本發(fā)明涉及WIFI攻擊，具體涉及一種檢測(cè)WIFI攻擊的方法。

背景技術(shù)：

由于WIFI不用重新布線，就可接入各種筆記本電腦、手機(jī)、平板(PAD)的特點(diǎn),廣泛應(yīng)用于家庭、辦公室、酒店等場(chǎng)所。WIFI無(wú)線網(wǎng)絡(luò)由客戶端和AP組成，無(wú)線接入點(diǎn)AP為提供WIFI無(wú)線接入的設(shè)備。根據(jù)標(biāo)準(zhǔn)，AP會(huì)定期發(fā)送Beacon幀，讓無(wú)線客戶端感知它的存在；同時(shí)，無(wú)線客戶端也會(huì)通過(guò)主動(dòng)掃描，選擇相應(yīng)的AP進(jìn)行關(guān)聯(lián)。通常無(wú)線網(wǎng)絡(luò)客戶端每次成功建立連接，就記錄對(duì)應(yīng)的AP ID，下次掃描到有連接記錄的AP ID時(shí)會(huì)自動(dòng)嘗試建立連接；任何無(wú)線客戶端要與AP建立連接，都需要經(jīng)過(guò)認(rèn)證、關(guān)聯(lián)過(guò)程，最基本的連接建立過(guò)程為：無(wú)線客戶端要與AP建立連接，首先會(huì)給AP發(fā)送AUTH request，AP收到后會(huì)回復(fù)AUTH response；然后，客戶端再發(fā)送關(guān)聯(lián)請(qǐng)求幀(包含加密認(rèn)證)，AP收到后回復(fù)關(guān)聯(lián)響應(yīng)。

隨著最后一公里接入技術(shù)的發(fā)展和用戶的需求，DSL終端、PON上行終端也紛紛整合進(jìn)了WIFI的AP功能，這些終端通常是由運(yùn)營(yíng)商進(jìn)行維護(hù)的，由于該WIFI使用的是公眾無(wú)線通道，一般是2.4G，所以很容易受到攻擊，WIFI攻擊，通常是利用連接建立過(guò)程的漏洞進(jìn)行攻擊；用戶在遭受WIFI攻擊時(shí)，出現(xiàn)的感知是上網(wǎng)出現(xiàn)瞬斷、速度降低、不能上網(wǎng)，而其它原因也會(huì)導(dǎo)致同樣的現(xiàn)象，如上層網(wǎng)絡(luò)擁塞、接入線路問(wèn)題等，客戶和運(yùn)營(yíng)商無(wú)法快速確定出現(xiàn)上述現(xiàn)象原因是否是遭受到WIFI攻擊，不僅耗費(fèi)大量的人力物力，可能會(huì)導(dǎo)致用戶的敏感信息丟失，造成損失。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明所要解決的技術(shù)問(wèn)題是在上網(wǎng)出現(xiàn)瞬斷、速度降低、不能上網(wǎng)的現(xiàn)象時(shí)，客戶和運(yùn)營(yíng)商能夠迅速確定其發(fā)生原因是遭受WIFI攻擊，以便采取相對(duì)措施的問(wèn)題。

為了解決上述技術(shù)問(wèn)題，本發(fā)明所采用的技術(shù)方案是提供一種檢測(cè)WIFI攻擊的方法，包括以下步驟：

在AP中增加一個(gè)攻擊檢測(cè)模塊和告警公告模塊；

所述攻擊檢測(cè)模塊對(duì)無(wú)線驅(qū)動(dòng)模塊丟棄的無(wú)效或問(wèn)題包進(jìn)行攻擊檢測(cè)，并根據(jù)攻擊檢測(cè)結(jié)果判斷是否受到攻擊，并在受到攻擊時(shí)，向告警公告模塊發(fā)送攻擊消息；

所述告警公告模塊生成兩個(gè)告警公告消息，一個(gè)通過(guò)上網(wǎng)業(yè)務(wù)模塊轉(zhuǎn)發(fā)給正在與此AP連接的客戶終端，進(jìn)行告警公告；另一個(gè)通過(guò)上網(wǎng)業(yè)務(wù)模塊轉(zhuǎn)發(fā)給有網(wǎng)管中心網(wǎng)絡(luò)的網(wǎng)管中心。

在上述方法中，AP的所述無(wú)線驅(qū)動(dòng)模塊實(shí)時(shí)記錄客戶終端和AP間的關(guān)聯(lián)狀態(tài)信息、收、發(fā)包的接收強(qiáng)度信號(hào)指示，并同無(wú)效或問(wèn)題包的原始數(shù)據(jù)包一起發(fā)送給攻擊檢測(cè)模塊。

在上述方法中，所述告警公告模塊將告警公告消息通過(guò)上網(wǎng)業(yè)務(wù)模塊轉(zhuǎn)發(fā)給正在與此AP連接的客戶終端的方式如下：

(1)上網(wǎng)登錄界面提示的方式，具體包括以下兩種情況：

在檢測(cè)到攻擊時(shí)，由于攻擊發(fā)生客戶與網(wǎng)絡(luò)連接自動(dòng)掉線，客戶在重新連網(wǎng)時(shí)，在上網(wǎng)登錄界面上提示W(wǎng)IFI攻擊；

AP根據(jù)攻擊的情況強(qiáng)行斷開連接客戶終端，客戶終端被動(dòng)重新連網(wǎng)時(shí)，在上網(wǎng)的登錄界面上提示W(wǎng)IFI攻擊；

(2)通過(guò)AP的DNS臨時(shí)轉(zhuǎn)向，在客戶終端的上網(wǎng)界面彈出一個(gè)告警窗口，通過(guò)告警窗口向無(wú)線客戶終端發(fā)送告警公告消息。

在上述方法中，所述無(wú)效或問(wèn)題包包括協(xié)議棧不能處理需要丟棄的包、RSSI突變的包、MAC地址或者SSID不符合邏輯的包。

在上述方法中，攻擊檢測(cè)的檢測(cè)內(nèi)容包括包是否符合攻擊包外部特征、收到的包是否和協(xié)議標(biāo)準(zhǔn)的狀態(tài)不符合、RSSI異常是否符合攻擊特征。

在上述方法中，判斷是否受到攻擊不能根據(jù)一個(gè)無(wú)效或問(wèn)題包的攻擊檢測(cè)結(jié)果得到時(shí)，攻擊檢測(cè)模塊記錄收到的多個(gè)包的攻擊檢測(cè)結(jié)果，對(duì)這些包的攻擊檢測(cè)結(jié)果進(jìn)行綜合判斷。

本發(fā)明通過(guò)在AP中增加一個(gè)攻擊檢測(cè)模塊和告警公告模塊，檢測(cè)WIFI攻擊，并同時(shí)通知客戶終端和網(wǎng)管中心，在上網(wǎng)出現(xiàn)瞬斷、速度降低、不能上網(wǎng)的現(xiàn)象時(shí)，客戶和運(yùn)營(yíng)商能夠就可迅速確定是否夠遭受WIFI攻擊，不需要通過(guò)其他設(shè)備確定原因，節(jié)省人力物力，進(jìn)而采取相應(yīng)措施，避免用戶的敏感信息丟失，造成損失。

附圖說(shuō)明

圖1為采用本發(fā)明提供一種檢測(cè)WIFI攻擊的方法的AP結(jié)構(gòu)示意圖；

圖2為采用本發(fā)明對(duì)無(wú)線客戶終端與連接的AP之間進(jìn)行WIFI攻擊檢測(cè)的流程圖。

具體實(shí)施方式

下面結(jié)合說(shuō)明書附圖和具體實(shí)施例對(duì)本發(fā)明做出詳細(xì)的說(shuō)明。

通常一個(gè)AP包括無(wú)線驅(qū)動(dòng)模塊、上網(wǎng)業(yè)務(wù)模塊和上聯(lián)口模塊，無(wú)線驅(qū)動(dòng)模塊完成無(wú)線空口包的收發(fā)、無(wú)線協(xié)議802.11的實(shí)現(xiàn)等；上網(wǎng)業(yè)務(wù)模塊進(jìn)行NAT轉(zhuǎn)發(fā)等操作；上聯(lián)口模塊將上網(wǎng)業(yè)務(wù)模塊處理好的包發(fā)到互聯(lián)網(wǎng)，同時(shí)將收到的互聯(lián)網(wǎng)的包發(fā)到上網(wǎng)業(yè)務(wù)模塊處理；上聯(lián)口模塊的上聯(lián)口上聯(lián)以太網(wǎng)、DSL、PON等，不同的上聯(lián)口的物理形式不一樣。而對(duì)于非法的WIFI攻擊包，在通常情況下，無(wú)線驅(qū)動(dòng)模塊收到后，如果是無(wú)效包，直接丟棄，不作任何處理；如果是偽裝成功的問(wèn)題包，無(wú)法被檢測(cè)到，會(huì)進(jìn)行相應(yīng)的協(xié)議處理。

本發(fā)明提供的一種檢測(cè)WIFI攻擊的方法，如圖1所示，增加一個(gè)攻擊檢測(cè)模塊和告警公告模塊；攻擊檢測(cè)模塊處理無(wú)線驅(qū)動(dòng)模塊丟棄的各種包(無(wú)效包)，攻擊檢測(cè)模塊對(duì)收到的包進(jìn)行分析處理，根據(jù)邏輯條件判斷該包是否有攻擊以及攻擊類型，并記錄下對(duì)應(yīng)攻擊時(shí)間，向告警公告模塊發(fā)送攻擊消息；告警公告模塊生成兩個(gè)方向的告警公告消息，一個(gè)方向是通過(guò)上網(wǎng)業(yè)務(wù)模塊發(fā)送給正在通過(guò)此AP上網(wǎng)的客戶終端，讓無(wú)線客戶終端察覺(jué)到無(wú)線網(wǎng)絡(luò)環(huán)境存在攻擊；另一個(gè)方向是通過(guò)上網(wǎng)業(yè)務(wù)模塊發(fā)送到有網(wǎng)管中心網(wǎng)絡(luò)的網(wǎng)管中心，提醒該網(wǎng)管下掛用戶無(wú)線環(huán)境產(chǎn)生了攻擊，并記錄在網(wǎng)管上，用于客服排查問(wèn)題。

在本發(fā)明中，無(wú)線驅(qū)動(dòng)模塊傳遞給攻擊檢測(cè)模塊的無(wú)效包，除了原始數(shù)據(jù)包外，還包括正常包的接收強(qiáng)度信號(hào)指示(即RSSI)，RSSI能夠側(cè)面反應(yīng)無(wú)線客戶終端的特征，即無(wú)線客戶終端和AP之間的距離以及終端無(wú)線網(wǎng)卡的發(fā)送功率，這是因?yàn)檎０腞SSI由于是合法的終端產(chǎn)生的，有一定的物理特征，在和AP正常通信時(shí)，RSSI只會(huì)在較小范圍內(nèi)跳動(dòng)，如果終端發(fā)生移動(dòng)或者被移動(dòng)物體遮擋時(shí)，由于物體運(yùn)動(dòng)的速率原因，RSSI變化率也在一定的范圍內(nèi)改變；反之，如果發(fā)生攻擊，盡管攻擊包可以模擬合法終端的各種數(shù)據(jù)特征(如MAC地址等)，但是由于攻擊者的物理位置和合法終端一般不可能在同一位置以及與合法終端網(wǎng)卡的無(wú)線發(fā)送功率相同，這樣當(dāng)在AP的無(wú)線網(wǎng)卡上出現(xiàn)正常包的RSSI有一定規(guī)律地上下跳動(dòng)時(shí)，AP通過(guò)這個(gè)邏輯就可以進(jìn)行一種攻擊判別。因此，無(wú)線驅(qū)動(dòng)模塊在向檢測(cè)模塊發(fā)送丟棄包時(shí)還需要將正常包的RSSI也同步傳送過(guò)來(lái)。此外，攻擊檢測(cè)模塊還會(huì)獲取AP的MAC地址、SSID等信息，用于內(nèi)部攻擊檢測(cè)的邏輯處理。

本發(fā)明的告警公告模塊通過(guò)上網(wǎng)登錄界面提示的方式向無(wú)線客戶終端發(fā)送告警公告消息，具體包括以下兩種情況：

(1)上網(wǎng)登錄界面提示，在檢測(cè)到攻擊時(shí)，由于攻擊發(fā)生客戶與網(wǎng)絡(luò)連接自動(dòng)掉線(如Deauth洪泛攻擊)，客戶在重新連網(wǎng)時(shí)，在上網(wǎng)登錄界面上提示W(wǎng)IFI攻擊；

(2)AP根據(jù)攻擊的情況強(qiáng)行斷開連接客戶終端，客戶終端被動(dòng)重新連網(wǎng)時(shí)，在上網(wǎng)的登錄界面上提示W(wǎng)IFI攻擊；

本發(fā)明的告警公告模塊還可以通過(guò)AP的DNS臨時(shí)轉(zhuǎn)向，在客戶終端的上網(wǎng)界面彈出一個(gè)告警窗口，通過(guò)告警窗口向無(wú)線客戶終端發(fā)送告警公告消息。

在本發(fā)明中，告警公告模塊向網(wǎng)管中心發(fā)送告警公告消息可以根據(jù)AP和網(wǎng)管服務(wù)器的聯(lián)接方式，選擇SNMP、TR069等方式，網(wǎng)管中心收到了告警公告消息就可以進(jìn)行對(duì)應(yīng)的處理，如網(wǎng)管界面提示、數(shù)據(jù)保存、向其它相關(guān)服務(wù)器發(fā)送消息等。

下面結(jié)合圖2對(duì)本發(fā)明的實(shí)現(xiàn)流程進(jìn)行具體說(shuō)明，采用本發(fā)明對(duì)無(wú)線客戶終端與連接的AP之間進(jìn)行WIFI攻擊檢測(cè)具體包括以下步驟：

步驟A11、無(wú)線客戶終端x開始和AP之間進(jìn)行認(rèn)證、關(guān)聯(lián)；在本步驟中，AP定期發(fā)送Beacon幀；無(wú)線客戶終端向AP發(fā)送AUTH request；AP回復(fù)AUTH response，發(fā)送關(guān)聯(lián)請(qǐng)求幀(包含加密認(rèn)證)及關(guān)聯(lián)響應(yīng)，這個(gè)連接建立過(guò)程最容易受到WIFI攻擊的。

步驟A12、AP的無(wú)線驅(qū)動(dòng)模塊實(shí)時(shí)記錄無(wú)線客戶終端x和AP間的狀態(tài)信息，包括關(guān)聯(lián)的狀態(tài)信息、收、發(fā)包的RSSI等。

步驟A13、無(wú)線客戶終端x通過(guò)關(guān)聯(lián)/認(rèn)證。

步驟A14、AP的無(wú)線網(wǎng)卡(無(wú)線驅(qū)動(dòng)模塊)進(jìn)行上網(wǎng)業(yè)務(wù)的收、發(fā)包，并實(shí)時(shí)記錄收、發(fā)包對(duì)應(yīng)的狀態(tài)，包括RSSI等。

步驟A15、無(wú)線網(wǎng)卡判斷收、發(fā)包是否為無(wú)效或問(wèn)題包，如果是執(zhí)行步驟A17；否則執(zhí)行步驟A16；在本發(fā)明中，無(wú)效或問(wèn)題包包括協(xié)議棧不能處理需要丟棄的包、RSSI突變的包、MAC地址或者SSID不符合邏輯的包等。

步驟A16、將正常的上網(wǎng)業(yè)務(wù)包發(fā)送給上網(wǎng)業(yè)務(wù)模塊進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，從而完成無(wú)線客戶終端的上網(wǎng)業(yè)務(wù)，然后執(zhí)行步驟A14。

步驟A17、AP的無(wú)線驅(qū)動(dòng)模塊將無(wú)效或問(wèn)題包的數(shù)據(jù)包以及狀態(tài)信息、狀態(tài)RSSI、攻擊RSSI等信息發(fā)送給攻擊檢測(cè)模塊。

步驟A18、攻擊檢測(cè)模塊對(duì)無(wú)效或問(wèn)題包進(jìn)行攻擊檢測(cè)，攻擊檢測(cè)主要檢測(cè)包是否符合攻擊包外部特征、收到的包是否和協(xié)議標(biāo)準(zhǔn)的狀態(tài)不符合、RSSI異常是否符合攻擊特征等。

步驟A19、攻擊檢測(cè)模塊根據(jù)攻擊檢測(cè)結(jié)果，判斷是否受到攻擊，如果受到攻擊，則執(zhí)行步驟A21；否則，執(zhí)行步驟A20。

步驟A20、攻擊檢測(cè)模塊需要記錄該包的攻擊檢測(cè)結(jié)果，因?yàn)橛袝r(shí)判斷是否受到攻擊并不是根據(jù)一個(gè)包攻擊檢測(cè)結(jié)果能得到的，這個(gè)時(shí)候攻擊檢測(cè)模塊需要記錄收到的幾個(gè)包的攻擊檢測(cè)結(jié)果，前后進(jìn)行綜合判斷，然后將包發(fā)給上網(wǎng)業(yè)務(wù)模塊進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)或協(xié)議處理，再執(zhí)行步驟A14。

步驟A21、發(fā)現(xiàn)了攻擊，將帶有攻擊類型及信息的攻擊消息發(fā)送給告警公告模塊。

步驟A22、告警公告模塊將收到的攻擊消息以告警公告消息的方式發(fā)送給用戶，然后執(zhí)行步驟A14。

顯然，本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精神和范圍。這樣，倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)，則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)。