一种查找AP攻击者的方法、系统和终端设备转让专利
申请号 : CN201110265348.X
文献号 : CN102355668A
文献日 : 2012-02-15
发明人 : 黄守旺
申请人 : 深圳市融创天下科技股份有限公司
摘要 :
本发明公开一种查找AP攻击者的方法、系统和终端设备,本发明通过采集和解析帧数据获取第二判断数据,根据预置的判断规则对预置的第一判断数据和所述第二判断数据进行判断,确定AP攻击者,效率高,能及时确定AP攻击者身份,同时也可检测出未成功接入AP的AP攻击者,提高了系统的安全性,降低了系统风险。
权利要求 :
1.一种查找AP攻击者的方法,其特征在于,所述方法包括以下步骤:采集STA与AP通信的帧数据;
解析所述帧数据,获取第二判断数据;
根据预置的判断规则对预置的第一判断数据和所述第二判断数据进行判断,确定AP攻击者。
2.根据权利要求1所述的查找AP攻击者的方法,其特征在于,所述第一判断数据为预置的第一认证频率;
所述的步骤“解析所述帧数据,获取第二判断数据”具体为:解析所述帧数据,获取帧控制类型为关联请求的数量,为第一数量;
获取所述STA的认证周期;
根据所述第一数量与所述认证周期的比值获取第二认证频率;
所述第二判断数据为第二认证频率;
所述步骤“根据预置的判断规则对预置的第一判断数据和所述第二判断数据进行判断,确定AP攻击者”具体为:判断所述第二认证频率是否大于所述第一认证频率,如果是,则所述STA为AP攻击者。
3.根据权利要求1所述的查找AP攻击者的方法,其特征在于,所述第一判断数据为预置的合法STA的MAC地址,为第一MAC地址;
所述的步骤“解析所述帧数据,获取第二判断数据”具体为:解析所述帧数据中的MAC地址,获取当前进行通信的STA的MAC地址,为第二MAC地址;
所述的第二判断数据为第二MAC地址;
所述步骤“根据预置的判断规则对预置的第一判断数据和所述第二判断数据进行判断,确定AP攻击者”具体为:判断所述第二MAC地址是否与所述第一MAC地址相同,如果否,则所述第二MAC地址对应的STA为AP攻击者。
4.根据权利要求2所述的查找AP攻击者的方法,其特征在于,所述第一认证频率为预先设置的合法STA连接到AP的认证频率。
5.根据权利要求4所述的查找AP攻击者的方法,其特征在于,所述认证周期为STA第一次和最后一次请求连接AP的时间差。
6.根据权利要求3所述的查找AP攻击者的方法,其特征在于,所述第二MAC地址包括合法STA的MAC地址和非法STA的MAC地址。
7.一种查找AP攻击者的系统,所述系统包括:数据采集模块、数据解析模块和判断模块;
所述数据采集模块,与所述数据解析模块相连,用于采集STA与AP通信的帧数据;
所述数据解析模块,与所述数据采集模块和判断模块相连,用于解析所述帧数据,获取第二判断数据;
所述判断模块,与数据解析模块相连,用于根据预置的判断规则对预置的第一判断数据和所述第二判断数据进行判断,确定AP攻击者。
8.根据权利要求7所述的查找AP攻击者的系统,其特征在于,所述系统还包括第一认证模块,所述数据解析模块还包括帧类型模块、认证周期模块和第二认证模块,所述判断模块还包括第一判断模块;
所述第一认证模块,与所述第一判断模块相连,用于预置第一认证频率;
所述帧类型模块,与所述数据采集模块和认证周期模块相连,用于解析所述帧数据,获取帧控制类型为关联请求的第一数量;
所述认证周期模块,与所述帧类型模块和第二认证模块相连,用于获取所述STA的认证周期;
所述第二认证模块,与所述认证周期模块和第一判断模块相连,用于根据所述第一数量与所述认证周期的比值获取第二认证频率;
所述第一判断模块,与所述第一认证模块和第二认证模块相连,用于判断所述第二认证频率是否大于所述第一认证频率,如果是,则所述STA为AP攻击者,其中所述第一认证频率为第一判断数据,所述第二认证频率为第二判断数据。
9.根据权利要求7或8所述的查找AP攻击者的系统,其特征在于,所述系统还包括第一MAC地址模块,所述数据解析模块还包括第二MAC地址模块,所述判断模块还包括第二判断模块;
所述第一MAC地址模块,与所述第二判断模块相连,用于预置合法STA的MAC地址,为第一MAC地址;
所述第二MAC地址模块,与所述数据采集模块和第二判断模块相连,解析所述帧数据中的MAC地址,获取当前进行通信的STA的MAC地址,为第二MAC地址;
所述第二判断模块,与所述第一MAC地址模块和第二MAC地址模块相连,用于判断所述第二MAC地址是否与所述第一MAC地址相同,如果否,则所述第二MAC地址对应的STA为AP攻击者,其中所述第一MAC地址为第一判断数据,所述第二MAC地址为第二判断数据。
10.一种查找AP攻击者的终端设备,其特征在于,所述的终端设备包括权利要求7所述的查找AP攻击者的系统。
说明书 :
一种查找AP攻击者的方法、系统和终端设备
技术领域
[0001] 本发明涉及互联网安全领域,尤其涉及一种查找AP攻击者的方法、系统和终端设备。
背景技术
[0002] 众多的WiFi终端可以在AP(Access Point,无线访问节点、会话点或存取桥接器)的协调下通信,终端和AP组成一个基于WiFi(wireless fidelity,无线相容性认证)通信机制的局域网。
[0003] 3G(3rd-generation,第三代移动通信技术)的蓬勃发展,网络带宽得到极大提升,电信运营商为了扩充自己的用户数量,都推出了各自的WiFi热点(大功率带路由功能的AP)。
[0004] 非法用户的屏蔽都成为热点管理的难点,传统的方法是管理员借助专业测试仪接入AP所在的局域网,通过诊断找出攻击者,这种方法必须登陆到AP局域网,完全能控制AP时,获取所有节点之间通信的数据包,从这些数据包分析出攻击者;特别地,通过分析数据包中的RTS(Request to Send,请求发送数据帧)帧的数量来判定STA(Station,站点、节点、WiFi终端)是否为AP攻击者,这种方法是从总量上来进行分析,存在一定的误差,能够确定STA为攻击者时往往存在一定时间的延迟,效率低。
发明内容
[0005] 本发明实施例的目的在于提出一种查找AP攻击者的方法、系统和终端设备,旨在解决现有技术中只能在接入AP所在局域网后根据WiFi终端的IP、MAC地址获取帧数据,通过分析帧数据中的RTS帧的数量来判定攻击者,效率低,存在延迟的技术问题。
[0006] 本发明实施例是这样实现的,一种查找AP攻击者的方法,包括以下步骤:
[0007] 采集STA与AP通信的帧数据;
[0008] 解析所述帧数据,获取第二判断数据;
[0009] 根据预置的判断规则对预置的第一判断数据和所述第二判断数据进行判断,确定AP攻击者;
[0010] 本发明实施例的另一目的在于提出一种查找AP攻击者的系统,所述系统包括:数据采集模块、数据解析模块和判断模块;
[0011] 所述数据采集模块,与所述数据解析模块相连,用于采集STA与AP通信的帧数据;
[0012] 所述数据解析模块,与所述数据采集模块和判断模块相连,用于解析所述帧数据,获取第二判断数据;
[0013] 所述判断模块,与数据解析模块相连,用于根据预置的判断规则对预置的第一判断数据和所述第二判断数据进行判断,确定AP攻击者。
[0014] 本发明实施例的另一目的在于提出一种包含有查找AP攻击者的系统的终端设备。
[0015] 本发明的有益效果:
[0016] 本发明通过采集和解析帧数据获取第二判断数据,根据预置的判断规则对预置的第一判断数据和所述第二判断数据进行判断,确定AP攻击者,效率高,能及时确定AP攻击者身份,同时也可检测出未成功接入AP的AP攻击者,提高了系统的安全性,降低了系统风险。
附图说明
[0017] 图1是本发明实施例一种查找AP攻击者的方法的流程图;
[0018] 图2是本发明一种查找AP攻击者的系统第一优选实施例的结构示意图;
[0019] 图3是本发明一种查找AP攻击者的系统第二优选实施例的结构示意图;
[0020] 图4是本发明一种查找AP攻击者的系统第三优选实施例的结构示意图;
[0021] 图5是本发明一种查找AP攻击者的系统第四优选实施例的结构示意图。
具体实施方式
[0022] 为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图和实施例,对本发明进行进一步详细说明,为了便于说明,仅示出了与本发明实施例相关的部分。应当理解,此处所描写的具体实施例,仅仅用于解释本发明,并不用以限制本发明。
[0023] 本发明通过采集和解析帧数据获取第二判断数据,根据预置的判断规则对预置的第一判断数据和所述第二判断数据进行判断,确定AP攻击者,效率高,能及时确定AP攻击者身份,同时也可检测出未成功接入AP的AP攻击者,提高了系统的安全性,降低了系统风险。
[0024] 实施例一
[0025] 图1本发明实施例一种查找AP攻击者的方法流程图。所述的方法包括以下步骤:
[0026] S101,采集STA与AP通信的帧数据;
[0027] 使用抓包软件抓取STA和AP相互通信的帧数据,不需要接入AP的局域网,即可采集帧数据;
[0028] S102,解析所述帧数据,获取第二判断数据,具体为:
[0029] S1021,解析所述帧数据中帧控制类型为关联请求的数量,为第一数量N;
[0030] 所述关联请求即所述帧数据中帧控制类型为Association request的帧数;
[0031] S1022,获取所述STA的认证周期T;
[0032] 所述认证周期T为STA第一次和最后一次请求连接AP的时间差;
[0033] S1023,根据所述第一数量N与所述认证周期T的比值获取第二认证频率f,即f=N/T;
[0034] 所述第二认证频率就是所述第二判断数据;
[0035] S103,根据预置的判断规则对预置的第一判断数据和所述第二判断数据进行判断,确定AP攻击者;
[0036] 其中所述第一判断数据为预置的第一认证频率f0;
[0037] 所述第一认证频率f0为预先设置的合法STA(Station,站点,也称WiFi终端)连接到AP的认证频率;
[0038] 所述判断规则为判断第二判断数据是否大于第一判断数据,如果是,则所述STA为AP攻击者,具体为:
[0039] 判断所述第二认证频率f是否大于所述第一认证频率f0,如果是,则所述STA为AP攻击者;当第二认证频率超过第一认证频率即可判定当前与AP通信的STA为AP攻击者;
[0040] 对上述技术方案进一步优化在于,
[0041] 所述判断规则为判断第二判断数据是否与第一判断数据相同,如果否,则所述STA为AP攻击者;
[0042] 所述第一判断数据为预置的合法STA的MAC地址,为第一MAC地址;
[0043] 所述的步骤“解析所述帧数据,获取第二判断数据”具体为:
[0044] 解析所述帧数据中的MAC地址,获取当前进行通信的STA的MAC地址,为第二MAC地址;
[0045] 所述的第二判断数据为第二MAC地址;
[0046] 所述步骤“根据预置的判断规则对预置的第一判断数据和所述第二判断数据进行判断,确定AP攻击者”具体为:
[0047] 判断所述第二MAC地址是否与所述第一MAC地址相同,如果否,则所述第二MAC地址对应的STA为AP攻击者。
[0048] 所述第一MAC地址包含至少一个合法STA的MAC地址;
[0049] 所述第二MAC地址为与AP相连的STA的MAC地址,包括合法STA的MAC地址和非法STA的MAC地址;
[0050] 如果所述第二MAC地址与所述第一MAC地址中的STA的MAC地址都不相同,即可判定所述第二MAC地址对应的STA为AP攻击者。
[0051] 本发明实施例中通过采集和解析帧数据获取第二判断数据,根据预置的判断规则对预置的第一判断数据和所述第二判断数据进行判断,确定AP攻击者,效率高,能及时确定AP攻击者身份,同时也可检测出未成功接入AP的AP攻击者,提高了系统的安全性,降低了系统风险,通过预置第一认证频率为第一判断数据,采集帧数据,解析所述帧数据中帧控制类型为关联请求的数量,获取第二认证频率为第二判断数据,当第二认证频率大于第一认证频率,则为AP攻击者,通过解析帧数据中帧控制类型为关联请求的帧数和认证频率来确定AP攻击者,效率高,能及时确定AP攻击者身份,不存在延时,提高了系统的安全性,降低了系统风险;通过抓包工具,不需要接入AP所在局域网即可获取STA与AP之间的帧数据,效率进一步提高,同时也可检测出未成功接入AP的AP攻击者,进一步提高系统的安全性,进一步降低系统风险;通过预置合法STA的MAC地址,为第一MAC地址即第一判断数据,解析所述帧数据中的MAC地址,获取当前进行通信的STA的MAC地址,为第二MAC地址即第二判断数据,如果所述第二MAC地址与所述第一MAC地址不相同,则所述第二MAC地址对应的STA为AP攻击者,通过分析帧数据中的MAC地址确定AP攻击者,能够迅速的采取应对策略,对MAC地址进行封锁或屏蔽,进一步提高系统的安全性,进一步降低系统风险。
[0052] 实施例二
[0053] 图2是本发明实施例一种查找AP攻击者的系统第一优选实施例的结构示意图。
[0054] 所述系统包括:数据采集模块、数据解析模块和判断模块;
[0055] 所述数据采集模块,与所述数据解析模块相连,用于采集STA与AP通信的帧数据;
[0056] 使用抓包软件抓取STA和AP相互通信的帧数据,不需要接入AP的局域网,即可采集帧数据;
[0057] 所述数据解析模块,与所述数据采集模块和判断模块相连,用于解析所述帧数据,获取第二判断数据;
[0058] 所述判断模块,与数据解析模块相连,用于根据预置的判断规则对预置的第一判断数据和所述第二判断数据进行判断,确定AP攻击者。
[0059] 对第一优选实施例进一步优化在于,所述系统还包括第一认证模块,所述数据解析模块还包括帧类型模块、认证周期模块和第二认证模块,所述判断模块还包括第一判断模块,如图3所示为本发明一种查找AP攻击者的系统第二优选实施例的结构示意图;
[0060] 所述判断规则为判断第二判断数据是否大于第一判断数据,如果是,则所述STA为AP攻击者。
[0061] 所述第一认证模块,与所述第一判断模块相连,用于预置第一认证频率;所述第一判断数据为第一认证频率;
[0062] 所述第一认证频率f0为预先设置的合法STA(Station,站点,也称WiFi终端)连接到AP的认证频率;
[0063] 所述帧类型模块,与所述数据采集模块和认证周期模块相连,用于解析所述帧数据,获取帧控制类型为关联请求的数量,为第一数量;
[0064] 所述关联请求即帧控制类型为Association request;
[0065] 所述认证周期模块,与所述第二认证模块相连,用于获取所述STA的认证周期;
[0066] 所述认证周期T为STA第一次和最后一次请求连接AP的时间差;
[0067] 所述第二认证模块,与所述认证周期模块和第一判断模块相连,用于根据所述第一数量与所述认证周期的比值获取第二认证频率;所述的第二判断数据为第二认证频率;
[0068] 所述第一判断模块,与所述第一认证模块和第二认证模块相连,用于判断所述第二认证频率是否大于所述第一认证频率,如果是,则所述STA为AP攻击者。
[0069] 当第二认证频率超过第一认证频率即可判定当前与AP通信的STA为AP攻击者。
[0070] 对第一优选实施例进一步优化在于,所述系统还包括第一MAC地址模块,所述数据解析模块还包括第二MAC地址模块,所述判断模块还包括第二判断模块,如图4所示为本发明一种查找AP攻击者的系统第三优选实施例的结构示意图;
[0071] 所述第二判断模块的判断规则为判断第二判断数据是否与第一判断数据相同,如果否,则所述STA为AP攻击者。
[0072] 所述第一MAC地址模块,与所述第二判断模块相连,用于预置合法STA的MAC地址,为第一MAC地址;所述的第一判断数据为第一MAC地址;
[0073] 所述数据采集模块,具体用于采集STA与AP通信的帧数据;
[0074] 所述第二MAC地址模块,与所述数据采集模块和第二判断模块相连,解析所述帧数据中的MAC地址,获取当前进行通信的STA的MAC地址,为第二MAC地址;所述的第二判断数据为第二MAC地址;
[0075] 所述第二判断模块,与所述第一MAC地址模块和第二MAC地址模块相连,用于判断所述第二MAC地址是否与所述第一MAC地址相同,如果否,则所述第二MAC地址对应的STA为AP攻击者。
[0076] 所述第一MAC地址包含至少一个合法STA的MAC地址;
[0077] 所述第二MAC地址为与AP相连的STA的MAC地址,包括合法STA的MAC地址和非法STA的MAC地址;
[0078] 如果所述第二MAC地址与所述第一MAC地址中的STA的MAC地址都不相同,即可判定所述第二MAC地址对应的STA为AP攻击者。
[0079] 对第二优选实施例或第三优选实施例进一步优化在于,所述系统包括:数据采集模块、数据解析模块、第一认证模块、第一MAC地址模块和判断模块,其中所述数据解析模块还包括帧类型模块、认证周期模块、第二认证模块和第二MAC地址模块,所述判断模块还包括第一判断模块和第二判断模块,
[0080] 如图5所示为本发明一种查找AP攻击者的系统第四优选实施例的结构示意图;
[0081] 所述第一判断模块的判断规则为判断第二判断数据是否大于第一判断数据,如果是,则所述STA为AP攻击者,这时第一判断数据为第一认证频率,所述的第二判断数据为第二认证频率。
[0082] 所述第二判断模块的判断规则为判断第二判断数据是否与第一判断数据相同,如果否,则所述STA为AP攻击者,这时第一判断数据为第一MAC地址;所述的第二判断数据为第二MAC地址。
[0083] 所述第一认证模块,与所述第一判断模块相连,用于预置第一认证频率。
[0084] 所述第一认证频率f0为预先设置的合法STA(Station,站点,也称WiFi终端)连接到AP的认证频率。
[0085] 所述数据采集模块,与所述帧类型模块和第二MAC模块相连,用于采集STA与AP通信的帧数据;
[0086] 使用抓包软件抓取STA和AP相互通信的帧数据,不需要接入AP的局域网,即可采集帧数据。
[0087] 所述帧类型模块,与所述数据采集模块和认证周期模块相连,用于解析所述帧数据,获取帧控制类型为关联请求的数量,为第一数量;
[0088] 所述关联请求即帧控制类型为Association request。
[0089] 所述认证周期模块,与所述帧类型模块和第二认证模块相连,用于获取所述STA的认证周期;
[0090] 所述认证周期T为STA第一次和最后一次请求连接AP的时间差。
[0091] 所述第二认证模块,与所述认证周期模块和第一判断模块相连,用于根据所述第一数量与所述认证周期的比值获取第二认证频率。
[0092] 所述第一判断模块,与所述第一认证模块和第二认证模块相连,用于判断所述第二认证频率是否大于所述第一认证频率,如果是,则所述STA为AP攻击者;
[0093] 当第二认证频率超过第一认证频率即可判定当前与AP通信的STA为AP攻击者。
[0094] 所述第一MAC地址模块,与所述第二判断模块相连,用于预置合法STA的MAC地址,为第一MAC地址;
[0095] 所述第二MAC地址模块,与所述数据采集模块和第二判断模块相连,解析所述帧数据中的MAC地址,获取当前进行通信的STA的MAC地址,为第二MAC地址;
[0096] 所述第二判断模块,与所述第一MAC地址模块和第二MAC地址模块相连,用于判断所述第二MAC地址是否与所述第一MAC地址相同,如果否,则所述第二MAC地址对应的STA为AP攻击者。
[0097] 本发明实施例中通过数据采集模块采集和数据解析模块解析帧数据获取第二判断数据,通过判断模块根据预置的判断规则对预置的第一判断数据和所述第二判断数据进行判断,确定AP攻击者,效率高,能及时确定AP攻击者身份,同时也可检测出未成功接入AP的AP攻击者,提高了系统的安全性,降低了系统风险,进一步通过第一认证模块预置第一认证频率为第一判断数据,数据解析模块解析所述帧数据中帧控制类型为关联请求的帧数,认证周期模块获取STA的认证周期,第二认证模块获取第二认证频率为第二判断数据,第一判断模块判断当第二认证频率大于第一认证频率,则为AP攻击者,通过解析帧数据中帧控制类型为关联请求的帧数和认证频率来确定AP攻击者,效率高,能及时确定AP攻击者身份,不存在延时,提高了系统的安全性,降低了系统风险;通过抓包工具,不需要接入AP所在局域网即可获取STA与AP之间的帧数据,效率进一步提高,同时也可检测出未成功接入AP的AP攻击者,进一步提高系统的安全性,进一步降低系统风险;通过第一MAC地址模块预置合法STA的MAC地址,为第一MAC地址即第一判断数据,第二MAC地址模块解析所述帧数据中的MAC地址,获取当前进行通信的STA的MAC地址,为第二MAC地址即第二判断数据,第二判断模块判断如果所述第二MAC地址与所述第一MAC地址不相同,则所述第二MAC地址对应的STA为AP攻击者,通过分析帧数据中的MAC地址确定AP攻击者,能够迅速的采取应对策略,对MAC地址进行封锁或屏蔽,进一步提高系统的安全性,进一步降低系统风险,特别地,该系统可以将两种判断规则集成,判断效率和准确度进一步提高,根据两种判断结果做出更准确的应对策略。
[0098] 本发明提供的查找AP攻击者的系统可以应用于需要查找AP攻击者的终端设备上,例如WiFi测试仪等。