CN119815347A - 一种反制目标无线接入点的方法、装置及电子设备 - Google Patents
一种反制目标无线接入点的方法、装置及电子设备 Download PDFInfo
- Publication number
- CN119815347A CN119815347A CN202311315004.4A CN202311315004A CN119815347A CN 119815347 A CN119815347 A CN 119815347A CN 202311315004 A CN202311315004 A CN 202311315004A CN 119815347 A CN119815347 A CN 119815347A
- Authority
- CN
- China
- Prior art keywords
- target
- terminal
- message
- vap
- access point
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供了一种反制目标无线接入点的方法、装置及电子设备,用以提升WLAN网络中非法AP的反制方法的有效性,避免构造deauth报文时无法对开启PMF功能的非法AP进行反制,构造beacon报文时对已与终端建立连接的非法AP无法反制等反制方法失效的问题。该方法应用于控制器,方法包括:确定第一目标无线接入点AP,以及生成与所述第一目标AP对应的虚拟无线接入点VAP;响应于检测到向所述第一目标AP发送的报文,利用所述VAP向目标终端回复确认应答;其中,所述目标终端为,向所述第一目标AP发送所述报文的终端。
Description
技术领域
本申请涉及无线通信技术领域,尤其涉及一种反制目标无线接入点的方法、装置及电子设备。
背景技术
非法无线接入点(Rogue Acess Point,简称:Rogue AP),是指网络中未经授权或恶意无线接入点(Acess Point,简称:AP)冒充无线网络中合法AP与终端通信,实施攻击的AP;也称作流氓AP或非法设备。请参考图1,AP与无线控制器(Access Controller,简称:AC)配合进行网络部署,形成无线局域网。AP可部署于室内外,供终端(client)接入。而RougeAP可能为邻居AP、私自接入网络的AP和攻击者操纵的AP,rouge可能提供一些假冒的服务或通过漏洞攻击AP,致使终端接入之后安全受到威胁。该威胁包括但不限于致会话劫持和拒绝服务攻击(Denial of Service,简称:DOS)。
为此,无线入侵监测系统(Wireless Intrusion Detection System,简称:WIDS)是检测和防御无线区域网(Wireless Local Network,简称:WLAN)中潜在威胁的系统。WIDS通过对WLAN网络中设备检测,并在检测到非法设备之后,通过反制功能对异常设备处理,以使终端与异常设备断开,保障网络安全。然而,现基于WIDS进行反制的方法主要通过监控无线接入点(Monitor Acess Point,简称:Monitor AP)构造deauth报文,或者构造benacon报文向与Rouge AP进行关联的终端发送,以使终端与Rouge AP断开。
然而,上述构造deauth报文进行反制的问题在于,当终端与Rouge AP之间只使用管理帧保护功能时,终端将忽略Monitor AP发送的deauth报文,导致反制失效。而beacon报文的问题在于,由于终端监听beacon报文是为了能力调整,以加入网络,当终端已与RougeAP成功关联后,便不再监听beacon报文,这同样导致反制失效。因此,当前对WLAN网络中非法AP进行反制的有效性亟需提升。
发明内容
本申请提供了一种反制目标无线接入点的方法、装置及电子设备,用以提升WLAN网络中非法AP的反制方法的有效性,避免构造deauth报文时无法对开启PMF功能的非法AP进行反制,构造beacon报文时对已与终端建立连接的非法AP无法反制等反制方法失效的问题。
第一方面、本申请实施例提供一种反制目标无线接入点的方法,应用于控制器,包括:
确定第一目标无线接入点AP,以及生成与所述第一目标AP对应的虚拟无线接入点VAP;
响应于检测到向所述第一目标AP发送的报文,利用所述VAP向目标终端回复确认应答;其中,所述目标终端为,向所述第一目标AP发送所述报文的终端。
一种可能的实施方式,所述ACK包括所述目标终端的地址信息。
一种可能的实施方式,所述确定第一目标无线接入点AP,以及生成与所述第一目标AP对应的虚拟无线接入点VAP,包括:
获取空口的报文信息,并在所述空口的报文信息中读取AP的信息;
基于所述AP的信息,从所述AP中识别出所述第一目标AP;
生成与所述第一目标AP对应的所述VAP。
一种可能的实施方式,所述生成与所述第一目标AP对应的所述VAP,包括:
缓存所述第一目标AP的第一信息;
在所述第一目标AP的所述第一信息中,提取所述第一目标AP的基础服务集标识符BSSID;
基于所述第一目标AP的BSSID,生成与所述第一目标AP对应的VAP。
一种可能的实施方式,所述响应于检测到向所述第一目标AP发送的报文,利用所述VAP向目标终端回复确认应答,包括:
接收目标报文;
响应于所述目标报文中包含所述第一目标AP的BSSID,确定所述目标报文的发送端为所述目标终端;
基于所述目标报文中的源地址,确定所述目标终端的地址信息;
基于所述目标终端的地址信息,利用所述VAP,向所述目标终端回复确认应答。
一种可能的实施方式,所述第一目标AP的数量大于1;则所述生成与所述第一目标AP对应的虚拟无线接入点VAP,包括:
确定所述第一目标AP的优先级;
基于所述第一目标AP的优先级,将所述第一目标AP添加至优先级队列中,并在所述优先级队列中缓存所述第一目标AP的所述第一信息;
为所述优先级队列中的所述第一目标AP生成VAP。
一种可能的实施方式,所述基于所述第一目标AP的优先级,将所述第一目标AP添加至优先级队列中,并在所述优先级队列中缓存所述第一目标AP的所述第一信息之后,还包括:
响应于所述优先级队列中含与所述第一目标AP的BSSID相等的第二目标AP,利用所述第一目标AP的所述第一信息更新所述第二目标AP的信息;和/或,
响应于所述第一目标AP老化,在所述优先级队列中删除所述第一目标AP,并删除对应于所述第一目标AP的VAP。
第二方面、本申请实施例提供一种反制目标无线接入点的射频卡,包括:
报文模块,用于确定第一目标无线接入点AP,以及生成与所述第一目标AP对应的虚拟无线接入点VAP;
应答模块:用于响应于检测到向所述第一目标AP发送的报文,利用所述VAP向目标终端回复确认应答;其中,所述目标终端为,向所述第一目标AP发送所述报文的终端。
一种可能的实施方式,所述射频卡安装于AP中;所述射频卡与所述AP中提供终端接入功能的射频卡互相独立。
第三方面、本申请实施例提供一种反制目标无线接入点的装置,包括:
虚拟单元,用于确定第一目标无线接入点AP,以及生成与所述第一目标AP对应的虚拟无线接入点VAP;
响应单元,用于响应于检测到向所述第一目标AP发送的报文,利用所述VAP向目标终端回复确认应答;其中,所述目标终端为,向所述第一目标AP发送所述报文的终端。
一种可能的实施方式,所述虚拟单元具体用于获取空口的报文信息,并在所述空口的报文信息中读取AP的信息;基于所述AP的信息,从所述AP中识别出所述第一目标AP;生成与所述第一目标AP对应的所述VAP。
一种可能的实施方式,所述虚拟单元具体用于缓存所述第一目标AP的第一信息;在所述第一目标AP的所述第一信息中,提取所述第一目标AP的基础服务集标识符BSSID;基于所述第一目标AP的BSSID,生成与所述第一目标AP对应的VAP。
一种可能的实施方式,所述响应单元具体用于接收目标报文;响应于所述目标报文中包含所述第一目标AP的BSSID,确定所述目标报文的发送端为所述目标终端;基于所述目标报文中的源地址,确定所述目标终端的地址信息;基于所述目标终端的地址信息,利用所述VAP,向所述目标终端回复确认应答。
一种可能的实施方式,所述第一目标AP的数量大于1;则所述虚拟单元还用于确定所述第一目标AP的优先级;基于所述第一目标AP的优先级,将所述第一目标AP添加至优先级队列中,并在所述优先级队列中缓存所述第一目标AP的所述第一信息;为所述优先级队列中的所述第一目标AP生成VAP。
一种可能的实施方式,所述反制目标无线接入点的装置还包括更新单元,所述更新单元具体用于响应于所述优先级队列中含与所述第一目标AP的BSSID相等的第二目标AP,利用所述第一目标AP的所述第一信息更新所述第二目标AP的信息;和/或,响应于所述第一目标AP老化,在所述优先级队列中删除所述第一目标AP,并删除对应于所述第一目标AP的VAP。
第四方面、本申请实施例提供一种可读存储介质,包括,
存储器,
所述存储器用于存储计算机程序,当所述计算机程序被处理器执行时,使得包括所述可读存储介质的装置完成如第一方面及任一种可能的实施方式所述的方法。
第五方面、本申请实施例提供一种电子设备,包括:
存储器,用于存放计算机程序;
处理器,用于执行所述存储器上所存放的计算机程序时,以实现如第一方面及任一种可能的实施方式所述的方法。
本发明实施例中所提供的一个或多个技术方案,至少具有以下技术效果:
本申请实施例中在确定第一目标AP之后,即为第一目标AP生成对应的VAP,以确保在检测到向该第一目标AP发送的报文之后,能立即向报文发送端(目标终端)回复确认应答,以使终端因既收到来自第一目标AP的确认应答又收到前述利用VAP模拟第一目标AP发送的确认应答,而认为报文丢包,进而不能与第一目标AP正常管理,达到反制第一目标AP的目的。
当第一目标AP为非法AP时,由于WLAN网络遵循ACK确认应答机制,所以不论是生成VAP之前就已与终端建立连接的非法AP,亦或是生成VAP之后,终端才尝试关联的非法AP,在本申请实施例所提供的方法中,都可在检测到向非法AP发送的报文之后,进行反制。如此使得反制非法AP的有效性得以显著提升。
本申请的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种WLAN网络的组成示意图;
图2A为当前一种构造deauth报文以反制非法AP的WLAN网络示意图;
图2B为当前构造deauth报文并成功反制非法AP的终端与各AP间的报文交互示意图;
图2C为当前构造deauth报文以反制非法AP,反制失效时的终端与各AP间的报文交互示意图;
图3A为当前一种构造beacon报文以反制非法AP的WLAN网络示意图;
图3B为当前构造beacon报文并成功反制非法AP的终端与各AP间的报文交互示意图;
图3C为当前构造beacon报文以反制非法AP,反制失效时的终端与各AP间的报文交互示意图;
图4为本申请实施例提供的一种反制目标无线接入点的方法的流程示意图;
图5为本申请实施例提供的一种生成用于向终端回复确认应答的VAP的方法示意图;
图6为本申请实施例提供的一种射频卡中报文模块的组成结构示意图;
图7为本申请实施例提供的一种目标终端与非法AP尝试关联情形下对非法AP进行反制的示意图;
图8为本申请实施例提供的一种目标终端已与非法AP关联的情形下对非法AP进行反制的示意图;
图9为本申请实施例提供的一种反制目标无线接入点的装置的结构示意图;
图10为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚明白,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以按不同于此处的顺序执行所示出或描述的步骤。
本申请的说明书和权利要求书及上述附图中的术语“第一”和“第二”是用于区别不同对象,而非用于描述特定顺序。此外,术语“包括”以及它们任何变形,意图在于覆盖不排他的保护。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请中的“多个”可以表示至少两个,例如可以是两个、三个或者更多个,本申请实施例不做限制。
为便于理解本申请实施例提供的技术方案,以下首先针对本申请实施例的设计思想进行介绍:
在基于WIDS构造deauth报文对非法无线接入点(以下统称为非法AP)进行反制的方法中,请参考图2A,监控无线接入点(以下统称为监控AP)发现非法AP之后,由于deauth报文为一种发送断开连接的请求的管理报文,所以监控AP将模拟非法AP向终端发送deauth报文,并模拟终端向非法AP发送deauth报文。如图2B所示,当终端接收到监控AP模拟非法AP发送的deauth报文之后,终端将下线,如此可达到迫使终端与非法AP断开连接的目的。或者,非法AP接收到监控AP模拟终端发送的deauth报文,同样可达到迫使终端与非法AP断开连接。
然而,当终端与非法AP之间开启管理帧保护((Protected Management Frame,简称:PMF))功能时,因监控AP难以获取/破解终端与非法AP之间的密钥信息,使得监控AP在模拟非法AP或终端发送deauth报文时,只能发送未经加密的deauth报文。而对于使用PMF功能的非法AP和终端,将忽略该未加密的deauth报文,可参考图2C,这导致反制失效。
上述PMF是WIFI联盟发布的一种方案,旨在保护管理帧,防止伪造攻击,开启PMF后,对于未加密的管理报文,终端将忽略该报文,不进行响应。
另外,在基于WIDS构造beacon报文对非法AP进行反制的方法中,请参考图3A,当监控AP发现非法AP时,监控AP将模拟非法AP构造beacon报文向终端发送。由于beacon报文的作用是通过AP的能力参数,以使接收到的终端调整自身参数以便加入到AP的网络中。所以监控AP可模拟非法AP发送beacon报文,且在该beacon报文设置与非法AP的加密方式等信息不同的信息,请参考图3B,使接收到该beacon报文的终端误认为非法AP的参数一直在变化,从而使终端无法正常关联到非法AP中,起到反制的效果。
但是,终端监听beacon报文的前提时,终端还未与非法AP成功关联,即处于与非法AP尝试关联的状态。当终端与非法AP已关联,链路通信顺畅的情况下,终端不再监听beacon报文,请参考图3C,如此导致达不到反制非法AP的效果。
基于前述分析可见,当前反制非法无线AP的方法的有效性亟需提升,以避免构造beacon报文或deauth报文进行反制时在开启PMF等情况下反制效果得不到保障,终端用户的信息安全受到威胁的问题。
为此,本申请实施例提供一种反制目标无线接入点的方法:确定目标AP之后,即为该目标AP生成虚拟无线接入点(Virtual Access Point,简称:VAP),以便于检测到向目标AP发报文,意图与目标AP通信的目标终端之后,利用前述已生成的VAP模拟目标AP向目标终端发送确认应答,以使终端在接收到目标AP所发的确认应答之外,还接收到基于VAP所发送的模拟的确认应答。由此在终端侧造成两个确认应答冲突的问题,使终端断开与目标AP的连接,从而达到保护目标终端的目的,避免目标AP为非法AP时对于目标终端所造成的安全威胁,
需要说明的是,本申请实施例所提供的反制目标AP的方法的应用场景可以是需断开某一目标AP与终端之间连接的任意场景。应用场景包括但不限于反制非法无线接入点的场景。例如,还可应用于当终端所关联的AP的信号不佳,为提升用户体验,可基于本申请实施例所提供的方法,将该信号不佳的AP作为目标AP以使与其关联的终端下线,从而促使该终端连接到信号更佳的AP。
还需说明的是,本申请实施例所提供的反制目标无线接入点的方法应用于控制器。该控制器可以是WLAN中可支持监控功能的AP,例如可以为Monitor AP;该控制器也可以是其它的控制模块。
优选地,控制器为支持监控功能的AP中。
当本申请实施例所提供的反制目标无线接入点的方法应用于AP之中时,该方法可具体地应用于AP中提供用户接入的射频卡,也可应用于AP中独立的射频卡。该独立的射频卡仅用于实施本申请实施例所提供的反制非法AP的方法,而不提供用户接入的功能。优选地,将本申请实施例所提供的方法应用于AP中独立的射频卡。如此可避免反制非法AP与为用户(即终端)提供接入功能时所产生的冲突,以充分保障反制的有效性以及时效性。即,避免实施本申请实施例所提供的方法进行扫描以采集空口的报文信息,进而确定非法AP所花时间与接入终端所需时间的冲突。倘若扫描非法AP的时间长,容易引起接入终端丢包或下线。倘若扫描非法AP时间短,则容易导致不能及时确定非法AP,进而导致反制不及时。
以下结合附图来描述本申请实施例所提供的反制非法无线接入点的方法。
如图4所示,为本申请实施例提供的一种反制非法无线接入点AP的方法,该方法应用于控制器,以提升反制有效性,避免当前构造deauth报文或beacon报文容易失效的问题。该方法包括以下实施步骤:
步骤401:确定第一目标无线接入点AP,以及生成与第一目标AP对应的VAP。
其中,VAP基于第一目标AP的基础服务集标识符(Basic Service SetIdentifier,简称:BSSID)生成。
以下针对第一目标AP的确定以及VAP的生成进行详细说明,请参考图5:
步骤501:获取空口的报文信息,并在空口的报文信息中读取AP的信息。
该空口的报文信息中可包括一个或多个AP所发送的报文,其中各自包括相应的AP的信息。
在一些实施例中,该空口的报文信息可包括一个或多个AP发送的,标志其处于工作状态的beacon报文。
具体而言,可先采集AP周围的空口的报文信息,以获取空口的报文信息。然后可在该空口的报文信息中读取AP的信息。
该AP的信息与AP一一对应,同样为报文信息。该第一信息可包括AP的BSSID、服务集标识符(Service Set Identifier,简称:SSID)等。
步骤502:基于AP的信息,从前述空口报文信息中的AP中识别出第一目标AP。
则可将第一目标AP的信息标记为第一信息。
具体而言,对于现网正常部署的AP,其发送的报文均含预协商的标志位,该标志位的作用即为表示发送端AP为正常部署的合法AP。由此,当在AP的信息中读取到该预协商的标志位时,可确定该AP的信息的发送端AP为非目标AP。而当AP的信息中不含预协商的标志位时,可确定发送该AP的信息的AP为非友好AP。
在一些实施例中,可将上述非友好AP一并确定为第一目标AP。
在一些实施例中,可根据上层应用中具体的反制模式所对应的预设规则,在前述非友好AP中识别出第一目标AP。
例如,预设规则为,根据上层应用中BSSID和SSID的黑名单确认,则当AP的信息中的BSSID或SSID属于黑名单,则可确定与该AP的信息所对应的AP(即前述非友好AP)为第一目标AP.
又例如,预设规则为,确定AP的信息中SSID与现网部署的合法AP之间的SSID相似度,并对比该相似度与相似度阈值的相对大小关系。则当某一AP的信息中SSID与前述合法AP的SSID之间的相似度大于相似阈值时,可确定该AP的信息所对应的AP(即前述非友好AP)为第一目标AP。
步骤503:生成与第一目标AP对应的VAP。
该VAP与第一目标AP具备一一对应的关系。
具体地,为便于管理,知晓WLAN网络中非法AP的情况,可对第一目标AP的第一信息进行缓存。
同时,可在第一目标AP的第一信息中,提取第一目标AP的BSSID。以基于该第一目标的BSSID,生成与第一目标AP对应的VAP。该VAP用于模拟第一目标AP向目标终端回复确认应答。
步骤402:响应于检测到向第一目标AP发送的报文,利用VAP向目标终端回复确认应答,以达到模拟第一目标AP向目标终端回复确认应答的目的。
其中,目标终端指示,向第一目标AP发送报文的终端。该确认应答可为802.11标准下的ACK确认。
具体地,接收目标报文。该目标报文可以为终端向WLAN中AP发送的关联报文,以向AP发起建立连接的请求。该目标报文也可为终端已与WLAN中某一AP建立连接之后向该AP发起的数据报文。
目标报文含源地址(即发送端的地址信息)以及目的地址(即目标端的地址信息)。
该目的地址至少包括目标AP的BSSID,以便于准确识别出该目标报文的接收端是否为第一目标AP。
此外,该目的地址还可包括目的媒体存取控制位址(MediaAccessControlA)ddres,简称:MAC),该目的MAC可以为WLAN网络中交换机的MAC地址,也可以为目标AP的MAC地址。
上述源地址例如为源MAC。
然后读取目标报文,以对目标报文中的目的地址进行检测。响应于目标报文中目的地址中的BSSID对应于该第一目标AP,也即,响应于目标报文中包含第一目标AP的BSSID,则可确定目标报文的发送端为目标终端。由此该目标报文中的源地址,即为目标终端的地址信息。因而可基于该目标终端的地址信息,利用VAP向目标终端回复确认应答。
否则,响应于目标报文中目的地址中的BSSID与第一目标AP不对应,也即,响应于目标报文中不包含第一目标AP的BSSID,则可以确定发送该目标报文的终端非目标终端。
进一步地,当第一目标AP的数量大于1,则前述步骤401中缓存第一目标AP的第一信息时,可先确定第一目标AP的优先级,并按照优先级顺序排列为优先级队列进行缓存,以在多个目标终端向多个第一目标AP发起关联时,可基于该优先级队列确定向目标终端回复确认应答的时间,避免执行步骤402时待反制的非法AP信号数量超出数量限值所引起的不支持的问题。
具体地,可先确定第一目标AP的优先级。该优先级可基于第一目标AP对于终端的安全威胁程度大小确定。例如,第一目标AP与WLAN中其它合法AP的SSID相似度越高,则越有可能是第一目标AP意图欺诈。因而可根据相似度确定优先级。
然后,基于该第一目标AP的优先级,确定该第一目标AP在优先级队列中的优先级位置,从而将该第一目标AP添加至优先级队列中,以在优先级队列中缓存该第一目标AP的第一信息。最后,可为该优先级队列中包括第一目标AP在内的所有目标AP生成VAP,则当多个目标终端向多个第一目标AP发起关联时,VAP可根据目标AP的优先级顺序向目标终端回复确认应答。
进一步地,在实施步骤401-402的过程中,当确定得到新的第一目标AP时,仍然将需将新的第一目标AP加入前述优先级队列,以更新优先级队列。和/或,
当确定得到的第一目标AP加入优先级队列中时,发现该第一目标AP与优先级队列中已列的第二目标AP重合时,即二者BSSID相同,意味着二者为同一AP,此时只需用第一目标AP的第一信息更新第二目标AP的信息。此处更新的信息包括SSID,还可包括信道信息。
和/或,
当确定目标AP之后的预设时间内均未再扫描到该目标AP,则确定该目标AP老化,由此更新优先级队列。即步骤401确定第一目标AP之后,还可对第一目标AP的工作状态进行监控:扫描到第一目标AP的beacon报文则表明该第一目标AP处于工作状态,当在预设时间段内均未再次扫描到第一目标AP的beacon报文,则意味第一目标AP下线,停止工作。由此可确定该第一目标AP老化,则在优先级队列中删除该第一目标AP,以更新优先级队列;并删除该第一目标AP的VAP。
也即,响应于优先级队列中含与第一目标AP的BSSID相等的第二目标AP,则利用第一目标AP的第一信息更新第一目标AP的信息。和/或,
响应于第一目标AP老化,在优先级队列中对应删除该第一目标AP,并删除与该第一目标AP对应的VAP。第二目标AP同理,响应于第二目标AP老化,在优先级队列中对应删除该第二目标AP,并删除与该第二目标AP对应的VAP。
基于同一发明构思,本申请实施例还提供一种反制目标AP的射频卡,用于反制非法AP,避免当前构造deauth报文或beacon报文反制非法AP容易失效的问题。该射频卡与前述反制目标AP的方法对应,射频卡的具体实施方式可参见前述方法实施例部分的描述,重复之处不再赘述。该射频卡包括:
报文模块,用于确定第一目标无线接入点AP,以及生成与第一目标AP对应的虚拟无线接入点VAP。
进一步地,可将报文模块分为用于确定第一目标AP的检测子模块,和用于生成VAP的反制子模块。请参考图6。
检测子模块将采集到的原始空口数据(即空口的报文信息)传至检测子模块中的空口检测子模块,以使空口检测子模块过滤得到空口数据中所含的AP的信息。接着,空口检测子模块可将该AP的信息传至目标AP判断子模块,以使目标AP判断模块识别、确定第一目标AP。并将第一目标AP的数据,即第一目标AP的第一信息传至反制子模块中的数据处理子模块。
在反制子模块中的数据处理子模块中,为多个第一目标AP确认优先级,以建立、缓存优先级队列,或,添加至已建立的优先级队列进行缓存。然后为优先级队列中的目标AP生成VAP。
生成的VAP由反制子模块中的VAP管理子模块管理。该VAP管理子模块可执行优先级队列及相应的VAP队列的更新。例如,当反制子模块中的数据处理子模块中在预设时间范围内均未从目标AP判断模块确定的目标AP数据中确定到之前所确定的第一目标AP的第一信息,由此可确定该第一目标AP下线,由此确定已无需反制该第一目标AP,则数据处理子模块可直接通知VAP管理子模块,VAP管理子模块接收到通知后,删除前述不再需要反制的第一目标AP,以及对应的VAP。由此完成更新。
应答模块,用于响应于检测到向第一目标AP发送的报文,利用VAP向目标终端回复确认应答,以达到模拟第一目标AP向目标终端回复确认应答的目的。
其中,目标终端指示向第一目标AP发送报文的终端。
上述射频卡可安装于控制器中。该控制器可以是WLAN网络中的任意AP,也可以是其它的控制器模块。
当该射频卡安装于WLAN网络中的AP中时,该AP也即成为WLAN网络中的监控AP,此时射频卡安装于监控AP中。
而当控制器为AP时,在一些实施例中,该射频卡可以为AP中提供终端接入功能的射频卡。然而,这容易出现反制非法AP的功能与终端接入的功能互相冲突的问题:由于非法AP扫描时间长,而终端接入不及时所导致的接入终端丢包或下线问题;或者,由于非法AP扫描时间不足,不能及时确定非法AP所导致反制不及时的问题。
因此,为了避免反制非法AP与为用户(即终端)提供接入功能时所产生的冲突,提升反制非法AP的有效性,在控制器为AP时,本申请实施例优选该射频卡与AP中提供终端接入功能的射频卡互相独立。
基于前述方法以及射频卡,可有效保障反制非法AP的有效性。以下以射频卡安装于AP中,将该AP视作WLAN网络中的监控AP。以及,以802.11标准下确认应答为ACK确认,分别针对终端尝试与非法AP关联,以及终端与非法AP以建立连接,且通信两种情形进行举例说明。
图7为本申请实施例提供的一种目标终端与非法AP尝试关联情形下对非法AP进行反制的示意图。如图7所示,当终端向非法AP发送关联报文,以请求建立连接时,监控AP基于采集到的空口的报文信息,检测到该关联报文。由此,与该非法AP所对应的VAP向该目标终端回复ACK,该ACK为VAP基于非法AP的BSSID,模拟非法AP发送的ACK。如此使得终端收到非法AP回复的ACK之外,还收到前述VAP模拟非法AP发送的确认应答。
这导致终端侧两个ACK冲突,终端解调失败,或者收到两个重复的ACK,终端将误认为与非法AP之间的probe/auth/assoc等关联报文出现丢包,将关联报文重传。由此循环前述步骤,使得终端始终不能与非法AP建立正常连接。
进一步地,图8为本申请实施例提供的一种目标终端已与非法AP关联的情形下对非法AP进行反制的示意图。
如图8所示,与前述尝试关联的区别仅在于目标终端发送的是数据报文。监控AP同样可基于采集到的空口的报文信息,检测到向非法AP发送的该数据报文。然后基于与该非法AP对应的VAP向终端回复ACK,以使前述模拟非法AP回复的确认应答与非法AP所回复的确认应答在空口传输时相互影响发生冲突,终端解调失败。或者,终端先后/同时收到两个重复的ACK(即前述模拟非法AP回复的确认应答及非法AP所回复的确认应答)。这导致终端重复进行数据报文重传的步骤,直至终端下线。由此达到反制非法AP的目的。
基于同一发明构思,本申请实施例中提供一种反制目标无线接入点的装置,所述装置可用于控制器中,该装置与前述图4所示反制目标无线接入点的方法对应,该装置的具体实施方式可参见前述方法实施例部分的描述,重复之处不再赘述,参见图9,该装置包括:
虚拟单元901,用于确定第一目标无线接入点AP,以及生成与所述第一目标AP对应的虚拟无线接入点VAP。
所述虚拟单元901具体用于获取空口的报文信息,并在所述空口的报文信息中读取AP的第一信息;基于所述第一信息,从所述AP中识别出所述第一目标AP;生成与所述第一无线接入点对应的所述VAP。
所述虚拟单元901具体用于缓存所述第一目标AP的第一信息;在所述第一无线接入点的所述第一信息中,提取所述第一目标AP的基础服务集标识符BSSID;基于所述第一目标AP的BSSID,生成与所述第一目标AP对应的VAP。
所述第一目标AP的数量大于1;则所述虚拟单元还用于确定所述第一目标AP的优先级;基于所述第一目标AP的优先级,将所述第一目标AP添加至优先级队列中,并在所述优先级队列中缓存所述第一目标AP的所述第一信息;为所述优先级队列中的所述第一目标AP生成VAP。
所述反制目标无线接入点的装置还包括更新单元,所述更新单元具体用于响应于所述优先级队列中含与所述第一目标AP的BSSID相等的第二目标AP,利用所述第一目标AP的所述第一信息更新所述第二目标AP的信息;和/或,响应于所述第一目标AP老化,在所述优先级队列中删除所述第一目标AP,并删除对应于所述第一目标AP的VAP。
响应单元902,用于响应于检测到向所述第一目标AP发送的报文,利用所述VAP向目标终端回复确认应答。
其中,所述目标终端为,向所述第一目标AP发送所述报文的终端。
所述响应单元902具体用于接收目标报文;响应于所述目标报文中包含第一目标AP的BSSID,确定所述目标报文的发送端为所述目标终端;基于所述目标报文中的源地址,确定所述目标终端的地址信息;基于所述目标终端的地址信息,利用所述VAP,向所述目标终端回复确认应答。
基于同一发明构思,本申请实施例还提供一种可读存储介质,包括:
存储器,
所述存储器用于存储计算机程序,当所述计算机程序被处理器执行时,使得包括所述可读存储介质的装置完成如上所述的反制目标无线接入点的方法。
基于与上述反制目标无线接入点的方法相同的发明构思,本申请实施例中还提供了一种电子设备,所述电子设备可以实现前述一种反制目标无线接入点的方法的功能,请参考图10,所述电子设备包括:
至少一个处理器1001,以及与至少一个处理器1001连接的存储器1002,本申请实施例中不限定处理器1001与存储器1002之间的具体连接介质,图10中是以处理器1001和存储器1002之间通过总线1000连接为例。总线1000在图10中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。总线1000可以分为地址总线、数据总线、控制总线等,为便于表示,图10中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。或者,处理器1001也可以称为控制器,对于名称不做限制。
在本申请实施例中,存储器1002存储有可被至少一个处理器1001执行的指令,至少一个处理器1001通过执行存储器1002存储的指令,可以执行前文论述的反制目标无线接入点的方法。处理器1001可以实现图9所示的装置中各个模块的功能。
其中,处理器1001是该装置的控制中心,可以利用各种接口和线路连接整个该控制设备的各个部分,通过运行或执行存储在存储器1002内的指令以及调用存储在存储器1002内的数据,该装置的各种功能和处理数据,从而对该装置进行整体监控。
在一种可能的设计中,处理器1001可包括一个或多个处理单元,处理器1001可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器1001中。在一些实施例中,处理器1001和存储器1002可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
处理器1001可以是通用处理器,例如中央处理器(CPU)、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的反制目标无线接入点的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器1002作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器1002可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory,RAM)、静态随机访问存储器(Static Random Access Memory,SRAM)、可编程只读存储器(Programmable Read Only Memory,PROM)、只读存储器(Read Only Memory,ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性存储器、磁盘、光盘等。存储器1002是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器1002还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
通过对处理器1001进行设计编程,可以将前述实施例中介绍的反制目标无线接入点的方法所对应的代码固化到芯片内,从而使芯片在运行时能够执行图4所示的反制目标无线接入点的方法的步骤。如何对处理器1001进行设计编程为本领域技术人员所公知的技术,这里不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:通用串行总线闪存盘(Universal Serial Bus flash disk)、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种反制目标无线接入点的方法,应用于控制器,其特征在于,包括:
确定第一目标无线接入点AP,以及生成与所述第一目标AP对应的虚拟无线接入点VAP;
响应于检测到向所述第一目标AP发送的报文,利用所述VAP向目标终端回复确认应答;其中,所述目标终端为,向所述第一目标AP发送所述报文的终端。
2.如权利要求1所述的方法,其特征在于,所述确定第一目标无线接入点AP,以及生成与所述第一目标AP对应的虚拟无线接入点VAP,包括:
获取空口的报文信息,并在所述空口的报文信息中读取AP的信息;
基于所述AP的信息,从所述AP中识别出所述第一目标AP;
生成与所述第一目标AP对应的所述VAP。
3.如权利要求2所述的方法,其特征在于,所述生成与所述第一目标AP对应的所述VAP,包括:
缓存所述第一目标AP的第一信息;
在所述第一目标AP的所述第一信息中,提取所述第一目标AP的基础服务集标识符BSSID;
基于所述第一目标AP的BSSID,生成与所述第一目标AP对应的VAP。
4.如权利要求1-3任一项所述的方法,其特征在于,所述响应于检测到向所述第一目标AP发送的报文,利用所述VAP向目标终端回复确认应答,包括:
接收目标报文;
响应于所述目标报文中包含所述第一目标AP的BSSID,确定所述目标报文的发送端为所述目标终端;
基于所述目标报文中的源地址,确定所述目标终端的地址信息;
基于所述目标终端的地址信息,利用所述VAP,向所述目标终端回复确认应答。
5.如权利要求1-3任一项所述的方法,其特征在于,所述第一目标AP的数量大于1;则所述生成与所述第一目标AP对应的虚拟无线接入点VAP,包括:
确定所述第一目标AP的优先级;
基于所述第一目标AP的优先级,将所述第一目标AP添加至优先级队列中,并在所述优先级队列中缓存所述第一目标AP的所述第一信息;
为所述优先级队列中的所述第一目标AP生成VAP。
6.如权利要求5所述的方法,其特征在于,所述基于所述第一目标AP的优先级,将所述第一目标AP添加至优先级队列中,并在所述优先级队列中缓存所述第一目标AP的所述第一信息之后,还包括:
响应于所述优先级队列中含与所述第一目标AP的BSSID相等的第二目标AP,利用所述第一目标AP的所述第一信息更新所述第二目标AP的信息;和/或,
响应于所述第一目标AP老化,在所述优先级队列中删除所述第一目标AP,并删除对应于所述第一目标AP的VAP。
7.一种反制目标无线接入点的射频卡,其特征在于,包括:
报文模块,用于确定第一目标无线接入点AP,以及生成与所述第一目标AP对应的虚拟无线接入点VAP;
应答模块:用于响应于检测到向所述第一目标AP发送的报文,利用所述VAP向目标终端回复确认应答;其中,所述目标终端为,向所述第一目标AP发送所述报文的终端。
8.如权利要求7所述的射频卡,其特征在于,所述射频卡安装于AP中;所述射频卡与所述AP中提供终端接入功能的射频卡互相独立。
9.一种反制目标无线接入点的装置,其特征在于,包括:
虚拟单元,用于确定第一目标无线接入点AP,以及生成与所述第一目标AP对应的虚拟无线接入点VAP;
响应单元,用于响应于检测到向所述第一目标AP发送的报文,利用所述VAP向目标终端回复确认应答;其中,所述目标终端为,向所述第一目标AP发送所述报文的终端。
10.一种可读存储介质,其特征在于,包括,
存储器,
所述存储器用于存储计算机程序,当所述计算机程序被处理器执行时,使得包括所述可读存储介质的装置完成如权利要求1-6中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311315004.4A CN119815347A (zh) | 2023-10-11 | 2023-10-11 | 一种反制目标无线接入点的方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311315004.4A CN119815347A (zh) | 2023-10-11 | 2023-10-11 | 一种反制目标无线接入点的方法、装置及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN119815347A true CN119815347A (zh) | 2025-04-11 |
Family
ID=95258857
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311315004.4A Pending CN119815347A (zh) | 2023-10-11 | 2023-10-11 | 一种反制目标无线接入点的方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN119815347A (zh) |
-
2023
- 2023-10-11 CN CN202311315004.4A patent/CN119815347A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2546610C1 (ru) | Способ определения небезопасной беспроводной точки доступа | |
| Lim et al. | Wireless intrusion detection and response | |
| JP7079994B1 (ja) | Wipsセンサ及びwipsセンサを用いた不正無線端末の侵入遮断方法 | |
| Vanhoef et al. | Protecting wi-fi beacons from outsider forgeries | |
| US10243974B2 (en) | Detecting deauthentication and disassociation attack in wireless local area networks | |
| JP2023517107A (ja) | 無線侵入防止システム、これを含む無線ネットワークシステム、及び無線ネットワークシステムの作動方法 | |
| CN105681272B (zh) | 一种移动终端钓鱼WiFi的检测与抵御方法 | |
| CN111740943B (zh) | 一种防攻击方法、装置、设备及机器可读存储介质 | |
| JP2010263310A (ja) | 無線通信装置、無線通信監視システム、無線通信方法、及びプログラム | |
| Tan et al. | {CellDAM}:{User-Space}, Rootless Detection and Mitigation for 5G Data Plane | |
| CN106878992A (zh) | 无线网络安全检测方法和系统 | |
| US9100429B2 (en) | Apparatus for analyzing vulnerability of wireless local area network | |
| Ma et al. | RAP: Protecting commodity wi-fi networks from rogue access points | |
| US10154369B2 (en) | Deterrence of user equipment device location tracking | |
| US8122243B1 (en) | Shielding in wireless networks | |
| CN119815347A (zh) | 一种反制目标无线接入点的方法、装置及电子设备 | |
| CN105792216A (zh) | 基于认证的无线钓鱼接入点检测方法 | |
| CN113411809B (zh) | 防接入伪ap和ap劫持的方法和装置 | |
| KR102479425B1 (ko) | 유무선 네트워크의 불법 디바이스 검출 및 차단 방법과 장치 | |
| US20250279843A1 (en) | Monitoring device, monitoring method, and non-transitory computer readable medium | |
| EP4531339A1 (en) | Detection of mac spoofing | |
| Li et al. | Wireless network security detection system design based on client | |
| CN113596022A (zh) | 识别网络内恶意源的设备和方法 | |
| Thakur et al. | Review on RAP: Protecting Wi-Fi Networks from Rogue Access Points | |
| CN117641355A (zh) | 一种网络接入方法、系统、设备、可存储介质及通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |