（计算机应用技术专业论文）无线局域网中非法设备的检测.pdf

ii 内 容 摘 要 最近几年来，无线局域网技术发展非常迅速。由于它具有很多传统有线网络所不 可比拟的优点，例如组网灵活、布线容易、支持移动接入、价格便宜等等，现在已经 广泛应用于各个领域之中，成为有线网络的重要补充。由于传输媒介的开放性，无线 局域网在带给人们极大便利的同时，也给网络带来了很大的安全问题，并且成为制约 它应用的最大障碍。非法设备问题就是无线局域网的一个重要安全隐患，它的存在极 大地威胁着内网的安全，成为人们重点关注的对象。 本文主要就无线局域网中非法设备的检测问题进行了研究。 文章首先介绍了本课 题的研究背景以及当前本领域的研究现状， 然后对无线局域网的一些基础知识做了简 单介绍，包括无线局域网的安全问题。接着作者提出了一种新的设备检测分类方法， 并对各种检测方法的原理和实现技术进行了比较深入的论述。随后，作者提出了一种 新的设备检测思路用主机扫描技术来检测非法无线设备， 并且针对可能出现的几个 问题，给出了具体可行的解决办法。 最后，应用上述主机扫描检测方案设计了一个实验性的非法设备检测系统，用于 检验该方案的合理性和有效性。检测系统采用 arp 扫描技术进行设备检测，基于多 代理的 client / server 架构。系统以纯软件的方式实现，功能设计相对来说比较完整。 目前已经编码实现了系统的主要功能，根据已实现部分的实际测试结果来看，该方案 不仅简单易行，而且检测效果良好，具有较大的实际应用价值。 关键词：无线局域网 非法设备 非法接入点 检测 iii abstract in recent years, the wireless lans technology is developing very fast. it has many incomparable advantages over traditional wired networks, such as flexibility of internetworking, easy wiring, mobile access supporting and cheap prices etc. it is widely deployed in a variety of fields as an important complement of wired networks. due to its openness of the transmission medium, the wireless networks enables the people great convenience, at the same time, there are great security problems with it. and now, the security problem has become the biggest obstacle for its application. among the security problems, the illegal device is the most important problem, its existence greatly threats the security of inner networks and it has become the main concern. this paper mainly studies the detection of illegal devices in wireless networking. at first, the paper illustrates the background of this study, and the current situation of the detection of illegal devices connected to wireless networks. after that, this paper introduces some basic knowledge of wireless networking, including it s security problems. then, the author proposes a new method for reclassification, and gives a detailed introduction on the mechanism and the implementation technique of a variety of detection methods. subsequently, the author proposes a new thought for detecting illegal devices- use the technology of host scan, and gives a specific solution for potential troubles. at last, this paper designs an experimental illegal device detection system connected to wireless lans on the basis of this scheme, which is used to verify the rationality and validity of the solution. the detection system designed to c l i e n t / s e r v e r architecture basid on mutiple agents, and used the arp scan technology, functions fairly comprehensive with a software- only manner. by now, the main functions have been achieved by programming, and some real function test have been done on the finished part. according to the result, this solution is easy- to- use and effective in real operations. so, it has greater value when in practical use. key words: wireless lans illegal device rogue ap detection i 三峡大学学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进行研究工作 所取得的成果，除文中已经注明引用的内容外，本论文不含任何其他个人或集体已经 发表或撰写过的作品成果。 对本文的研究做出重要贡献的个人和集体均已在文中以明 确方式标明，本人完全意识到本声明的法律后果由本人承担。 学位论文作者签名： 日 期：_ 1 引 言 在现代社会中，计算机已经渗入到我们生活的每一个角落，在各个领域里发挥着 越来越大的作用。然而，由于多方面的原因现有的计算机系统并不安全，由计算机安 全问题给我们造成的不便和损失也越来越多、越来越大。随着计算机网络尤其是互联 网的迅速普及，计算机的安全问题正变得日益严重，成为制约我国信息化建设和社会 进步的一个重要因素。现在世界各国都高度重视信息安全的建设，并把它提升到国家 战略的高度。网络安全在计算机安全中处于非常重要的地位，因为它与一个国家的政 治、经济和军事的安全等都密切相关。 过去有很多单位在信息安全的建设上存在“重外网轻内网，重技术轻管理”的问 题，而事实上绝大多数（约 80）的安全事故都源于内网。对一个单位而言，内网 是否安全直接关系到日常业务能否正常运行，其重要性不言而喻。曾经，移动存储设 备的普及和 arp（address resolution protocol）地址欺骗攻击的泛滥给内网安全带来 了两次不小的冲击，现在无线局域网的普及正给内网安全带来另一次比较大的冲击。 无线接入技术的成熟和广泛应用，正使得内网和外网的边界变得更加模糊。 无线局域网具有很多有线局域网所不可比拟的优势，比如组网灵活、布线简单、 支持移动接入、价格便宜等等，但同时也存在一些自身的问题，比如标准兼容问题、 射频干扰问题、性能限制问题和网络安全问题等，这都需要进一步的研究和解决。其 中，网络安全问题是无线局域网的最大的问题，它也一直是阻碍无线局域网应用的最 大障碍。非法设备（或者用户）问题就是现在无线局域网的一个重要安全问题，无论 一个单位是否已经构建无线局域网，也无论是否已经采用各种防范措施，这个问题都 始终存在。 防范非法无线设备（或者用户）的最好办法是阻止其进入网络内部，也就是对无 线设备（或者用户）进行身份认证和网络接入控制，禁止非法无线设备（或者用户） 接入网络。可信网络连接在验证用户身份的基础上，还对平台的身份及其可信状态进 行验证，在很大程度上增强了网络接入的安全性。但是，网络接入控制并不提供后续 的网络监控和检测功能，而对于有经验的黑客来说，侵入一个普通的无线局域网是一 件很容易的事。因此在无线网络环境下，对网络的后续监控和检测必不可少，以及时 检测和处理无线网络中的非法设备（或者用户） 。 现有的文献和资料对无线局域网的接入控制研究得要多一些，而对已经接入的非 法无线设备（或者用户）进行检测和处理的研究较少。因此，本文选择在无线局域网 非法设备的检测方面做一些研究。 2 1 绪论 1 . 1 本课题的研究背景 无线网络主要通过无线电波在空气中传输数据，由于传输信道是完全开放的，因 此在数据发射机覆盖范围内的任何一个无线终端都能够接收到这些信号 （接收频率要 相同） 。这一方面成就了无线网络“任何人在任何地点都能接收信息”的优点，另一 方面也使得将无线信号仅仅传递给某一个接收者变得不可能， 从而使无线网络面临被 非法监听的威胁。 除了非法监听问题以外，非法无线设备（或者用户）也是无线局域网的一个重大 安全问题。无论一个单位是否已经构建了无线局域网，也无论其是否采取了安全防范 措施，这个问题都始终存在。在所有的无线设备中，能给网络带来安全威胁的主要是 无线接入点（access points，ap）和无线工作站（station，sta） ，尤其是无线接入点。 在本文中，非法无线设备就是指未经授权而接入网络，或者没有接入网络但是其工作 范围已经覆盖到内部网络的无线设备，包括未授权无线 ap 和未授权无线 sta，它们 既可能是单位外部的，也可能是单位内部的。根据 2008 年的一项调查，在一个单位 里面非法无线 ap 的数量大约要占无线 ap 总数的 201。事实上，非法无线设备已 经成了最令网络管理员感到头痛的安全问题之一2。 由于非法无线设备不受网络管理员的管制， 因而会给内部网络带来极大的安全隐 患，即使是没有组建无线局域网的企业，也可因内部员工将具有 wi- fi(wireless fidelity)功能的无线设备连接到企业内部网络中使用，而成为泄漏企业机密和攻击者 入侵企业内部网络的突破口，甚至成为别人进行网络违法犯罪活动的跳板。事实上， 无线局域网所存在的众多安全隐患中有很大一部分都源于单位内、 外非法无线设备的 接入和使用，另外一个重要原因则是内部合法无线 ap 的不当部署和错误配置。 非法无线设备的危害性主要表现在以下几个方面： 1 ) 暴露网络资源和泄漏隐私机密。 一旦入侵者通过非法无线设备连接到内部网络， 就可以免费地随意享用各种网络 资源，并且可以轻松地获取各种敏感信息，包括商业秘密、个人隐私等。 2 ) 使网络很容易受到黑客的攻击。 在黑客侵入了你的网络以后，可以对网络实施各种各样的攻击，比如拒绝服务攻 击、监听攻击、欺骗攻击等，甚至篡改数据、删除文件等。 3 ) 使网络沦为别人的跳板甚至僵尸网络。 入侵者通过非法无线设备连接到你的网络以后， 还可以通过你的网络在因特网上 进行违法活动，甚至把你的网络变成僵尸网络。 4 ) 使内部人员可以接入到外部网络。 3 单位内部的职工通过私自安装无线设备或者接入相邻单位的无线网络， 可以轻易 地避开单位内部的网络访问限制，随意地访问外部网络。 就目前而言，还没有办法完全阻止非法无线设备接入网络（事实上无线入侵可能 是最容易的网络入侵方式），因此维护无线局域网安全一方面要对非法无线设备的接 入进行严格地控制，另一方面还要对已接入的非法无线设备进行及时的检测和处理。 对于已接入非法无线设备的处理，主要包括阻止、定位和清除，正确检测是进行成功 处理的基础。阻止非法无线设备的方法主要有以下几种：电磁屏蔽法、交换机端口阻 断法和 ota（over the air）阻断法。而所谓 ota 阻断法，就是通过发送一些特殊 的无线 m a c 帧来进行阻断，包括 deauthention（解除认证）法、association flood（洪 范关联）法、virtual carrier sense（虚拟载波监听）法和 beacon confusion法3等。 1 . 2 本领域的研究现状 无线局域网的安全问题主要有非法监听问题、接入控制问题、非法设备问题、非 授权访问问题、私密泄露问题、地址欺骗问题、消息篡改问题、密钥管理问题等等。 相对而言，目前国内外的学者对接入控制、数据加密、消息防篡改和无线监听等方面 的研究要多一些，而对非法无线设备问题的研究比较少，国内在这方面的研究更少。 而且现有对非法无线设备的研究主要限于检测和处理非法无线 ap，对非法无线工作 站研究很少。另外，现有的一些检测方法在实际应用中都存在一些问题。 目前检测非法无线设备的方法（除人工现场调查以外）主要分为三大类：1)无线 检测法（wireless approaches） ，也称为 ota（over the air）检测法，包括专用无线 传感器检测法、ap 扫描（需要硬件支持）检测法以及无线监听检测法（对网卡有特 殊要求） 。2)有线检测法（wired approaches） ，也称为 otw（over the wire）检测法， 或者 wired side inputs 检测法，包括查询路由器/交换机的转发表、查询设备的管理信 息库 mib（management information base） 、采集数据包进行统计分析等。3) 混合检 测法（hybird approach） ，即混合使用无线检测和有线检测的方法。 无线检测法是通过直接捕获空中的无线信号来进行检测的， 是从网络的物理层进 行设备检测。通过捕获、解析无线网络的 mac 帧，可以获的无线设备的 ssid（限 于无线 ap） 、ip 地址、mac 地址等特征信息，然后用这些特征信息即可检测出非法 无线设备。无线检测法既可用于单点式检测又可进行分布式检测，在单点检测时会受 到检测范围和检测频段的限制，在采用分布式检测时，检测点的数量和分布会直接影 响检测的覆盖范围和最终检测效果。一般来说，专用无线传感器（包括 ap）的检测 范围和检测灵敏度要好一些，但存在系统铺设复杂、成本高昂和维护困难的缺点。无 线监听检测法具有较明显的成本优势，但是对无线网卡有特殊要求，而且现在市场上 已经很难买到支持射频监听功能的无线网卡了。 4 有线检测法是通过有线/无线链路进行检测的，是从网络的链路层或者网络层进 行设备检测。查询路由器/交换机的转发表的典型例子是 cisco 公司的 aptools 软件， 它能查出所有与路由器/交换机相连设备的 ip / mac 地址， 并且利用 http 查询区分无 线 ap 和普通 sta4。查询设备的管理信息库 mib 进行检测有较大的缺陷，因为用户 可能禁用 snmp（simple network management protocol）协议。也有用端口扫描或者 根据瓶颈带宽来进行检测的，但只能用作初步的筛选。采集数据包进行统计分析是一 种较新的检测方法， 其主要依据是网络数据包的有些统计参数值在有线连接和无线连 接上存在一定的差异性。这种检测方法存在理论模型过于简单和理想化的问题，如只 考虑了网络节点与交换机单跳连接的情况5等，目前还不够成熟。 1.3 所做工作及论文结构 本文主要对无线局域网中非法设备的检测方法问题进行了一些研究。文章首先 对无线局域网的基础知识作了一些简单介绍，然后提出一种新的设备检测分类方法， 并详细分析了现有各种检测方法的检测原理和具体的实现技术。 接着提出可以用主机 扫描技术来进行设备检测，并且针对可能出现的问题，给出具体的解决办法。最后， 应用主机扫描（arp 扫描）检测方案设计了一个实验性的非法无线设备检测系统， 并且用 vc+编程实现了其主要功能。根据目前已完成部分的功能测试，主机扫描检 测方案简单易行，实际检测效果良好。 本文的贡献主要在于：1 ) 提出了一种新的非法无线设备检测分类方法；2 ) 提出 了一种新的检测思路用主机扫描技术检测非法无线设备，并且针对可能出现的问 题，给出了具体的解决办法；3 ) 用主机扫描（arp 扫描）检测方案设计并大致实现 了一个实验性的非法无线设备检测系统，证明该方案确实可行，而且效果良好。 论文的内容一共分为 6 章，文章结构大致安排如下： 第一章，绪论。主要介绍论文的选题背景、本领域的研究现状、作者所做的工 作，以及论文的结构安排。 第二章，无线局域网概述。主要介绍无线局域网的基础理论、所面临的主要安 全问题以及 windows 系统对无线网络的支持。 第三章，非法设备检测的原理和实现技术。提出一种新的分类方法，并详细论 述了各种检测方法的原理和实现技术。 第四章，用主机扫描技术进行设备检测。提出一种新的设备检测思路用主机 扫描技术来检测非法无线设备，介绍主机扫描的原理和实现技术，并对用主机扫描检 测非法无线设备可能出现的问题给出具体的解决办法。 第五章，实验检测系统的设计与实现。应用主机扫描技术（arp 扫描） ，设计 并大致实现一个实验性的无线局域网非法设备检测系统， 用以检验新提出方法的可行 5 性和有效性。 第六章，总结与展望。对论文进行总结，介绍已经取得的研究成果，同时列出 尚存的不足之处，提出后续的研究方向。 6 2 无线局域网概述 2.1 无线局域网的基础理论 采用无线技术组建的网络称为无线网络，它分为无线广域网（wwan）、无线 城域网（wman）、无线局域网（wlan）和无线个人网（wpan）。无线广域网 以 cdma、gprs 等蜂窝系统为代表，无线城域网以 ieee 802.16 为代表，无线局域 网以 ieee 802.11 为代表，无线个人网则以红外线和蓝牙技术为代表。5w 通信（任 何人（whoever）能够在任何时候（whenever）和任何地方（wherever）与任何人 （whomever）进行任何形式（whatever）的通信）是人们长期以来所追求的目标， 无线网络通信则是实现这一目标的基础。 2.1.1 无线局域网基础知识 无线局域网（wireless local area network，wlan）是计算机网络与无线通信技 术相结合的产物，主要用于局部区域内的无线通信。它不仅能够提供传统有线局域网 的所有功能，而且具备很多传统有线网络所不可比拟的优点，比如方便的无线接人、 灵活的拓扑结构、低廉的建设成本等等。现在无线局域网已经广泛应用于各个领域， 成为有线网络的重要补充和延伸。可以说无线局域网在带给人们众多的便利的同时， 也极大地拓展了我们的自由空间。 无线局域网的的硬件设备主要有无线网卡、 无线天线、 无线接入点 （access point， ap） 、无线路由器、无线网桥和无线交换机（其实并不具备交换功能）等。其中无线 接入点 ap 的作用是在无线工作站之间以及无线工作站和有线网络之间接收、缓存和 转发数据，相当于有线局域网中的集线器（hub） 。无线路由器则是带有无线接入功能 的 ip 路由器（通常还集成有交换机功能） ，在考虑无线局域网安全问题时，可以将它 与无线接入点同等对待。 在无线局域网中，一般把能够发送和接收无线网络数据的计算机设备称为无线工 作站 （station， sta） ， 如笔记本电脑、 pda 等。 一组相互直接通信的无线工作站 （sta） 构成的集合，称为一个基本服务集 bss（basic service set） 。一个基本服务集 bss 覆 盖的无线传输区域称为一个基本服务区 bsa（basic service area） 。若干个基本服务集 bss 可以通过分配系统 ds（distribution system，如有线局域网）连接到一起，组成 一个更大的网络。 无线局域网的标准主要有 ieee的 802.11 系列，etsi（欧洲电信标准化组织）的 hiperlan系列和 homerf 工作组的 homerf 系列，其中最著名是 ieee 的 802.11 系 列。ieee 802.11 无线局域网支持两种工作模式（拓扑结构） ：基础结构模式 （infrastructure mode）和自组织模式（ad hoc mode） 。其中基础结构模式可以连接到 有线通信的基础设施，如有线局域网或者因特网。在基础结构模式下，任何一个无线 7 工作站要和其他工作站通信都必须通过无线接入点， 而且在同一时刻一个无线工作站 只能和一个无线接入点连接。自组织模式就是对等网模式，在这种模式下网络中只有 少量的无线工作站，各工作站之间直接进行通信。 图 2 . 1 无线局域网的两种工作模式（拓扑结构） 无线局域网采用无线电波或者红外线作为传输媒介，使用的无线电波频段包括 2.4ghz 和 5ghz 的 ism（industrialscientifecmedical）频段。其中在 2.4ghz 使用 的是 2.42.4835ghz 频段，实际带宽为 83.5mhz，共分为 1114 个信道（不同国家 规定的可使用信道数不一样） 。除了第 1、6、11 信道不与其它信道重叠以外，其余信 道都与相邻信道有部分重叠。在 5ghz 使用的是 5.155.825 ghz 频段，实际带宽为 300mhz，分为 12 个互不重叠的信道（一说只有 8 个互不重叠的信道） 。 图 2 . 2各国 2.4ghz 频段信道使用情况6 8 2.1.2 无线局域网的工作原理 首先来看一下计算机网络的体系结构。现在最出名的计算机网络体系结构是 tcp / ip 的四层协议体系结构和 osi / rm 的七层协议体系结构，而在计算机网络教材（如 谢希仁主编的教材） 中常常采用五层协议体系结构。 这种五层协议体系结构与tcp / ip 的四层协议体系结构比较见下表： 表 2 . 1五层教学协议体系结构与 tcp / ip的协议体系结构的比较 五层教学协议体系结构 tcp / ip 的体系结构 tcp / ip 的实现方式 应用层 应用层 由应用程序实现 传输层 运输层 网络层 网际层 llc 子层 网络接口层 由操作系统实现 数据链路层 mac 子层 物理层 没有规定 由网卡实现 ieee 802.11 家族主要包括 802.11、802.11a、802.11b、802.11g和 802.11n，它们 之间的差别主要在物理层（phy）和 mac 子层，直接表现就是工作频段、数据传输 率和最大传输距离的不同。 802.11 系列无线局域网在物理层采用的技术主要有扩频技 术和正交频分复用技术。 扩频技术是使用比信号带宽宽的多的频带宽度来传输信息的 技术。使用扩频技术可以通过增加信号带宽来降低对信噪比的要求，甚至可以使无线 局域网的发射功率低于背景噪声。扩频技术不仅可以显著增强无线信号的抗干扰能 力，还可以有效防止信号被窃听，并且避免对人体健康造成损害，其理论依据就是著 名的香农公式： 公式（1） 其中，c 表示信道的极限信息传输速率（比特/秒） ，w 表示信道带宽（hz） ，s 表示信号功率（分贝） ，n 表示高斯噪声功率（分贝） 。无线局域网使用的扩频技术包 括跳频扩频 fhss （frequency hopping spread spectrum） 和直接序列扩频 dsss （direct sequence spread spectrum） ，它们的运行机制完全不同。 ofdm（orthogonal frequency division multiplexing，正交频分复用）技术就是在 传输频段内把给定信道分成若干相互正交的子信道， 在每一个子信道上使用一个子载 波进行调制，并且各子载波并行传输。 传统的 fdm （frequency division multiplexing， 频分复用）技术也是将信道分成几个子信道同时发送数据，但是各个子信道之间要预 留保护频带以降低相互干扰。ofdm 的各个子信道相互正交，不仅不需要预留保护 频带，甚至频谱都可以相互重叠，这样不仅可以减少各子载波之间的相互干扰，而且 可以极大地提高频谱的利用率。ofdm 技术经常与 mimo （multiple- input multiple- output，多输入多输出）技术结合起来使用，mimo 技术可以在不增加带宽 9 的情况下成倍地提高通信系统的容量和和频谱利用率。 无线局域网的 mac 层由 2 个子层构成， 即分布协调功能子层 dcf 和点协调功能 子层 pcf，其中 pcf 子层的可选的，只在基础结构网络中存在，用以避免冲突的发 生。 由于无线信道具有全向传播、 传播距离受限和容易受环境干扰的特点， 因此 802.11 无线局域网的 mac 子层不再适合采用 csma / cd（载波监听/ 冲突检测）协议（因 为检测载波和冲突都不可靠） ，而是采用 csma / ca（载波监听/ 冲突避免）协议， 而且增加了确认机制。另外，为了防止一个无线工作站意外连接到邻居的 ap 上， 802.11 使用服务集标志符（service set identifier，ssid）来逻辑分割无线局域网。一 个无线工作站必须配置合适的 ssid 才能关联到一个接入点 ap 上，从而获得网络资 源的使用。 ieee 802.11 的帧分为三种类型，即数据帧、控制帧和管理帧，这些帧具有相似 的格式。ieee 802.11 数据帧的格式为： 帧控制 fc 持续时间 地址域（4 个） 序列控制 数据域 帧校验和 fcs 帧控制字段 fc 包括 1 1 个子域，其格式为7： 协议 版本 协议 类型 子类 型 目的 ds 源 ds 分片 标示 重传 标示 电源 管理 剩余 标示 加密 标示 顺序 标示 数据帧的地址字段有 4个，分别是源站地址、目的站地址、源 ap 地址和目标 ap 地址。一般情况下数据帧只会使用三个地址字段：当 sta 发送数据到 ap 时，数 据帧中包含源 sta 地址、目标 ap 地址和目标 sta 地址，当 ap 转发数据给 sta 时， 数据帧中包含源 sta 地址、源 ap 地址和目标 sta 地址。相比数据帧，控制帧没有 数据字段和序列号字段，地址字段也只有 2 个。管理帧与数据帧相比只是少一个地址 字段，因为管理工作只在一个单元内有效。 控制帧用于竞争期间的握手通信和正向确认、结束非竞争期等。管理帧主要用于 无线 sta 和无线 ap 协商和管理它们之间的关系，如关联、认证、同步等。比较重要 的管理帧有：信标帧 beacon、探询帧 probe、认证帧 authenticate、解除认证帧 deauthenticate、 关联帧 associate、 重新关联帧 reassociate 和解除关联帧 dissassociate。 其中信标帧 beacon主要用于维持 sta 内本地定时器的同步，并负责传送协议相关的 参数。信标帧里面包含的信息主要有 mac 地址头、时间戳、信标间隔、功能信息、 服务集标志（ssid） 、支持的数据速率、无线参数和节能标志8。无线 ap 发送信标 一方面可以让需要接入的 sta 找到自己，另一方面也可以让已经关联的 sta 知道自 己仍然在运行。探询帧 probe 主要用于探测周围可用的无线局域网，它有两种类型， 即包含待加入网络的 ssid 的探询帧和广播探询帧。 在基础结构模式下无线 sta 之间只能通过无线 ap 进行通信， 在没有采取任何安 10 全措施的情况下，无线工作站 sta 与无线接入点 ap 之间的交互过程为： 1 ) 、无线 ap 以固定的时间间隔（通常为每秒 1 0 次）发送信标，通告它的存在； 2 ) 、 无线工作站 sta 依次调谐到每一个信道收听信标消息， 被动地寻找无线 ap， 或者 sta 主动发送探询请求帧，等待收到探询请求的 ap 回复探询响应帧； 3 ) 、无线 sta 向信号最强的 ap 发送认证请求消息，该 ap 以认证响应回复； 4 ) 、无线 sta 向此 ap 发送关联请求消息，此 ap 以关联响应回复； 5 ) 、此后无线 sta 通过此 ap 与其它无线工作站或者有线网络进行通信； 6 ) 、如果无线 sta 在漫游中需要将其关联从当前 ap 移到新的 ap，它必须首先 发送解除关联帧与原来的 ap 断开连接，然后发送重新关联消息连接到新的 ap。 无线工作站与无线接入点之间的四次握手过程（不算 sta 扫描 ap 的过程） ： 图 2 . 3无线工作站与无线接入点之间的握手过程 2.2 无线局域网的安全问题 2 . 2 . 1 8 0 2 . 1 1 的主要安全问题 ieee 802 11 系列无线局域网的安全问题主要源于其传输媒介的开放性和网络标 准的缺陷。它的安全问题主要有非法监听问题、接入控制问题、非法设备问题、非授 权访问问题、私密泄露问题、地址欺骗问题、消息篡改问题、密钥管理问题等等。无 线局域网有着比有线局域网更多的安全问题， 而且很多在有线局域网中有效的安全措 施难以在无线局域网中实施。 由于无法使无线局域网的安全程度达到有线局域网的水 平，因此常常将无线局域网设置在不可信任区。传统的安全架构： 不可信任区 网络防火墙 vpn 可信任区 802.11 无线局域网的安全措施主要有：无线工作站身份认证、数据加密、数据完 整性检测和访问控制等。 1 ) 、身份认证：身份认证是对用户真实身份的识别，与访问控制一起使用可保证 只允许授权用户对指定资源进行访问。802.11 定义了两种认证方式，即开放系统认证 （默认）和共享密钥认证。开放系统认证相当于空认证，共享密钥认证基于有线等效 保密协议（wep） ，它采用质询应答机制。共享密钥认证只能够对 sta 进行单向认 11 证，由于没有采取措施保证验证后继续交互，使得整个认证过程几乎没有用8。 2 ) 、 数据加密： 802.11 采用基于 rsa的 rc4 对称加密算法在链路层对数据加密， 密钥为 4 0 位（现在支持 1 2 8 位密钥） 。由于 wep 加密所使用的密钥与认证所用的密 钥相同，而且对 rc4 加密算法的使用方法不正确（初始化向量 iv 重复使用、rc4 弱 密钥、直接密钥攻击） ，因此根本达不到设计时的预期目标，很容易被入侵者破解。 3 ) 、消息防篡改：消息防篡改机制是为了保证数据的完整性。wep 专门用一个 校验域来防止篡改，叫做完整性校验值（icv） 。icv 的思想很简单：基于所有要加 密的数据算出一个校验值，然后把这个校验值附在数据末尾整个加密。如果有人改变 了密文中的一位， 解密后的数据将不会有相同的校验和， 这样篡改就会被发现。 不过， 这种保护措施可以用 borisov et al.的“比特反转”法破解8。 4 ) 、 访问控制：访问过程一般通过允许设备列表、用户密码或者认证证书来控制。 无线局域网的访问控制就是用户接入控制，802.11 并没有规定如何实现接入控制，但 在 wep 中可以通过加密密钥来实现。由于 wep 在设计上存在重大缺陷，它的认证 几乎没有多大的作用，并且能够帮助入侵者破获加密密钥。在后来的 wpa 标准中， 访问控制可以用 802.1x端口接入控制实现。 其它非标准安全措施还有隐藏 ssid、mac 地址过滤、客户端隔离等。 图 2 . 4 windows 下的著名无线网络入侵软件 wirelessmon 12 2.2.2 i e e e 802.11i安全标准 wep 在设计上存在重大缺陷，完全不能满足人们的需要，需要有新的安全协议 来替换它。我国曾经提出自己的无线局域网国家标准 gb15629.11，这是我国在这一 领域唯一获得批准的协议。gb15629.11 标准中包含了全新的 wapi （无线局域网认证 和保密基础结构）安全机制，这种安全机制由 wai和 wpi（算法没有公开）两部分 组成，分别实现对用户身份的鉴别和传输数据的加密9。wapi 能够为无线局域网系 统提供全面的安全保护， 但并不兼容原有的 wep 标准， 于 2 0 0 4 年确定推迟强制执行。 被广泛接受的替代标准是 wpa（wi- hi 保护接入） ，wpa 对 wep 协议的不足之 处进行了有针对性的改进，并且兼容以前的 wep 硬件。wpa 仍然延用 rc4 加密算 法，但增加了一些特性以消除 wep 在使用密码方式上的一些问题，包括双向增强认 证（基于 802.1x）、更长的密钥（iv 4 8 位，主密钥 1 2 8 位）、引入临时密钥完整性 协议（tkip） 、更安全的 mic 算法等。wpa 的 mic 算法（michael）包含有帧计数 器，可以有效避免重放攻击。wpa认证模式有两种：适用于家庭用户和 soho 的预 先共享密钥（psk）模式，以及适用于企业用户的 802.1x认证模式。802.1x认证的核 心是扩展认证协议( extendable authentication protocol，eap) ，它主要有三个实体： 申请者（如 sta） 、认证者（如 ap）和认证服务器（如 radius 服务器） ，可提供用 户认证、计费和端口访问控制功能。 2 0 0 4 年 ieee批准了 802.11i标准（也称为 wpa2） 。802.11i采用 aes（advanced encryption standard）算法替代 rc4 算法，用 counter- mode/cbc- mac 协议（ccmp， cbc密码分组链接模式）替代 tkip。虽然 wpa2 要比 rc4 和 tkip 组合的 wpa 更加安全，但由于 ccmp 比 rc4 要求更多的处理器周期，因此升级到 wpa2 可能需 要更换 ap 或客户端无线接口。wpa2 也同时支持个人和企业模式。在个人模式，预 共享密钥与 ssid 组合来创建成对的主密钥（pmk）。客户端和 ap 使用 pmk 来交 换消息以创建成对的临时密钥（ptk）。 表 2 . 2 wep、wpa、wpa2 的比较 wep wpa wpa2 认证协议 wep psk / 802.1x psk / 802.1x 加密算法 rc4 rc4 aes 密钥管理 none tkip ccmp 完整性确认 crc- 32 michael cbc- mac 另外，ieee 在 2 0 0 9年批准了 802.11w 标准, 在这个标准里开始对管理帧进行加 密保护，这将使通过无线监听获得无线网络的 ssid、合法 sta 的 mac 地址等敏感 信息难度大大增加，从而使 ieee 802.11 系列的安全性向前迈进了一大步。 13 2.3 windows对无线网络的支持 2.3.1 w i n d o w s 的网络体系结构 windows 的网络体系结构如下表所示： 表 2 . 3 windows 的网络体系结构 tcp / ip 的体系结构 windows 的网络体系结构 winsock api 应用层 spi（socket服务提供者接口） 运输层 tdi （传输驱动接口） / wfp （windows过滤平台） 网际层 协议驱动程序 网络接口层 中间层驱动程序 ndis 接口 网卡驱动程序 网络接口卡 网络驱动接口规范 ndis（network driver interface specification）负责上下层驱 动程序之间服务原语和实际驱动程序调用入口之间的转换（还分派消息通知） ，这使 得符合 ndis 的驱动程序只需向 ndis 注册自己的入口点，就可以在不知晓其它驱动 程序入口的情况下与之通信， 同时也使得基于ndis的驱动程序开发可以与平台无关， 从而使源代码具有高度的可移植性10。 ndis 驱动程序分为三种类型：网卡驱动（ nic driver） 、中间层驱动（intermediate driver）和协议驱动（protocol driver） 。其中网卡 驱动负责管理实际的网卡硬件， 中间层驱动主要用于过滤 （可实现 vpn、 nat、 pppoe 以及 vlan 等） ，协议驱动则执行具体的网络协议。ndis 函数库提供对这三种驱动 程序的支持。 2.3.2 w i n d o w s 的无线零配置服务 windows 操作系统( 这里以 windows xp 系统为例) 对无线局域网的支持， 主要表 现为无线零配置（wirless zero configuraton，wzc）服务，在 windows 的服务管理 列表中可以找到它。wzc 服务的功能主要是配置无线网络的一些参数，还能扫描周 围有哪些可用的无线网络。在开启 wzc 服务以后，windows 能够自动选择并连接到 最佳的可用无线网络。为了避免 windows 意外地与一个陌生的无线网络建立连接， 用户可以设置自己的首选网络列表， windows 会优先选择首选网络列表中的无线网络 进行连接。 wzc 服务的工作步骤：无线网卡扫描周围的可用无线网络，并将网络服务集标 识 ssid 传递给 wzc 服务。 然后 wzc 服务尝试与可用网络列表中的首选网络建立连 接，如果连接无法建立，就按照个性化排序方式尝试与首选网络列表中的其它可用无 线网络建立连接。如果与首选网络列表中的所有网络都无法建立连接，而且“自动与 非首选网络建立连接”选项处于启用状态，wzc 服务将按照无线适配器的探测顺序 14 依次与每一个可用网络尝试建立连接。如果所有连接尝试均以失败告终，wzc 服务 将创建一个随机网络名称并将无线网络适配器置于基础架构模式下。 此后无线适配器 将不再与任何无线网络建立连接， 但仍会以每分钟一次的频率持续对首选无线网络进 行扫描。 2.3.3 w i n d o w s 的无线编程接口 为了便于配置 w i n d o w s 的无线网络功能模块，微软公司为 wzc 服务制定了一组 api（application programming interface），这组 api 主要包括下面四个函数： wzceapolgetinterfaceparams() 、 wzcenuminterfaces() 、 wzcqueryinterface() 、 wzcrefreshinterface()。不过由于系统底层架构的不同，这几个 api 函数在 windows vista、windows server 2008 和 windows 7 下面不再被支持，而是被功能更强大的 native wifi api11所替代。windows xp sp3 操作系统支持 native wifi api 的一个子 集， windows xp sp2系统打上补丁 （wlan api补丁kb918997， wpa2补丁kb893357 和 msxml 6.012）以后也可以支持。如果要在 windows xp 下面用这组 api（子集） 来编程，那还需要安装 for xp 的 wlan sdk，即便如此也有不少功能限制。 应用 native wifi api 可以很方便地实现对无线网络的连接和管理， 而且对基础结 构无线网络和 ad- hoc 无线网络都能够支持。比较重要的 native wifi api 函数有以下 几个：wlanenuminterfaces()枚举系统中安装的无线网卡，wlanopenhandle()打开 一个句柄，wlanregisternotification()注册或取消注册消息，wlanscan()扫描无线 网络，wlangetavailablenetworklist()获取有效的无线网络列表，wlanconnect() 连接指定 ssid 的无线网络，wlansetinterface()设置无线网卡的的参数。其中用于 扫描无线网络的 wlanscan()函数的声明为： dword winapi wlanscan( _in handle hclienthandle, _in const guid *pinterfaceguid, _in_opt const pdot11_ssid pdot11ssid, _in_opt const pwlan_raw_data piedata, _reserved pvoid preserved); 15 3 非法设备检测的原理和实现技术 3.1 非法设备检测的原理 如前所述，非法无线设备的检测方法主要分为三种类型：无线检测法、有线检测 法和混合检测法。 这里作者根据各种检测方法的原理结合其主要特征提出另外一种分 类方法，即把无线检测法分为无线传感器法（包括 ap 扫描）和无线监听法，把有线 检测法中基于数据包特征分析的检测方法单列出来称之为统计分析法， 余下的检测方 法都是用查询或者扫描的方式来进行检测，这里称之为穷举搜索法。 归纳一下，新的检测分类方法如下： 1 ) 无线传感器法；2 ) 无线监听法；3 ) 统计分析法；4 ) 穷举搜索法。 无线传感器检测法的检测原理比较简单，主要就是捕获无线信号，解析无线数据 包里面