文献翻译-样张.doc

27MES录入与定义模块测试研究 上海电机学院毕业设计（论文）文献翻译 课 题 手机无线联网安全技术及应用研究 学 院（系） 电子信息学院 专 业 通信工程 年 级 BX066 学 号 BX06516 姓 名 毛乾隆 导 师 贾铁军 定稿日期： 2010 年5 月2无线网络的入侵探测和监视1.导言无线计算机网络在世界各地正在成指数性地增加。无论是无执照的无线电频率（RF）频谱协会和有执照的频谱协会都使用它们。 在现有的无线计算机网络中无线网络操作目前是在无执照协会中最流行的 。ieee 802.11协议的开放性和“自由”射频协会的有效性促使许多公司的制造商和共同生产现成现货（COTS）的电脑网络设备公司进入无线领域的竞争。这些公司之间的竞争已降低802.11无线网络设备的价格，推动和改善了用户对这些设备的经验。最终的结果是企业和消费者对于设备采用率的增加，wifi联盟的建立，和联盟“wi-fi”的广泛使用，“wi-fi”被用来描述这些网络。消费者在家里使用802.11设备，在现有的建设中减少线路运行的负担，促进和室友或邻居宽频互联网服务的共享，并提高它们的“连通范围。”私营企业和政府机构（各级）正在部署无线网络以减少布线成本，提高员工的流动性，让待业人员上网，在他们现有的商业模式（咖啡馆，机场，酒店等）中创建一个附加的收入来源。各市（费城，旧金山，大湾，MI）正在部署无线网络，让缺乏这种功能的地方能够实现宽带互联网接入;为贫困社区提供有限的高速宽带接入; 在诸如船坞和国家公园等地方提供宽带，这是由传统的宽带提供商所通过的; 并通过紧急响应站和其他城市机构为他们自己提供更高质量,更完善的网络覆盖来使用。总之，这些Wi - Fi网络部署无处不在。许多思想已经并正在投入有线和无线网络的评估成本效益分析，例如如何有效地覆盖写字楼，直辖市，如何有效地管理大型网络的无线接入点，以及如何用802.11技术取代互联网服务提供商来节省金钱。相比之下，在无线安全和出于安全方面的检测投入了很少的人力和财力。一些公司如AirMagnet和AirDefense已经建立了推销自己无线安全软件和硬件的体系。但是，他们出售的产品重点在于办公室环境，网络优化和性能测试，比起较新的无线攻击，更重视现有的攻击。在开源社区许多创新工具已经开发出来，但随着无线网络部署的扩张，给了新工具，新领域研究，改善商业和免费提供的工具等提供了许多发展的机会。纵览无线网络中存在的威胁，它促使人们强化了有关这些网络的安全学习和事故响应的重要性。流氓客户端的无线设备（笔记本电脑，掌上电脑，打印机等）没有被授权使用无线网络。此外，许多流氓客户可以“欺诈”或模仿mac（媒体访问控制）地址（即硬件地址的授权客户端）来访问网络资源。流氓接入点是没有被无线网络授权的接入点。正如流氓客户端的情况，一个非法接入点能够欺骗一个授权接入点的物理地址以在网络中发起中间人攻击。 Rogue APs are APs that are not authorized to serve a wireless network.接入点缺陷对无线网络有一系列的威胁：O无线接入点可以（并）无线说明中执行的错误来生产和销售（例如IEEE 802.11a/b/g/i）；而攻击者能够利用这些错误。O此外，接入点也可能被网络管理员不恰当地配置或管理。软件修补程序和/或固件更新的应用不一致或根本没被应用。使用外部接入点的客户端甚至不知道他们连接到外部接入点的存在。无论连接到外部的接入点是故意与否，这种连接会把无线网络以及任何在无线网络中传送的信息的机密性置于风险之中。嗅探流量常常是攻击网络的第一步。局内人或局外人单靠监听无保护措施的数据就能了解到很多关于网络和信息的交换。在无线网络中存在着多种拒绝服务（DoS）攻击O客户（或客户端）能够通过认证请求充斥整个网络。O同样，客户端能够通过协会请求充斥整个网络。O流氓客户端能够欺骗结束鉴权请求来拒绝特定客户端服务。O一系列请求-发送/清除-发送（RTS/CTS）信息能够拒绝网络中的无限设备服务。射频干扰的等级能提高无线网络中的噪音从而导致网络达到无法使用的程度。O无线网络中缺陷帧的投入也会破坏网络业务。O一个设备能够重复广播解除认证/断开帧的操作，使所有设备从网络上断开。Ad hoc网络能够在多方面影响无线网络的基础设施。O客户端设备能够在不需要用户认证的情况下创建Ad hoc网络。O客户端设备能够在不需要用户认证的情况下连接到Ad hoc网络。OAd hoc网络会干扰射频等级网络的基础设施（另一种DoS攻击）。错误地配置无线网络资源会为攻击提供更多的途径：O通过网络浏览器的接口，远程管理接入点的选项可能不受访问控制。O网络中的漏洞或无加密会被利用。在本实验室定向研究和开发（LDRD）项目期间，我们学习了同时监视且保护无线网络的方法，特别是那些使用ieee 802.11a/g的协议。 我们尝试想象将来在进行研究的时候，802.11和其他诸如WiMAX(IEEE 802.16),蓝牙等无线技术的迭代。术语“网络监视”包括如入侵检测，数据捕获和网络数据的可视化等活动。我们为安全防护和取证目的而学习监测，并非专门为了网络的健康。我们在无线会议/流动检测方面的研究成果是编写了一款命名为Wmon的软件工具，可以在BSD或Linux的嵌入式设备上运行，捕获无线流量，然后将它聚集在一个中心位置进行分析和取证。Wmon能够除去在中央聚集点重复的流，从而使传感器能适当地部署来覆盖网络。该软件可以记录中央存储设备上的每一帧，供以后的取证或研究使用。聚集点同时也会消除重复的帧。通过平衡在有线网络中可视化网络流量的前期工作，我们建立了一个网络可视化功能和工具的库，它能帮助我们用新方法来看待无线网络。可视化网络能使我们检测到文本工具检测不到的工具。同时我们也在找新的方法来保护无线网络。作为商业和开源工具，在这个为期2年的项目的进程中，研究的细节在逐步发展，而研究也在同期转化。我们在这领域的工作涉及的方面很广。我们花时间研究了在射频等级的无线攻击，尤其是射频阻塞攻击。我们成功地模拟了这些攻击，并提出了一些缓解这种类型攻击的建议。此外，我们研究了以定位概念为基础的认证。术语“定位服务”指的是基于移动设备定位的定制网络服务的前卫思想。作为控制访问无线网络的额外标准，我们看到了使用无线设备定位的有效性。大部分研究侧重于准确并精确地在三维空间中定位无限设备这一技术。我们还研究了在指纹领域的无线设备。指纹技术就是为何我们要消极或积极地研究无线设备以确定其各种特征。这些特征的一个部分清单包括以下内容：操作系统和操作系统的版本，无线驱动程序和无线驱动程序版本，无线设备型号和无线芯片的型号。我们在有限的时间内在射频层寻找指纹识别设备，那是一层显示了大量承诺的领域。射频指纹研究用于防止有关未经授权的移动电话的复制，但其出版的很少是关于指纹无线设备。我们还认证了很多方面的802.11 物理层协议 ，这些协议能使指纹识别设备有效，包括被动和主动。我们选择了一种特征，介于探测器请求管理框架和发展一个指纹数据库和基于库的无线驱动认证工具之间的时间三角洲。2用可视化技术提高无线入侵检测2.1摘要由于物理网络层，复杂的物理系统，和晦涩难懂的的协议，使得无线网络入侵检测变得困难。我们通过使用数据可视化工具向人工操作员演示实时网络数据，解决了这些复杂问题。这使得操作员对网络的整体能有快速的理解。通过使用这些工具，操作员能快速分隔出网络中的重要部分，并深入进去仔细研究。此功能大大减少了操作员的认知负载，并加快了对许多类型入侵的有效回应。可视化技术也证明了为其用户传递知识的有效性，因此他们能更好地理解网络并相应地促进自动防护。2.2导言一个有效的入侵检测系统（IDS）必须能识别常见的威胁，同时也能识别潜在的新威胁。自动化系统是目前在这两类的前者中是非常有效的；也就是说，如果入侵是一个事先预测到的数据模式，一个良好设计的自动化IDS能非常快速地识别它。然而，在异常活动检测状态（需求认证新威胁）中，自动化系统是非常不可靠的。这些系统缺乏对于判定异常数据是否是威胁来说非常重要的推理能力，且伴随着具有极高的假阳性率的典型结果。通过可视化网络代表机构，我们设计了一个具有人工操作员推理能力的系统。使用此系统与传统的自动化IDS结合能显著提高IDS的整体效能。网络数据的可视化表示为人工操作员提供了一个接口和一个进行数据处理的象征。这让操作员能对各种网络流量形式下结论，并迅速隔离重要类型的流量。从这种相互影响中获得的信息会被自动化IDS采用并应用于整个网络来促进网络安全。可视化技术的力量来自它的并行性。如果没有某种形式的数据可视化，操作员需要依靠自动化工具（有其内在的限制）或做大量不相干数据的线性标记。可视化能让操作员并行地查看数据，就像查看一个动态的图形数据。操作员能调整图像并强调出具有重要信息的部分，因此不相关数据会较少地受到关注。这为我们从广大的，避免“大海捞针”问题发生的全面的角度查看网络提供了良好环境。2.3可视化技术我们的可视化系统使用几个比喻和数据表示来传递网络状态的信息。这些意见并不一定彼此正交。我们发现在表示法间允许信息的重叠能帮助操作员巩固对于网络的理解。将网络数据聚集到一个图像表示的方法有许多。我们对这问题的处理方法是验证实体的重要性和演示当那些实体随时间发展之间的关系。例如，一个特定的可视化工具能演示在网络上作为实体的主机，它能改变那些相互通信的主机间的相对位置和颜色，以此来表明它们间通信所发现的特点。需要着重注意的是，可视化实体纯粹是抽象的。这意味着实体可以设计为表示任何类型的网络对象，以此确定它是否有物理意义。举个例子，设想一个网络仅仅只是为了通过加密的数据。在这个网络中，监视连接是十分重要的，并确保它们是正确的加密保护之下运行。数据元素在最恰当的情况下使用是可视化工具的重点，该工具会持续地采样机器间的连接熵，并用彩色实物在屏幕上显示这些连接，以颜色显示这些测量熵。使用这个接口，操作员能迅速识别大多数类型的被加密发送的流量，原因是它们会以一种不同颜色的图像实体出现。在识别有问题的连接后，工具接口将识别通信结束端点，从而使操作员能迅速解决这个问题。在可视化工具中我们支持的另一个重要技术是交叉工具实体相关性，该工具支持一个统一的实体的代表。当一个工具选择了一个实体，它能通知任何其他工具，那些选择的实体目前正在受到关注。如果另一个工具也演示了那个实体的表示方法，它们就能改变演示来强调同一个实体，这使得操作员能将信息联系起来，提供多种格式的资料以达到最大的理解。2.4建筑可视化工具我们开发的可视化工具套件是以可扩展性作为主要目标，显然，基于操作员修改和扩展工具的能力的思想是极其有用的。为此，该工具套件是完全基于外挂程序的。与给予和数据处理相关的核心能力提供最为图书馆的功能，外挂程序被很好地定义并有强大的通信方法。应用程序的核心架构是基于流量分析的数据流模型。外挂程序设计有允许它们接收任意类型的数据作为输入的端口，并生成任意类型的数据作为输出。输入输出关系是多对多，所以外挂程序有能力从不同的资源处聚集数据并为随后的外挂程序提供不同类型的处理信息作为输出。每一个外挂程序也有一个由应用程序核心提供的，使用非常灵活的，3d接口类型的图形视图的选项。作为从资源外挂程序输入系统的数据，它在信息分析外挂程序链中传递。每个分析仪都有机会测试它特别重要的区域，提取相关信息，并传递该信息。此数据流结构本身以一种图形拖放形式，允许用户选择重要的分析外挂程序和任何可能的方式连接的端口来实现。一个数据类在它们互相连接时会检查内部系统来防止非法连接。图1显示了一个示例配置。在图中，现场网络嗅探器被用作监视网络和重要网络数据进入应用程序的资源外挂程序。嗅探器外挂程序则将数据传输到一系列分析外挂程序中。在这个例子中，分析仪对应于OSI的7层网络模型。第一分析仪插件检查每个能接收并能正确处理的数据包的链路层报头，这包括在实体间从报头和跟踪关系中对于以太网地址的记录，如发送者和接收者。一旦分析了以太网报头，该报头就会被删除，网络数据传输到下一个分析外挂程序。而这并不是完全必要的，对于以太网外挂程序或任何外挂程序都是如此，在没有剥离报头的情况下传递所有的网络数据。这种方法有两大好处。首先，它减少了在更高层次的协议堆栈中每个外挂程序的大量工作。每个插件只需要一个单一的协议的详细信息 ，不必操作过多的网络数据。这消除了网络数据处理代码或调用库函数的重复执行。因此，分析仪分享了在OSI的七层网络模型的优点。第二个好处是 ，可视化外挂程序能沿着分析链挖掘出任何端点，或一系列端点。这使得可视化更方便地从几个分析仪外挂程序中收集信息同时减少了可视化外挂程序必须演示重要数据的工作量。接收网络数据的过程，分析适当的部分，传递处理过的数据以此来提高分析仪的水平，这正如协议堆栈所要求的被贯彻到底。当然，最终原始数据达到，可能有也可能没有分析仪外挂程序。在图1中，分析链行进至OSI的七层网络模型的网络层停止。端点是可视化的外挂程序，描述如下。 除了分析外挂程序，应用程序提供了强大的聚合引擎以从数据流处理器中收集多种类型的信息。每个处理器可以将信息发送到这个引擎中，引擎会自动保存和实体相关的信息，这些关联将被研究，以此从一个更高水平的基点取得深远的信息。图2-4 分析仪配置的例子2.5特殊的说明工具本节介绍了几种我们已经实施的可视化外挂程序来测试这些概念。每个外挂程序的演示都有稍微不同的侧重点。目前，可视化对典型的ieee 802.3有线网络和ieee 802.11无线网络有专门的设计。每个外挂程序描述了随意从这些网络类型中的一个来看形象化下的数据。在链路层或其以上分析协议的应用程序可用于任何类型的网络。所有的无线外挂程序将分析集中于802.11协议并依靠其他可视化来提供更高层协议数据的表示。2.5.1ApLocateApLocate是最简单的可视化外挂程序。它的设计主要是为了给操作员关于物理上接近的无线相互接入点的意见。ApLocate的中心实体是接入点，并作为一个球体呈现。二级实体代表客户端的接入点之间的过渡，并在触发事件的时候呈现为一条直线，在经过1秒左右后会消失。在网络中得到了关于接入点相关位置的更多信息后，它们在关联性上互相转换。用于推断接入点位置的算法是基于客户端过渡的。假设一个无线客户端均匀分布，彼此靠近的接入点比那些远的应该看到更多的共享跃迁。此信息可以被用来确定一个接入点的逻辑分离，而且逻辑分离作为应用程序中的距离以图形方式显示。最终定位是通过一个弹簧质量模型来解决，其中的接入点是挤成一团放在粘性液体中并通过弹簧的弹性系数范围来互相连接。作为客户端在接入点之间的过渡，弹簧的弹性系数与迁跃的增加相对应，将受影响的接入点紧密联系在一起。弹簧在空缺的情况下，接入点在恒定力的作用下互相排斥，以防止中心的一整团缩小为一点。该算法对实际的物理距离只有一个非常粗略的估计，提供有关网络使用情况的信息和对操作者而言的热点。不可能的跳跃也强调，由于各自的接入点在视图相距很远，并且这一跳会显示为比平时长得多的线。这可以作为表明高增益天线使用的一个标志 ，或该网络的典型应用领域的外部用户。图2-5-1 APLocate代表性的无线网络客户端接入点之间的过渡2.5.2AssocView这种可视化的应用集中于ieee 802.11链路层。它以红色球形代表接入点而客户端用不同颜色的球形。客户端与一个特别的接入点相联系，它们呈棕褐色并放在互相联系的接入点下方的圆柱中。虽然客户端已被验证但还没和接入点关联的呈亮绿色。已被检测到的客户端但还没关联信息的呈白色并沿着未确定的平面扩散。和接入点相关的呈棕褐色的客户端会画出一条暗蓝色的线到当前相关的接入点。这些主机也会画出暗黄色的线到任何它们中有验证的接入点。IEEE 802.11标准的数据包在两个实体之间被表示为紫色线。最后，在IEEE 802.11 Ad - hoc模式下发送的数据包再两个实体之间用绿色暗线绘制来表示。除了这些意见书，AssocView也为位置接入点操作定位算法来表明接入点共享客户端。如果客户端和接入点有关联并对其他的几个也已验证，那么接入点将被放到一个围绕着客户端的圈中。每个客户端都要重复此过程，每个还没被事先定位的接入点会被放在和客户端相关的适当的点上。其结果是一个“网络”的接入点通常至少有一个客户端关联。如果接入点之间的关联非常强大，那么大量的不透明的，黄色相关的线会和附近的客户端点对点地连接。因此，操作员能轻松指出哪些接入点共享大量的客户端和最有可能物理上相互接近。上述的算法并不完美，一些接入点和客户端会发生重叠。有了更详尽的技术，接入点会被用来防止掩盖了重要关联的重叠。这个版本的工具用于为操作员提供一个可靠和快速响应的接口。在该工具未来的版本将致力于完善定位算法来更有效地演示客户端到接入点的关联。图2-5-2 AssocView在无线客户端和接入点间的关联演示和验证2.5.3 NERVzNERVz是网络通信中的MAC，IP，UDP和的TCP层的可视化。可视化的实体是单独的IP地址（通常和物理主机一致）和数据包。数据包进一步分为TCP和UDP协议，和任何其他数据包一起呈现为青色线。CP和UDP数据包都呈现为一根分为2段的线，一头的末端为蓝色，另一端的末端为红色。线的蓝色末端是数据包的资源结束点，而红色末端是目的地。这些数据包通过其他两个点间的第三个点传输，与端口号和协议指示相对应。每一个TCP数据包从主机开始（由一个球表示），传输到上面平面的一个点，然后下到另一台主机。平面描绘了所有65,536个可用端口号的映射，并分解成256*256的网格。UDP数据包使用相同的方案，但它们使用下面的平面。网络上发现的每个唯一的IP地址用一个彩色的球表示。颜色由MAC地址（第3个字节）的制造商部分决定。IP地址依据它们在网络内各自的使用来定位。由于更多的流量发送大于接收，主机将移到绘图的左边。而对面的接收大于发送。主机使用的总带宽由它的垂直位置决定。这个位置这样计算致使主机通过它们相关的带宽使用而按从顶部到底部排序。ARP（地址解析协议）消息作为位于请求主机中心的扩张的红球是很直观的。从回复主机返回的答复用青色线表示。这幅网络的拓扑图为用户提供了大量关于网络中独立主机各种各样关联的信息。快速决定最常用的服务，最活跃的主机，和网络通信的一般结构是可能的。网络健康和安全的其他重要指标（如地址解析协议通知和主机的颜色编码）允许操作员为网络作一个快速状态报告。一个带宽定位算法的有趣的结果是服务器逐渐上升到视图的顶部中心。使用这些解释，当服务器失效或不同的机器代替了它的位置（诸如一个人在中部攻击时会发生），操作员就能快速地发现。图2-5-3 NERVz的Nmap扫描示意图2.5.4 ServiceLakes这种可视化是与更高级别的服务相联系的，主机用随机放置在升高平面上的球体表示。作为使用服务的主机，如域名服务（DNS），为了那项服务，作为一个小圆盘出现在更低的平面上。这些服务圆盘就像湖泊般出现，这就是此工具被这样命名的原因。当该服务的利用率提高，圆盘的直径增加。当利用率减少，其直径也随之减小。这样，我们可以看到网络服务的普及和相对的使用。如果服务是频繁使用的话，圆盘在大部分时间都会有较大的直径，而服务很少使用时直径则会变的更小。这个接口也能从图示中删除闲置的主机和服务，或只显示最流行的主机和服务。该接口也允许操作员改变服务标签和主机名称。图2-5-4 ServiceLakes在小型网络中用Nmap ICP端口扫描的拓扑2.5.5 VisuWall这种可视化就如NERVz的应用，集中在IP，TCP和UDP层，以及ICMP和ARP层。这种可视化在矩形平面空间显示B类资源和目标IP地址。在虚线十进制地址的第三部分（例如，xxx.xx.16.x）用于定位沿着资源和目标地址平面的x轴的链接。在IPv4点分十进制地址的第四部分（例如，xxx.xxx.xx.1）用于定位沿着资源和目标地址平面的z轴的链接。ICMP，TCP和UDP层被表示为沿着每个平面z轴的伴随着有尺寸的数据包的矩形平面。ARP请求表示为“红色发光信号”，它源于发送者在源地址平面的定位。那个大的，透明的平面代表了65,535个由TCP和UDP使用的端口，并位于源地址和目标地址平面间的沟中。一个来自源地址平面的链接碰撞了端口平面的适当位置（零作为那些不使用端口的协议）并“折射”到每个适当的平面。举个例子，一个发送到80端口的TCP数据包起始于源地址平面的适当的点，碰撞在80端口位置平面，并“折射”到目标地址和TCP平面的适当的点。而回复则会遵循类似的过程，根据源规则和目标交换，回复将会被发送到不同的端口。图2-5-5 VisuWall的Nmap TCP端口扫描拓扑2.5.6 WStateWState是802.11无线网络的链路层的可视化。它分类为三种类型之间的实体：作为一个线轴表示的接入点；一个以接入点末端相互关联的球体表示的客户端；和一个用线表示的数据包。这种可视化的开发是为了监视网络上的客户端的行为，并确定了该行为的模式。此外，它仍保留着的马尔科夫模型在802.11帧类型之间的过渡并为链路层的攻击提供一些自动的异常检测。随着客户端在接入点之间来来回回，它们各自的球形从受影响的接入点的线轴区域进进出出。由于接入点负载越来越重，他们的线轴高度增加。这为网络中的关键区域引起重视服务，并可能显示需要更好负载平衡的区域。当一个在网络上的实体发送一个不可能序列帧时，它将开始闪烁的红色。任何给定的帧类型转换的可能性是基于遵守网络状态的不断更新。当主机的状态在一个足够长的时间后返回正常，它将停止闪烁。这既能标记恶意行为（如管理帧溢出）又能标记不确定行为（如对接入点关联失败）。图2-5-6 WState在大型无线网络中的关联和网络使用拓扑2.6结论我们建立了一套工具套件有助于操作员直观地分析网络数据。通过可视化工具演示网络数据减少了需要验证复杂模式和关系的时间和精力。这加强了操作员辨识模型的能力，用这种理解为传统入侵检测方法建立标记。这种技术提供有效的方法来帮助操作员理解网络方面的状态并补充传统的入侵检测方法。该工具套件还促进了新的工具快速建立和用新方法以突出的网络数据，结果提供了简明易懂的数据。新工具的快速建立能为新的协议或网络数据创造新的可视化工具。有多种可视化工具是十分重要的，在汇接中使用可视化工具能帮助操作员得到那些用单一工具十分困难或不可能的信息。为此，关系引擎跟踪被每个工具收集的的数据所以关联能用几个工具立即检查。分析工具的特殊描述建立至今给了读者一种理解：不同的网络数据将更直观。INTRUSION DETECTION AND MONITORINGFOR WIRELESS NETWORKSI. IntroductionWireless computer networks are increasing exponentially around the world. They are being implemented in both the unlicensed radio frequency (RF) spectrum (IEEE 802.11a/b/g) and the licensed spectrum (e.g., Firetide 1 and Motorola Canopy 2). Wireless networks operating in the unlicensed spectrum are by far the most popular wireless computer networks in existence. The open (i.e., proprietary) nature of the IEEE802.11 protocols and the availability of “free” RF spectrum have encouraged manyproducers of enterprise and common off-the-shelf (COTS) computer networkingequipment to jump into the wireless arena. Competition between these companies hasdriven down the price of 802.11 wireless networking equipment and has improved userexperiences with such equipment. The end result has been an increased adoption of theequipment by businesses and consumers, the establishment of the Wi-Fi Alliance 3, andwidespread use of the Alliances “Wi-Fi” moniker to describe these networks.Consumers use 802.11 equipment at home to reduce the burden of running wires inexisting construction, facilitate the sharing of broadband Internet services withroommates or neighbors, and increase their range of “connectedness.” Private businessesand government entities (at all levels) are deploying wireless networks to reduce wiringcosts, increase employee mobility, enable non-employees to access the Internet, andcreate an added revenue stream to their existing business models (coffee houses, airports,hotels, etc.). Municipalities (Philadelphia; San Francisco; Grand Haven, MI) aredeploying wireless networks so they can bring broadband Internet access to placeslacking such access; offer limited-speed broadband access to impoverished communities;offer broadband in places, such as marinas and state parks, that are passed over bytraditional broadband providers; and provide themselves with higher quality, morecomplete network coverage for use by emergency responders and other municipalagencies.In short, these Wi-Fi networks are being deployed everywhere. Much thought has beenand is being put into evaluating cost-benefit analyses of wired vs. wireless networks andissues such as how to effectively cover an office building or municipality, how toefficiently manage a large network of wireless access points (APs), and how to savemoney by replacing an Internet service provider (ISP) with 802.11 technology. Incomparison, very little thought and money are being focused on wireless security andmonitoring for security purposes.Companies such as AirMagnet and AirDefense have established themselves by sellingwireless security software and hardware. But the products they sell focus on officeenvironments, network tuning and performance measurement, and existing attacks ratherthan novel wireless attacks. Many innovative tools have been developed in the opensource community, but as the deployment of wireless networks expands, manyopportunities for new tools, new areas of research, and improvements on commercial andfreely available tools remain.A quick look at a few threats that exist for wireless networks reinforces the importance ofstudying security and incident response in relation to these networks: Rogue clients are wireless devices (laptops, PDAs, printers, etc.) that are notauthorized to use a wireless network. Additionally, many rogue clients could“spoof,” or impersonate, the MAC (media access control) address (i.e., thehardware address) of an authorized client to gain access to network resources. Rogue APs are APs that are not authorized to serve a wireless network. As in thecase of rogue clients, a rogue AP could spoof the MAC address of an authorizedAP to launch man-in-the-middle attacks on the network. AP flaws are a broad category of threats to wireless networks:o Wireless APs may be (and are) manufactured and sold with errors in theimplementation of the wireless specification (e.g., IEEE 802.11a/b/g/i); anattacker could exploit these errors.o Additionally, APs may be improperly configured or managed by thenetwork administrator. Software patches and/or firmware updates mighthave been inconsistently applied or not applied at all. Clients using outside APs may not even know their connection to the outside APexists. Whether the connection to the outside AP is made knowingly or not, thisconnection could put the wireless networkas well as the confidentiality of anyinformation transmitted over the wireless networkat risk. Sniffing traffic is often the first step in attacking a network. An insider or anoutsider could learn a lot about the network and the information exchanged onthat network by simply listening to the data being passed freely through the air. A variety of denial of service (DoS) attacks exists for wireless networks.o A client (or clients) could flood the network with authentication requests.o Similarly, client(s) could flood the network with association requests.o Rogue client(s) could spoof deauthentication requests to deny service tospecific clients.o A flood of request-to-sent/clear-to-send (RTS/CTS) messages could denyservice to wireless devices on the network.o RF-level interference could increase noise on the wireless network to theextent that the network becomes unusable.o The injection of malformed frames into the wireless network could alsodisrupt network operations.o A device could repeatedly broadcast deauthenticate/disconnect frames,causing all devices to disconnect from the network. Ad hoc networks can affect infrastructure wireless networks in a variety of ways:o Client devices may create ad hoc networks without the users knowledge.o Client devices may connect to ad hoc networks without the usersknowledge.o Ad hoc networks can interfere with infrastructure networks at the RF level(another DoS attack). Misconfigured wireless network resources provide additional avenues for attack:o The option to remotely manage the AP through a Web browser interfacemay not be access-controlled.o Weak or no encryption may be employed on the network.During the course of this Laboratory Directed Research and Development (LDRD)project, we studied ways in which to both monitor and protect wireless networks,specifically those using the IEEE 802.11a/g protocols. We tried to think about futureiterations of 802.11 and other wireless technologies such as WiMAX (IEEE 802.16),Bluetooth, etc. as we conducted our research.The term “monitoring the network” includes activities such as intrusion detection, datacapture, and visualization of network data. We studied monitoring for defensive andforensic purposes, not necessarily for network health.Our research into wireless session/flow monitoring resulted in us writing a software toolnamed Wmon that can be run on embedded BSD or Linux devices, capturing wirelesstraffic, and then aggregating it at a central location for analysis and forensics. Wmon canweed out duplicate flows at the central aggregation point so that many sensors can bedeployed to adequately cover a network. The software can also record every frame seento a central storage facility for later forensic or research use. The aggregation pointeliminates duplicate frames as well.By leveraging earlier work in visualizing network traffic on wired networks, we built alibrary of network visualization functions and tools that enable us to view wirelessnetworks in new ways. Visualization of networks allows us to detect attacks that textbasedtools miss.We also looked for new ways to protect wireless networks. This element of the researchevolved during the course of the two-year project as commercial and open source toolsand research were transformed over the same period. Our work in this area varied widely.We spent time looking at wireless attacks at the RF level, specifically RF jammingattacks. We were successful in modeling these attacks and suggest se