基于无线网络的入侵检测技术及测试结果(1)

随着无线技术和网络技术的发展，无线网络正成为市场热点，然而随着黑客技术的提高，无线局域网(WLAN)受到越来越多的威胁。无线网络不但因为基于传统有线网络TCP/IP架构而受到攻击，还有可能受到基于IEEE 802.11标准本身的安全问题而受到威胁。为了更好地检测和防御这些潜在的威胁，本文中我们阐述了假冒设备(包括AP和Client)的检测技术，并给出了如何在基于Infrastructure架构的WLAN中实施入侵检测策略，防止黑客的攻击。

1、WLAN的安全问题

来自WLAN的安全威胁很多，如刺探、拒绝服务攻击、监视攻击、中间人(MITM)攻击、从客户机到客户机的入侵、Rogue AP，flooding攻击等，本文中仅研究了对Rogue AP的检测。Rogue AP是现在WLAN中最大的安全威胁，黑客在WLAN中安放未经授权的AP或客户机提供对网络的无限制访问，通过欺骗得到关键数据。无线局域网的用户在不知情的情况下，以为自己通过很好的信号连入无线局域网，却不知已遭到黑客的监听了。随着低成本和易于配置造成了现在的无线局域网的流行，许多用户也可以在自己的传统局域网架设无线基站(WAPS)，随之而来的一些用户在网络上安装的后门程序，也造成了对黑客开放的不利环境。

1.1　Rogue设备的检测

通过侦听无线电波中的数据包来检测AP的存在，得到所有正在使用的AP，SSID和STA。要完成Rogue AP的检测，需要在网络中放置如下部件:①探测器Sensor/Probe，用于随时监测无线数据;②入侵检测系统IDS，用于收集探测器传来的数据，并能判断哪些是Rogue Device;③网络管理软件，用于与有线网络交流，判断出Rogue Device接入的交换机端口，并能断开该端口。

为了发现AP，分布于网络各处的探测器能完成数据包的捕获和解析的功能，它们能迅速地发现所有无线设备的操作，并报告给管理员或IDS系统，这种方式称为RF扫描。某些AP能够发现相邻区域的AP，我们只要查看各AP的相邻AP。当然通过网络管理软件，比如SNMP，也可以确定AP接入有线网络的具体物理地址。

发现AP后，可以根据合法AP认证列表(ACL)判断该AP是否合法，如果列表中没有列出该新检测到的AP的相关参数，那么就是Rogue AP识别每个AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型以及信道。判断新检测到AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型或者信道异常，就可以认为是非法AP。

1.2　Rogue Client的检测

Rogue Client是一种试图非法进入WLAN或破坏正常无线通信的带有恶意的无线客户，管理员只要多注意他们的异常行为，就不难识别假冒客户。其异常行为的特征主要有:①发送长持续时间(Duration)帧;②持续时间攻击;③探测“any SSID”设备;④非认证客户。

如果客户发送长持续时间/ID的帧，其他的客户必须要等到指定的持续时间(Duration)后才能使用无线媒介，如果客户持续不断地发送这样的长持续时间帧，这样就会使其他用户不能使用无线媒介而一直处于等待状态。

为了避免网络冲突，无线节点在一帧的指定时间内可以发送数据，根据802.11帧格式，在帧头的持续时间/ID域所指定的时间间隔内，为节点保留信道。网络分配矢量(NAV)存储该时间间隔值，并跟踪每个节点。只有当该持续时间值变为O后，其他节点才可能拥有信道。这迫使其他节点在该持续时间内不能拥有信道。如果攻击者成功持续发送了长持续时间的数据包，其他节点就必须等待很长时间，不能接受服务，从而造成对其他节点的拒绝服务。

如果AP允许客户以任意SSID接入网络，这将给攻击者带来很大的方便，如果发现有客户以任意SSID方式连接，就很可能是攻击者，管理员应该更改AP的设置，禁止以任意SSID方式接入。如果假冒客户在合法客户认证列表中出现，可以根据客户MAC地址和设备供应商标识进行判断，如果NIC的MAC地址或Vendor标识未在访问控制列表中，则可能是非法客户。