一種對(duì)惡意無(wú)線接入點(diǎn)進(jìn)行反制的方法及裝置制造方法
【專利摘要】本發(fā)明提供一種對(duì)惡意無(wú)線接入點(diǎn)進(jìn)行反制的方法及其裝置�����,應(yīng)用于無(wú)線控制器AC��。所述方法包括:當(dāng)發(fā)現(xiàn)存在惡意無(wú)線接入點(diǎn)Rogue?AP�����,在所述AC管理的無(wú)線接入點(diǎn)AP中查找得到可偵測(cè)到所述Rogue?AP的合法AP的列表以及所述合法AP關(guān)聯(lián)的無(wú)線客戶端列表;將所述Rogue?AP的MAC地址通知所述無(wú)線客戶端列表中的所有無(wú)線客戶端����;令所述無(wú)線客戶端列表中的所有無(wú)線客戶端向所述Rogue?AP發(fā)起攻擊。其可以在不影響公司合法AP工作的情況下�����,對(duì)Rogue?AP進(jìn)行反制���。
【專利說(shuō)明】一種對(duì)惡意無(wú)線接入點(diǎn)進(jìn)行反制的方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)通信領(lǐng)域�,尤其涉及一種對(duì)惡意無(wú)線接入點(diǎn)進(jìn)行反制的方法及裝置�。
【背景技術(shù)】
[0002]無(wú)線接入點(diǎn)AP (Access Point),將從有線網(wǎng)絡(luò)(例如Internet)接收到的數(shù)據(jù)轉(zhuǎn)換成無(wú)線信號(hào)發(fā)送,以及將接收到的無(wú)線信號(hào)轉(zhuǎn)換成數(shù)據(jù)并轉(zhuǎn)發(fā)到有線網(wǎng)絡(luò)���。惡意無(wú)線接入點(diǎn)Rogue AP�,指網(wǎng)絡(luò)中未經(jīng)授權(quán)或者有惡意的AP��,它可以是私自接入到網(wǎng)絡(luò)中的AP����、未配置的AP��、鄰居AP或者攻擊者操作的AP���。無(wú)線訪問(wèn)控制器ACXAccess Controller)���,完成對(duì)無(wú)線用戶的認(rèn)證/配置/數(shù)據(jù)轉(zhuǎn)發(fā)等功能�,起到集中控制的作用�����。CAPWAP(Contrc)I AndProvisioning of Wireless Access Points Protocol Specification)為 AC 與 AP 間的標(biāo)準(zhǔn)控制協(xié)議�����,使用UDP服務(wù)�����,采用固定的端口號(hào)��。
[0003]參看圖1�,現(xiàn)有的無(wú)線網(wǎng)絡(luò)采用集中式控制架構(gòu),一臺(tái)AC控制多臺(tái)AP���,AC與AP間通過(guò)二層以太網(wǎng)交換機(jī)相連���。為實(shí)現(xiàn)集中控制�,AC與每一臺(tái)AP都會(huì)建立CAPWAP隧道����,且隧道必須通過(guò)有線網(wǎng)絡(luò)建立。在實(shí)際用戶組網(wǎng)中�,除了公司本身建立的AC以及合法AP的大型無(wú)線網(wǎng)絡(luò)。也有可能有公司或者外部人員攜帶Rogue AP���,接入公司有線網(wǎng)絡(luò)��。由于RogueAP的信息安全是得不到保障的��,所以公司網(wǎng)絡(luò)的合法AP���,如果偵測(cè)到Rogue AP的存在,就會(huì)馬上對(duì)其發(fā)起攻擊���,致使其無(wú)法工作����。
[0004]但是,公司網(wǎng)絡(luò)合法AP的主要任務(wù)是提供無(wú)線接入服務(wù)��。一個(gè)合法AP往往會(huì)同時(shí)接入幾十個(gè)無(wú)線客戶端��,工作非常繁忙�。如果由公司網(wǎng)絡(luò)的合法AP發(fā)起攻擊,會(huì)影響到其提供的無(wú)線服務(wù)質(zhì)量����。并且如果Rogue AP和公司網(wǎng)絡(luò)的合法AP不在同一工作信道上�,公司網(wǎng)絡(luò)的合法AP在攻擊Rogue AP的時(shí)候,還要從工作信道上切換到Rogue AP所在的信道���,對(duì)公司網(wǎng)絡(luò)的合法AP本身的工作影響巨大����。
【發(fā)明內(nèi)容】
[0005]有鑒于此�����,本發(fā)明的目的是提供一種對(duì)惡意無(wú)線接入點(diǎn)進(jìn)行反制的方法及裝置��,其可以在不影響公司合法AP工作的情況下����,對(duì)Rogue AP進(jìn)行反制��。
[0006]為實(shí)現(xiàn)上述目的���,本發(fā)明提供技術(shù)方案如下:
[0007]本發(fā)明提供一種對(duì)惡意無(wú)線接入點(diǎn)進(jìn)行反制的方法,應(yīng)用于無(wú)線控制器AC���。
[0008]所述方法包括:
[0009]當(dāng)發(fā)現(xiàn)存在惡意無(wú)線接入點(diǎn)Rogue AP���,在所述AC管理的無(wú)線接入點(diǎn)AP中查找得到可偵測(cè)到所述Rogue AP的合法AP的列表以及所述合法AP關(guān)聯(lián)的無(wú)線客戶端列表。
[0010]將所述Rogue AP的MAC地址通知所述無(wú)線客戶端列表中的所有無(wú)線客戶端�。
[0011]令所述無(wú)線客戶端列表中的所有無(wú)線客戶端向所述Rogue AP發(fā)起攻擊。
[0012]進(jìn)一步���,本發(fā)明所述發(fā)現(xiàn)存在惡意無(wú)線接入點(diǎn)Rogue AP包括:
[0013]接收公司網(wǎng)絡(luò)的合法無(wú)線接入點(diǎn)AP捕獲到的周?chē)従覣P的列表���。[0014]檢查每個(gè)AP上報(bào)的鄰居列表,如存在并非所述AC管理的無(wú)線接入點(diǎn)AP����,則所述AP 為 Rogue AP0
[0015]進(jìn)一步,本發(fā)明所述將所述Rogue AP的MAC地址通知所述無(wú)線客戶端列表中的所有無(wú)線客戶端是通過(guò)私有擴(kuò)展字段將所述Rogue AP的MAC地址通知所述無(wú)線客戶端列表中的所有無(wú)線客戶端�。
[0016]進(jìn)一步����,本發(fā)明所述無(wú)線客戶端列表中的所有無(wú)線客戶端向所述Rogue AP發(fā)起攻擊是在所述無(wú)線客戶端空閑的時(shí)候�����,向所述Rogue AP發(fā)起攻擊�����。
[0017]進(jìn)一步�,本發(fā)明還包括:
[0018]在檢測(cè)到所述Rogue AP不存在后,通知所述無(wú)線客戶端停止攻擊。
[0019]本發(fā)明還提供一種對(duì)惡意無(wú)線接入點(diǎn)進(jìn)行反制的裝置��,應(yīng)用于無(wú)線控制器AC�,所述方法包括:
[0020]列表獲取單元�,用于當(dāng)發(fā)現(xiàn)存在惡意無(wú)線接入點(diǎn)Rogue AP,在所述AC管理的無(wú)線接入點(diǎn)AP中查找得到可偵測(cè)到所述Rogue AP的合法AP的列表以及所述合法AP關(guān)聯(lián)的無(wú)線客戶端列表���。
[0021]地址通知單元��,用于將所述Rogue AP的MAC地址通知所述無(wú)線客戶端列表中的所
有無(wú)線客戶端��。
[0022]攻擊發(fā)起單元�,用于令所述無(wú)線客戶端列表中的所有無(wú)線客戶端向所述Rogue AP發(fā)起攻擊。
[0023]進(jìn)一步�,本發(fā)明所述列表獲取單元發(fā)現(xiàn)存在惡意無(wú)線接入點(diǎn)Rogue AP包括:
[0024]接收公司網(wǎng)絡(luò)的合法無(wú)線接入點(diǎn)AP捕獲到的周?chē)従覣P的列表。
[0025]檢查每個(gè)AP上報(bào)的鄰居列表����,如存在并非所述AC管理的無(wú)線接入點(diǎn)AP,則所述AP 為 Rogue AP0
[0026]進(jìn)一步�����,本發(fā)明所述地址通知單元是通過(guò)私有擴(kuò)展字段將所述Rogue AP的MAC地址通知所述無(wú)線客戶端列表中的所有無(wú)線客戶端�。
[0027]進(jìn)一步,本發(fā)明所述攻擊發(fā)起單元是在所述無(wú)線客戶端空閑的時(shí)候��,向所述RogueAP發(fā)起攻擊���。
[0028]進(jìn)一步���,本發(fā)明還包括:
[0029]攻擊停止單元,用于在檢測(cè)到所述Rogue AP不存在后����,通知所述無(wú)線客戶端停止攻擊。
[0030]與現(xiàn)有技術(shù)中利用合法AP對(duì)Rogue AP進(jìn)行攻擊相比較,本發(fā)明利用無(wú)線客戶端對(duì)Rogue AP進(jìn)行攻擊�,從而減小公司網(wǎng)絡(luò)的合法AP的負(fù)擔(dān),不影響公司網(wǎng)絡(luò)的合法AP的工作�����。并且無(wú)線客戶端的數(shù)量眾多����,由無(wú)線客戶端來(lái)發(fā)起攻擊,大大增強(qiáng)了對(duì)Rogue AP的反制效果�。
【專利附圖】
【附圖說(shuō)明】
[0031]圖1是現(xiàn)有技術(shù)無(wú)線網(wǎng)絡(luò)管理示意圖;
[0032]圖2本發(fā)明方法的流程圖�����;
[0033]圖3是本發(fā)明私有擴(kuò)展字段的格式����;
[0034]圖4是本發(fā)明裝置的結(jié)構(gòu)圖�。【具體實(shí)施方式】
[0035]以下結(jié)合附圖對(duì)本發(fā)明進(jìn)行詳細(xì)描述��。
[0036]針對(duì)現(xiàn)有技術(shù)中利用合法AP對(duì)Rogue AP進(jìn)行攻擊相比較����,本發(fā)明利用無(wú)線客戶端對(duì)Rogue AP進(jìn)行攻擊��,從而減小公司網(wǎng)絡(luò)的合法AP的負(fù)擔(dān)�,不影響公司網(wǎng)絡(luò)的合法AP的工作����。并且無(wú)線客戶端的數(shù)量眾多,由無(wú)線客戶端來(lái)發(fā)起攻擊���,大大增強(qiáng)了對(duì)Rogue AP的反制效果���。
[0037]參看圖2,本發(fā)明提供一種對(duì)惡意無(wú)線接入點(diǎn)進(jìn)行反制的方法����,應(yīng)用于無(wú)線控制器AC。所述方法包括:
[0038]201�����、當(dāng)發(fā)現(xiàn)存在惡意無(wú)線接入點(diǎn)Rogue AP�����,在所述AC管理的無(wú)線接入點(diǎn)AP中查找得到可偵測(cè)到所述Rogue AP的合法AP的列表以及所述合法AP關(guān)聯(lián)的無(wú)線客戶端列表。
[0039]如果Rogue AP為多個(gè),所述AC分別針對(duì)發(fā)現(xiàn)的多個(gè)Rogue AP在其管理的無(wú)線接入點(diǎn)AP中分別查找得到可偵測(cè)到各Rogue AP的合法AP�。所述AC分別針對(duì)多個(gè)Rogue AP建立合法AP的列表以及所述合法AP關(guān)聯(lián)的無(wú)線客戶端列表。
[0040]所述AC可以實(shí)時(shí)偵測(cè)是否發(fā)現(xiàn)Rogue AP��,也可以間隔預(yù)定周期偵測(cè)是否發(fā)現(xiàn)Rogue AP����。
[0041]202、將所述Rogue AP的MAC地址通知所述無(wú)線客戶端列表中的所有無(wú)線客戶端����。
[0042]由于所述AC發(fā)現(xiàn)新的Rogue AP即會(huì)查找得到對(duì)應(yīng)新的Rogue AP的合法AP的列表以及合法AP關(guān)聯(lián)的無(wú)線客戶端列表。所以Rogue AP發(fā)生變化��,對(duì)應(yīng)于Rogue AP的合法AP關(guān)聯(lián)的無(wú)線客戶端列表就會(huì)發(fā)生變化����。所述AC會(huì)發(fā)送Rogue AP的MAC地址通知所述無(wú)線客戶端列表中的所有無(wú)線客戶端。203�����、令所述無(wú)線客戶端列表中的所有無(wú)線客戶端向所述Rogue AP發(fā)起攻擊��。
[0043]所述無(wú)線客戶端列表中的所有無(wú)線客戶端向所述Rogue AP發(fā)起攻擊是指無(wú)線客戶端向任何與所述Rogue AP關(guān)聯(lián)的客戶端發(fā)送解除認(rèn)證巾貞,與Rogue AP關(guān)聯(lián)的客戶端都被解除認(rèn)證�����,會(huì)斷開(kāi)與Rogue AP的連接,從而阻止了客戶端與Rogue AP的通信���。
[0044]本發(fā)明利用無(wú)線客戶端對(duì)Rogue AP進(jìn)行攻擊��,從而減小公司網(wǎng)絡(luò)的合法AP的負(fù)擔(dān)����,不影響公司網(wǎng)絡(luò)的合法AP的工作�����。并且無(wú)線客戶端的數(shù)量眾多�,由無(wú)線客戶端來(lái)發(fā)起攻擊,大大增強(qiáng)了對(duì)Rogue AP的反制效果。
[0045]進(jìn)一步地�,本發(fā)明所述步驟201中發(fā)現(xiàn)存在惡意無(wú)線接入點(diǎn)Rogue AP包括:
[0046]2011、接收公司網(wǎng)絡(luò)的合法無(wú)線接入點(diǎn)AP捕獲到的周?chē)従覣P的列表�����;
[0047]2012��、檢查每個(gè)AP上報(bào)的鄰居列表���,如存在并非所述AC管理的無(wú)線接入點(diǎn)AP��,則所述 AP 為 Rogue AP���。
[0048]進(jìn)一步地���,由于所有無(wú)線客戶端都和所述AC關(guān)聯(lián),所以無(wú)線客戶端和所述AC之間可以通過(guò)802.1lk協(xié)議交互信息����。所述步驟202中將所述Rogue AP的MAC地址通知所述無(wú)線客戶端列表中的所有無(wú)線客戶端是通過(guò)私有擴(kuò)展字段將所述Rogue AP的MAC地址通知所述無(wú)線客戶端列表中的所有無(wú)線客戶端。所述私有擴(kuò)展字段的格式如圖3所示����。
[0049]進(jìn)一步地,所述步驟203中無(wú)線客戶端列表中的所有無(wú)線客戶端是在所述無(wú)線客戶端空閑的時(shí)候�����,向所述Rogue AP發(fā)起攻擊�。
[0050]進(jìn)一步地,本發(fā)明還包括步驟:[0051]204�����、在檢測(cè)到所述Rogue AP不存在后,通知所述無(wú)線客戶端停止攻擊。
[0052]對(duì)應(yīng)于上述方法��,本發(fā)明還提供一種對(duì)惡意無(wú)線接入點(diǎn)進(jìn)行反制的裝置��,應(yīng)用于無(wú)線控制器AC���。
[0053]參看圖4,無(wú)線控制器AC基本硬件架構(gòu)包括CPU����、內(nèi)存、非易失性存儲(chǔ)器以及其他硬件��。所述裝置在邏輯上包括:
[0054]列表獲取單元��,用于當(dāng)發(fā)現(xiàn)存在惡意無(wú)線接入點(diǎn)Rogue AP���,在所述AC管理的無(wú)線接入點(diǎn)AP中查找得到可偵測(cè)到所述Rogue AP的合法AP的列表以及所述合法AP關(guān)聯(lián)的無(wú)線客戶端列表���。
[0055]地址通知單元,用于將所述Rogue AP的MAC地址通知所述無(wú)線客戶端列表中的所
有無(wú)線客戶端。
[0056]攻擊發(fā)起單元�����,用于令所述無(wú)線客戶端列表中的所有無(wú)線客戶端向所述Rogue AP發(fā)起攻擊。
[0057]進(jìn)一步地��,本發(fā)明所述列表獲取單元發(fā)現(xiàn)存在惡意無(wú)線接入點(diǎn)Rogue AP包括:
[0058]接收公司網(wǎng)絡(luò)的合法無(wú)線接入點(diǎn)AP捕獲到的周?chē)従覣P的列表�����。
[0059]檢查每個(gè)AP上報(bào)的鄰居列表��,如存在并非所述AC管理的無(wú)線接入點(diǎn)AP�,則所述AP 為 Rogue AP0
[0060]進(jìn)一步地,本發(fā)明所述地址通知單元是通過(guò)私有擴(kuò)展字段將所述Rogue AP的MAC地址通知所述無(wú)線客戶端列表中的所有無(wú)線客戶端��。
[0061]進(jìn)一步地���,本發(fā)明所述攻擊發(fā)起單元是在所述無(wú)線客戶端空閑的時(shí)候����,向所述Rogue AP發(fā)起攻擊����。
[0062]進(jìn)一步地,本發(fā)明裝置還包括:
[0063]攻擊停止單元�,用于在檢測(cè)到所述Rogue AP不存在后,通知所述無(wú)線客戶端停止攻擊�。
[0064]以上所述僅為本發(fā)明的較佳實(shí)施例而已���,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)��,所做的任何修改�、等同替換�、改進(jìn)等,均應(yīng)包含在本發(fā)明保護(hù)的范圍之內(nèi)�。
【權(quán)利要求】
1.一種對(duì)惡意無(wú)線接入點(diǎn)進(jìn)行反制的方法,應(yīng)用于無(wú)線控制器AC����,其特征在于,所述方法包括: 當(dāng)發(fā)現(xiàn)存在惡意無(wú)線接入點(diǎn)Rogue AP���,在所述AC管理的無(wú)線接入點(diǎn)AP中查找得到可偵測(cè)到所述Rogue AP的合法AP的列表以及所述合法AP關(guān)聯(lián)的無(wú)線客戶端列表�����; 將所述Rogue AP的MAC地址通知所述無(wú)線客戶端列表中的所有無(wú)線客戶端�; 令所述無(wú)線客戶端列表中的所有無(wú)線客戶端向所述Rogue AP發(fā)起攻擊�。
2.如權(quán)利要求1所述的方法,其特征在于�,所述發(fā)現(xiàn)存在惡意無(wú)線接入點(diǎn)RogueAP包括: 接收公司網(wǎng)絡(luò)的合法無(wú)線接入點(diǎn)AP捕獲到的周?chē)従覣P的列表�; 檢查每個(gè)AP上報(bào)的鄰居列表����,如存在并非所述AC管理的無(wú)線接入點(diǎn)AP,則所述AP為Rogue AP�。
3.如權(quán)利要求1或2所述的方法,其特征在于��,所述將所述RogueAP的MAC地址通知所述無(wú)線客戶端列表中的所有無(wú)線客戶端是通過(guò)私有擴(kuò)展字段將所述Rogue AP的MAC地址通知所述無(wú)線客戶端列表中的所有無(wú)線客戶端���。
4.如權(quán)利要求1所述的方法���,其特征在于,所述無(wú)線客戶端列表中的所有無(wú)線客戶端向所述Rogue AP發(fā)起攻擊是在所述無(wú)線客戶端空閑的時(shí)候�����,向所述Rogue AP發(fā)起攻擊��。
5.如權(quán)利要求1所述的方法��,其特征在于����,還包括: 在檢測(cè)到所述Rogue AP不存在后�,通知所述無(wú)線客戶端停止攻擊�����。
6.一種對(duì)惡意無(wú)線接入點(diǎn)進(jìn)行反制的裝置�,應(yīng)用于無(wú)線控制器AC,其特征在于�����,所述方法包括: 列表獲取單元����,用于當(dāng)發(fā)現(xiàn)存在惡意無(wú)線接入點(diǎn)Rogue AP���,在所述AC管理的無(wú)線接入點(diǎn)AP中查找得到可偵測(cè)到所述Rogue AP的合法AP的列表以及所述合法AP關(guān)聯(lián)的無(wú)線客戶端列表��; 地址通知單元��,用于將所述Rogue AP的MAC地址通知所述無(wú)線客戶端列表中的所有無(wú)線客戶端���; 攻擊發(fā)起單元,用于令所述無(wú)線客戶端列表中的所有無(wú)線客戶端向所述Rogue AP發(fā)起攻擊。
7.如權(quán)利要求1所述的裝置��,其特征在于���,所述列表獲取單元發(fā)現(xiàn)存在惡意無(wú)線接入點(diǎn)Rogue AP包括: 接收公司網(wǎng)絡(luò)的合法無(wú)線接入點(diǎn)AP捕獲到的周?chē)従覣P的列表�����; 檢查每個(gè)AP上報(bào)的鄰居列表��,如存在并非所述AC管理的無(wú)線接入點(diǎn)AP���,則所述AP為Rogue AP。
8.如權(quán)利要求6或7所述的裝置�����,其特征在于�,所述地址通知單元是通過(guò)私有擴(kuò)展字段將所述Rogue AP的MAC地址通知所述無(wú)線客戶端列表中的所有無(wú)線客戶端。
9.如權(quán)利要求6所述的裝置��,其特征在于��,所述攻擊發(fā)起單元是在所述無(wú)線客戶端空閑的時(shí)候���,向所述Rogue AP發(fā)起攻擊�����。
10.如權(quán)利要求6所述的裝置�,其特征在于,還包括: 攻擊停止單元�����,用于在檢測(cè)到所述Rogue AP不存在后���,通知所述無(wú)線客戶端停止攻擊��。
【文檔編號(hào)】H04W12/08GK103561405SQ201310507529
【公開(kāi)日】2014年2月5日 申請(qǐng)日期:2013年10月23日 優(yōu)先權(quán)日:2013年10月23日
【發(fā)明者】汪昊, 傅嘉嘉 申請(qǐng)人:杭州華三通信技術(shù)有限公司