数据包,利用检测引擎进行检测,记录警告信息,并将警告信息发送至中心控制台。Probe的作用是捕获无线数据包,并发往监测代理。
498)this.style.width=498;">
图2 含AP模式的入侵检测系统