局域网中探测非法无线接入点的方法和系统.pdf

摘要
申请专利号：	CN201110166952.7	申请日：	2011.06.21
公开号：	CN102843684A	公开日：	2012.12.26
当前法律状态：	驳回	有效性：	无权
法律详情：	发明专利申请公布后的驳回IPC(主分类):H04W 12/08申请公布日:20121226\|\|\|实质审查的生效IPC(主分类):H04W 12/08申请日:20110621\|\|\|公开
IPC分类号：	H04W12/08(2009.01)I; H04W24/00(2009.01)I	主分类号：	H04W12/08
申请人：	航天信息股份有限公司
发明人：	徐树民; 梁剑; 王永宝; 苏斌
地址：	100097 北京市海淀区杏石口路甲18号
优先权：
专利代理机构：	北京科龙寰宇知识产权代理有限责任公司 11139	代理人：	孙皓晨
PDF下载：	PDF下载

内容摘要

本发明公开了一种局域网中探测非法无线接入点的系统和方法，该系统包括：数据库，用于将局域网中合法无线接入点的相应信息存入合法列表中；无线监听模块，用于周期性扫描局域网中的各个频道，从中获取标识信息，以及用于对中央处理单元确定的可疑无线接入点进行测试，在管理模式下尝试连接可疑无线接入点，如果连接成功，尝试通过可疑无线接入点连接局域网内的多个合法节点；中央处理单元，用于将扫描获得的已有接入点的标识信息与合法列表中的相应信息进行比对，将未在合法列表中出现的无线接入点列为可疑无线接入点，以及若成功收到无线监听模块反馈的可疑无线接入点成功连接合法节点的反馈信息，则判定可疑无线接入点为非法无线接入点。

权利要求书

1.一种局域网中探测非法无线接入点的系统，其特征在于，包括：数据库，用于将局域网中合法无线接入点的相应信息存入合法列表中；无线监听模块，用于周期性扫描局域网中的各个频道，并接收局域网已有接入点散播的beacon信息，从中获取标识信息，以及用于对中央处理单元确定的可疑无线接入点进行测试，在管理模式下尝试连接所述可疑无线接入点，如果连接成功，尝试通过所述可疑无线接入点连接所述局域网内的多个合法节点；所述中央处理单元，用于将扫描获得的已有接入点的标识信息与所述合法列表中的相应信息进行比对，将未在所述合法列表中出现的无线接入点列为可疑无线接入点，以及若成功收到所述无线监听模块反馈的所述可疑无线接入点成功连接所述合法节点的反馈信息，则判定所述可疑无线接入点为非法无线接入点。2.根据权利要求1所述的系统，其特征在于，还包括：有线监听模块，用于周期性地扫描所述局域网内的不同链路，在进行ARP测试时监听ARP请求。3.根据权利要求1所述的系统，其特征在于，所述无线监听模块为USB网卡。4.根据权利要求2所述的系统，其特征在于，所述有线监听模块为交换机。5.一种局域网中探测非法无线接入点的方法，其特征在于，包括以下步骤：将局域网中合法无线接入点的相应信息存入数据库的合法列表中；通过无线监听模块周期性扫描局域网中的各个频道，并接收局域网已有接入点散播的beacon信息，从中获取标识信息；将扫描获得的已有接入点的标识信息与所述合法列表中的相应信息进行比对，将未在所述合法列表中出现的无线接入点列为可疑无线接入点；对所述可疑无线接入点进行测试，所述无线监听器在管理模式下尝试连接所述可疑无线接入点，如果连接成功，尝试通过所述可疑无线接入点连接所述局域网内的多个合法节点，若成功收到所述合法节点针对此次连接的反馈信息，则所述可疑无线接入点为非法无线接入点。6.根据权利要求5所述的方法，其特征在于，还包括以下步骤：如果所述无线检测模块连接测试所述可疑无线接入点失败，则所述可疑无线接入点是采用WEP加密或者MAC过滤或者是邻居的无线接入点；对所述可疑无线接入点进行ARP测试，如果连接测试失败，则所述可疑无线接入点采用MAC过滤或者采用了WEP加密；通过中央处理单元模块询问局域网中的有线监听模块是否收到了ARP请求，若是则询问所述无线监听模块是否监听到具有相同的MAC地址的信息帧，如果所述无线监听模块报告监听到具有相同的MAC地址的信息帧，则确定所述可疑无线接入点为链接在所述局域网上的非法无线接入点。7.根据权利要求5-6中任一项所述的方法，其特征在于，还包括以下步骤：所述中央处理单元模块根据多个无线监听模块监听到的所述非法无线接入点的信号强度，判断出所述非法无线接入点的大概位置。8.根据权利要求5所述的方法，其特征在于，所述相应信息包括：SSID，BSSID，频道，生产厂商和安装时间。9.根据权利要求5所述的方法，其特征在于，所述无线监听模块为USB网卡。10.根据权利要求6所述的方法，其特征在于，所述有线监听模块为交换机。

说明书

局域网中探测非法无线接入点的方法和系统

技术领域

本发明涉及无线局域网领域，具体而言，涉及一种局域网中探测非法无
线接入点的方法和系统。

背景技术

作为全球公认的局域网权威，IEEE(Institute of Electrical and Electronics
Engineers，美国电气和电子工程师协会)802工作组建立的标准在过去二十
年内在局域网领域内独领风骚。这些协议包括了802.3Ethernet(以太网)协
议、802.5Token Ring(令牌环网)协议、802.3z 100BASE-T快速以太网协议。
在1997年，经过了7年的工作以后，IEEE发布了802.11协议，这也是在无
线局域网领域内的第一个国际上被认可的协议。在1999年9月，他们又提出
了802.11b“High Rate”协议，用来对802.11协议进行补充，802.11b在802.11
的1Mbps和2Mbps速率下又增加了5.5Mbps和11Mbps两个新的网络吞吐速
率，后来又演进到802.11g的54Mbps，直至今日802.11n的300Mbps。

利用802.11，移动用户能够获得同Ethernet一样的性能、网络吞吐率、
可用性。这个基于标准的技术使得管理员可以根据环境选择合适的局域网技
术来构造自己的网络，满足他们的商业用户和其他用户的需求。

和其他IEEE 802标准一样，802.11协议主要工作在ISO协议的最低两层
上，也就是物理层和数字链路层。任何局域网的应用程序、网络操作系统或
者像TCP/IP、Novell NetWare都能够在802.11协议上兼容运行，就像他们运
行在802.3Ethernet上一样。

由于无线局域网(WLAN，Wireless Local Area Networks)具有便捷、易
使用和可提高人们工作效率等优点，可使人们的工作学习从一个固定地点，
扩展到无线局域网覆盖的任何地方，而条件是只要有一个具有无线网卡的笔
记本等移动接入设备就可达成目标。

但是我们也应看到任何事物都是矛盾的两面体，在WLAN具有诸多优点
的同时，来自WLAN的安全威胁也很多，如刺探、拒绝服务攻击、监视攻击、
中间人(MITM)攻击、从客户机到客户机的入侵、flooding攻击等，本文研究
其中最为严重的威胁：局域网中非法无线接入点(Rogue AP)，并给出其的
检测、定位和反制方法。

非法无线接入点(Rogue AP)是现在WLAN中最大的安全威胁，黑客、
不怀好意的雇员，或者无心地没考虑到后果只是为提高工作效率的雇员在
WLAN中安放未经授权的AP(Access Point，接入点)或客户机提供对网络
的无限制访问，从而给外界的不法分子提供了入侵和渗透的机会，这样的后
果可能就是大量企业和用户的机密和私密的信息被窃取甚至遭到破坏。

发明内容

本发明提供一种局域网中探测非法无线接入点的方法和系统，用以防止
不法分子入侵和渗透到局域网中，保护企业和用户的信息安全。

为达到上述目的，本发明提供了一种局域网中探测非法无线接入点的系
统，该系统包括：

数据库，用于将局域网中合法无线接入点的相应信息存入合法列表中；

无线监听模块，用于周期性扫描局域网中的各个频道，并接收局域网已
有接入点散播的beacon信息，从中获取标识信息，以及用于对中央处理单元
确定的可疑无线接入点进行测试，在管理模式下尝试连接可疑无线接入点，
如果连接成功，尝试通过可疑无线接入点连接局域网内的多个合法节点；

中央处理单元，用于将扫描获得的已有接入点的标识信息与合法列表中
的相应信息进行比对，将未在合法列表中出现的无线接入点列为可疑无线接
入点，以及若成功收到无线监听模块反馈的可疑无线接入点成功连接合法节
点的反馈信息，则判定可疑无线接入点为非法无线接入点。

较佳的，上述系统还包括：有线监听模块，用于周期性地扫描局域网内
的不同链路，在进行ARP(Address Resolution Protocol，地址解析协议)测试
时监听ARP请求。

较佳的，上述无线监听模块为USB(Universal Serial BUS，通用串行总
线)网卡。

较佳的，上述有线监听模块为交换机。

为达到上述目的，本发明还提供了一种局域网中探测非法无线接入点的
方法，该方法包括以下步骤：

将局域网中合法无线接入点的相应信息存入数据库的合法列表中；

通过无线监听模块周期性扫描局域网中的各个频道，并接收局域网已有
接入点散播的beacon信息，从中获取标识信息；

将扫描获得的已有接入点的标识信息与合法列表中的相应信息进行比
对，将未在合法列表中出现的无线接入点列为可疑无线接入点；

对可疑无线接入点进行测试，无线监听器在管理模式下尝试连接可疑无
线接入点，如果连接成功，尝试通过可疑无线接入点连接局域网内的多个合
法节点，若成功收到所述合法节点针对此次连接的反馈信息，则可疑无线接
入点为非法无线接入点。

较佳的，上述方法还包括以下步骤：

如果无线检测模块连接测试可疑无线接入点失败，则可疑无线接入点是
采用WEP(Wired Equivalent Privacy，有线等效保密)加密或者MAC(Medium
Access Control，介质访问控制层)过滤或者是邻居的无线接入点；

对可疑无线接入点进行ARP测试，如果连接测试失败，则可疑无线接入
点采用MAC过滤或者采用了WEP加密；

通过中央处理单元模块询问局域网中的有线监听模块是否收到了ARP请
求，若是则询问无线监听模块是否监听到具有相同的MAC地址的信息帧，
如果无线监听模块报告监听到具有相同的MAC地址的信息帧，则确定可疑
无线接入点为链接在局域网上的非法无线接入点。

较佳的，上述方法还包括以下步骤：中央处理单元模块根据多个无线监
听模块监听到的非法无线接入点的信号强度，判断出非法无线接入点的大概
位置。

较佳的，上述相应信息包括：SSID(Service Set Identifier，服务集标识)，
BSSID(Basic Service Set Identifier)，频道，生产厂商和安装时间。

较佳的，上述无线监听模块为USB网卡。

较佳的，上述有线监听模块为交换机。

在上述实施例中，将无线监听模块探测到的无线接入点信息与数据库中
的合法列表保存的合法接入点信息进行对比，确定可疑的无线接入点，进而
通过对可疑无线接入点进行连接测试和ARP测试判断出该可疑无线接入点是
否为非法无线接入点，从而可以采取措施防止不法分子入侵和渗透到局域网
中，保护企业和用户的信息安全。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实
施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面
描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，
在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为根据本发明一实施例的局域网中探测非法无线接入点的系统框
图；

图2为在图1实施例基础上的一更优实施例的系统框图；

图3为根据本发明一实施例的局域网中探测非法无线接入点的系统工作
原理框图；

图4为根据本发明一实施例的局域网中探测非法无线接入点的方法流程
图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行
清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而
不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有付
出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为根据本发明一实施例的局域网中探测非法无线接入点的系统框
图。如图1所示，该系统包括：

数据库10，用于将局域网中合法无线接入点的相应信息存入合法列表中；

无线监听模块20，用于周期性扫描局域网中的各个频道，并接收局域网
已有接入点散播的beacon信息，从中获取标识信息，以及用于对中央处理单
元确定的可疑无线接入点进行测试，在管理模式下尝试连接可疑无线接入点，
如果连接成功，尝试通过可疑无线接入点连接局域网内的多个合法节点；

中央处理单元30，用于将扫描获得的已有接入点的标识信息与合法列表
中的相应信息进行比对，将未在合法列表中出现的无线接入点列为可疑无线
接入点，以及若成功收到无线监听模块反馈的可疑无线接入点成功连接合法
节点的反馈信息，则判定可疑无线接入点为非法无线接入点。

在本实施例中，将无线监听模块探测到的无线接入点信息与数据库中的
合法列表保存的合法接入点信息进行对比，确定可疑的无线接入点，进而通
过对可疑无线接入点进行连接测试判断出该可疑无线接入点是否为非法无线
接入点，从而可以采取措施防止不法分子入侵和渗透到局域网中，保护企业
和用户的信息安全。

图2为在图1实施例基础上的一更优实施例的系统框图。如图2所示，
上述系统还包括：有线监听模块40，用于周期性地扫描局域网内的不同链路，
在进行ARP测试时监听ARP请求。

上述无线监听模块具体来说是一个具备相应探测功能的网卡，可以是
USB形式的网卡或者其他形式的网卡。该网卡可以接插在需要进行探测的环
境中的台式机上，安装Utility软件后，可以开启该网卡的监听(Monitor)模
式，之后在不同的频道上展开被动监听工作。这样就相当于利用了企业和一
般环境中常见的台式机来完成监听的工作，不需要额外的添加专门的监听设
备。

Utility软件可以在驱动层开启监听模式，主要的功能是：控制网卡循环
的在各个频段上进行被动监听，将监听到的SSID和BSSID信息定时传送给
数据库，接收和解析中央处理单元传送来的命令，然后执行之。

无线监听模块，不仅具备一般的被动监听功能还能在中央处理单元下达
测试命令后，切换到管理(Managed)模式，监听模块去尝试连接一个无线
接入点从而为了获取更多的信息以达到测试的目的。

有线监听模块的结构是和无线监听模块的结构一样，只是其是在有线网
络上进行监听的。有很多企业级的能提供动态端口映射功能的企业级交换机，
可以使得一个有线监听模块去周期性的扫描一个子网内的很多不同的链路。

图3为根据本发明一实施例的局域网中探测非法无线接入点的系统工作
原理框图。集中的由计算机来完成的密集分析工作都交给中央处理单元来完
成。中央处理单元周期性的向数据库模块取得相应的信息，包括SSID，BSSID，
然后对这些SSID和BSSID进行检查看是否它们是在合法AP列表中的如果
发现了一个不明的可疑网络或者节点。那么中央处理单元就会命令无线监听
模块去进行一系列的检查工作来分析这个可疑设备是否是接在本有线网络上
的。

数据库模块用来存放合法无线接入点的信息，包括SSID、BSSID和其他
相应信息，同时也存储无线监听模块和有线监听模块探测到的相应信息。具
体应用的数据库可以是时下流行的数据库，并且为了适应企业级的环境，可
以架设不止一个数据库服务器。

上述实施例充分利用企业中很常见的台式机，来达成密集程度很高的无
线监测网，具有检测性强，经济代价较低，易于部署和易于扩展等优点，最
终可以达到在无线局域网特别是企业级无线局域网环境中成功探测非法无线
接入点的目的。

图4为根据本发明一实施例的局域网中探测非法无线接入点的方法流程
图。如图4所示，该方法包括以下步骤：

S102，将局域网中合法无线接入点的相应信息存入数据库的合法列表中；

S104，通过无线监听模块周期性扫描局域网中的各个频道，并接收局域
网已有接入点散播的beacon信息，从中获取标识信息；

S106，将扫描获得的已有接入点的标识信息与合法列表中的相应信息进
行比对，将未在合法列表中出现的无线接入点列为可疑无线接入点；

S108，对可疑无线接入点进行测试，无线监听器在管理模式下尝试连接
可疑无线接入点，如果连接成功，尝试通过可疑无线接入点连接局域网内的
多个合法节点，若成功收到合法节点针对此次连接的反馈信息，则可疑无线
接入点为非法无线接入点。

例如，上述方法还包括以下步骤：

如果无线检测模块连接测试可疑无线接入点失败，则可疑无线接入点是
采用WEP加密或者MAC过滤或者是邻居的无线接入点；

对可疑无线接入点进行ARP测试，如果连接测试失败，则可疑无线接入
点采用MAC过滤或者采用了WEP加密；

例如，上述方法还包括以下步骤：中央处理单元模块根据多个无线监听
模块监听到的非法无线接入点的信号强度，判断出非法无线接入点的大概位
置。

例如，上述相应信息包括：SSID，BSSID，频道，生产厂商和安装时间。

例如，上述无线监听模块为USB网卡。

例如，上述有线监听模块为交换机。

需要说明的是，上述实施例中监听的方法虽然有两种，主动的被动的，
但我们这里实际上在无线局域网中，为不对其他网络节点发生影响，以被动
探测为主，而且被动探测，如果检测器的位置和角度布置的合理的话，是可
以监听到很大部分的非法无线接入点的情况的。另外被动监听不会影响网络
内的通信质量。

本发明的上述实施例针对无线局域网中的非法无线接入点难题，提出了
一种有效的解决方案。业界对于非法无线接入点难题的解决方案不仅很少，
而且大多需要专门的探测装置，如果环境面积较大，则不仅花费金额较大而
且难于部署。本发明上述实施例采用企业和办公室中很常见的台式机插入专
门的探测器件，同时部署一些比较少的设施即可以达到相应的信息安全要求。

本领域普通技术人员可以理解：附图只是一个实施例的示意图，附图中
的模块或流程并不一定是实施本发明所必须的。

本领域普通技术人员可以理解：实施例中的装置中的模块可以按照实施
例描述分布于实施例的装置中，也可以进行相应变化位于不同于本实施例的
一个或多个装置中。上述实施例的模块可以合并为一个模块，也可以进一步
拆分成多个子模块。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤
可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读
取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述
的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介
质。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其
限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术
人员应当理解：其依然可以对前述实施例所记载的技术方案进行修改，或者
对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术
方案的本质脱离本发明实施例技术方案的精神和范围。

资源描述

《局域网中探测非法无线接入点的方法和系统.pdf》由会员分享，可在线阅读，更多相关《局域网中探测非法无线接入点的方法和系统.pdf（10页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 102843684 A (43)申请公布日 2012.12.26 C N 1 0 2 8 4 3 6 8 4 A *CN102843684A* (21)申请号 201110166952.7 (22)申请日 2011.06.21 H04W 12/08(2009.01) H04W 24/00(2009.01) (71)申请人航天信息股份有限公司地址 100097 北京市海淀区杏石口路甲18 号 (72)发明人徐树民梁剑王永宝苏斌 (74)专利代理机构北京科龙寰宇知识产权代理有限责任公司 11139 代理人孙皓晨 (54) 发明名称局域网中探测非法无线接入点的方。

2、法和系统 (57) 摘要本发明公开了一种局域网中探测非法无线接入点的系统和方法，该系统包括：数据库，用于将局域网中合法无线接入点的相应信息存入合法列表中；无线监听模块，用于周期性扫描局域网中的各个频道，从中获取标识信息，以及用于对中央处理单元确定的可疑无线接入点进行测试，在管理模式下尝试连接可疑无线接入点，如果连接成功，尝试通过可疑无线接入点连接局域网内的多个合法节点；中央处理单元，用于将扫描获得的已有接入点的标识信息与合法列表中的相应信息进行比对，将未在合法列表中出现的无线接入点列为可疑无线接入点，以及若成功收到无线监听模块反馈的可疑无线接入点成功连接合法节点的反。

3、馈信息，则判定可疑无线接入点为非法无线接入点。 (51)Int.Cl. 权利要求书2页说明书5页附图2页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书 2 页说明书 5 页附图 2 页 1/2页 2 1.一种局域网中探测非法无线接入点的系统，其特征在于，包括：数据库，用于将局域网中合法无线接入点的相应信息存入合法列表中；无线监听模块，用于周期性扫描局域网中的各个频道，并接收局域网已有接入点散播的beacon信息，从中获取标识信息，以及用于对中央处理单元确定的可疑无线接入点进行测试，在管理模式下尝试连接所述可疑无线接入点，如果连接成功，尝试通过所述可疑。

4、无线接入点连接所述局域网内的多个合法节点；所述中央处理单元，用于将扫描获得的已有接入点的标识信息与所述合法列表中的相应信息进行比对，将未在所述合法列表中出现的无线接入点列为可疑无线接入点，以及若成功收到所述无线监听模块反馈的所述可疑无线接入点成功连接所述合法节点的反馈信息，则判定所述可疑无线接入点为非法无线接入点。 2.根据权利要求1所述的系统，其特征在于，还包括：有线监听模块，用于周期性地扫描所述局域网内的不同链路，在进行ARP测试时监听 ARP请求。 3.根据权利要求1所述的系统，其特征在于，所述无线监听模块为USB网卡。 4.根据权利要求2所述的系统，其特征在于，所述有线监听。

5、模块为交换机。 5.一种局域网中探测非法无线接入点的方法，其特征在于，包括以下步骤：将局域网中合法无线接入点的相应信息存入数据库的合法列表中；通过无线监听模块周期性扫描局域网中的各个频道，并接收局域网已有接入点散播的 beacon信息，从中获取标识信息；将扫描获得的已有接入点的标识信息与所述合法列表中的相应信息进行比对，将未在所述合法列表中出现的无线接入点列为可疑无线接入点；对所述可疑无线接入点进行测试，所述无线监听器在管理模式下尝试连接所述可疑无线接入点，如果连接成功，尝试通过所述可疑无线接入点连接所述局域网内的多个合法节点，若成功收到所述合法节点针对此次连接的反馈信息，则所述。

6、可疑无线接入点为非法无线接入点。 6.根据权利要求5所述的方法，其特征在于，还包括以下步骤：如果所述无线检测模块连接测试所述可疑无线接入点失败，则所述可疑无线接入点是采用WEP加密或者MAC过滤或者是邻居的无线接入点；对所述可疑无线接入点进行ARP测试，如果连接测试失败，则所述可疑无线接入点采用MAC过滤或者采用了WEP加密；通过中央处理单元模块询问局域网中的有线监听模块是否收到了ARP请求，若是则询问所述无线监听模块是否监听到具有相同的MAC地址的信息帧，如果所述无线监听模块报告监听到具有相同的MAC地址的信息帧，则确定所述可疑无线接入点为链接在所述局域网上的非法无线接入点。

7、。 7.根据权利要求5-6中任一项所述的方法，其特征在于，还包括以下步骤：所述中央处理单元模块根据多个无线监听模块监听到的所述非法无线接入点的信号强度，判断出所述非法无线接入点的大概位置。 8.根据权利要求5所述的方法，其特征在于，所述相应信息包括： SSID，BSSID，频道，生产厂商和安装时间。权利要求书CN 102843684 A 2/2页 3 9.根据权利要求5所述的方法，其特征在于，所述无线监听模块为USB网卡。 10.根据权利要求6所述的方法，其特征在于，所述有线监听模块为交换机。权利要求书CN 102843684 A 1/5页 4 局域网中探测非法无线接入。

8、点的方法和系统技术领域 0001 本发明涉及无线局域网领域，具体而言，涉及一种局域网中探测非法无线接入点的方法和系统。背景技术 0002 作为全球公认的局域网权威，IEEE(Institute of Electrical and Electronics Engineers，美国电气和电子工程师协会)802工作组建立的标准在过去二十年内在局域网领域内独领风骚。这些协议包括了802.3Ethernet(以太网)协议、802.5Token Ring(令牌环网)协议、802.3z 100BASE-T快速以太网协议。在1997年，经过了7年的工作以后，IEEE 发布了802.11协议，这也是在。

9、无线局域网领域内的第一个国际上被认可的协议。在1999 年9月，他们又提出了802.11b“High Rate”协议，用来对802.11协议进行补充，802.11b 在802.11的1Mbps和2Mbps速率下又增加了5.5Mbps和11Mbps两个新的网络吞吐速率，后来又演进到802.11g的54Mbps，直至今日802.11n的300Mbps。 0003 利用802.11，移动用户能够获得同Ethernet一样的性能、网络吞吐率、可用性。这个基于标准的技术使得管理员可以根据环境选择合适的局域网技术来构造自己的网络，满足他们的商业用户和其他用户的需求。 0004 和其他IEEE 802。

10、标准一样，802.11协议主要工作在ISO协议的最低两层上，也就是物理层和数字链路层。任何局域网的应用程序、网络操作系统或者像TCP/IP、Novell NetWare都能够在802.11协议上兼容运行，就像他们运行在802.3Ethernet上一样。 0005 由于无线局域网(WLAN，Wireless Local Area Networks)具有便捷、易使用和可提高人们工作效率等优点，可使人们的工作学习从一个固定地点，扩展到无线局域网覆盖的任何地方，而条件是只要有一个具有无线网卡的笔记本等移动接入设备就可达成目标。 0006 但是我们也应看到任何事物都是矛盾的两面体，在WLAN具有诸。

11、多优点的同时，来自WLAN的安全威胁也很多，如刺探、拒绝服务攻击、监视攻击、中间人(MITM)攻击、从客户机到客户机的入侵、flooding攻击等，本文研究其中最为严重的威胁：局域网中非法无线接入点(Rogue AP)，并给出其的检测、定位和反制方法。 0007 非法无线接入点(Rogue AP)是现在WLAN中最大的安全威胁，黑客、不怀好意的雇员，或者无心地没考虑到后果只是为提高工作效率的雇员在WLAN中安放未经授权的 AP(Access Point，接入点)或客户机提供对网络的无限制访问，从而给外界的不法分子提供了入侵和渗透的机会，这样的后果可能就是大量企业和用户的机密和私密的信。

12、息被窃取甚至遭到破坏。发明内容 0008 本发明提供一种局域网中探测非法无线接入点的方法和系统，用以防止不法分子入侵和渗透到局域网中，保护企业和用户的信息安全。 0009 为达到上述目的，本发明提供了一种局域网中探测非法无线接入点的系统，该系说明书CN 102843684 A 2/5页 5 统包括： 0010 数据库，用于将局域网中合法无线接入点的相应信息存入合法列表中； 0011 无线监听模块，用于周期性扫描局域网中的各个频道，并接收局域网已有接入点散播的beacon信息，从中获取标识信息，以及用于对中央处理单元确定的可疑无线接入点进行测试，在管理模式下尝试连接可疑无线接入点。

13、，如果连接成功，尝试通过可疑无线接入点连接局域网内的多个合法节点； 0012 中央处理单元，用于将扫描获得的已有接入点的标识信息与合法列表中的相应信息进行比对，将未在合法列表中出现的无线接入点列为可疑无线接入点，以及若成功收到无线监听模块反馈的可疑无线接入点成功连接合法节点的反馈信息，则判定可疑无线接入点为非法无线接入点。 0013 较佳的，上述系统还包括：有线监听模块，用于周期性地扫描局域网内的不同链路，在进行ARP(Address Resolution Protocol，地址解析协议)测试时监听ARP请求。 0014 较佳的，上述无线监听模块为USB(Universal Seri。

14、al BUS，通用串行总线)网卡。 0015 较佳的，上述有线监听模块为交换机。 0016 为达到上述目的，本发明还提供了一种局域网中探测非法无线接入点的方法，该方法包括以下步骤： 0017 将局域网中合法无线接入点的相应信息存入数据库的合法列表中； 0018 通过无线监听模块周期性扫描局域网中的各个频道，并接收局域网已有接入点散播的beacon信息，从中获取标识信息； 0019 将扫描获得的已有接入点的标识信息与合法列表中的相应信息进行比对，将未在合法列表中出现的无线接入点列为可疑无线接入点； 0020 对可疑无线接入点进行测试，无线监听器在管理模式下尝试连接可疑无线接入点，如果连接。

15、成功，尝试通过可疑无线接入点连接局域网内的多个合法节点，若成功收到所述合法节点针对此次连接的反馈信息，则可疑无线接入点为非法无线接入点。 0021 较佳的，上述方法还包括以下步骤： 0022 如果无线检测模块连接测试可疑无线接入点失败，则可疑无线接入点是采用 WEP(Wired Equivalent Privacy，有线等效保密)加密或者MAC(Medium Access Control，介质访问控制层)过滤或者是邻居的无线接入点； 0023 对可疑无线接入点进行ARP测试，如果连接测试失败，则可疑无线接入点采用MAC 过滤或者采用了WEP加密； 0024 通过中央处理单元模块询问局域网中。

16、的有线监听模块是否收到了ARP请求，若是则询问无线监听模块是否监听到具有相同的MAC地址的信息帧，如果无线监听模块报告监听到具有相同的MAC地址的信息帧，则确定可疑无线接入点为链接在局域网上的非法无线接入点。 0025 较佳的，上述方法还包括以下步骤：中央处理单元模块根据多个无线监听模块监听到的非法无线接入点的信号强度，判断出非法无线接入点的大概位置。 0026 较佳的，上述相应信息包括：SSID(Service Set Identifier，服务集标识)， BSSID(Basic Service Set Identifier)，频道，生产厂商和安装时间。 0027 较佳的，上述无线监。

17、听模块为USB网卡。说明书CN 102843684 A 3/5页 6 0028 较佳的，上述有线监听模块为交换机。 0029 在上述实施例中，将无线监听模块探测到的无线接入点信息与数据库中的合法列表保存的合法接入点信息进行对比，确定可疑的无线接入点，进而通过对可疑无线接入点进行连接测试和ARP测试判断出该可疑无线接入点是否为非法无线接入点，从而可以采取措施防止不法分子入侵和渗透到局域网中，保护企业和用户的信息安全。附图说明 0030 为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是。

18、本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。 0031 图1为根据本发明一实施例的局域网中探测非法无线接入点的系统框图； 0032 图2为在图1实施例基础上的一更优实施例的系统框图； 0033 图3为根据本发明一实施例的局域网中探测非法无线接入点的系统工作原理框图； 0034 图4为根据本发明一实施例的局域网中探测非法无线接入点的方法流程图。具体实施方式 0035 下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发。

19、明中的实施例，本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。 0036 图1为根据本发明一实施例的局域网中探测非法无线接入点的系统框图。如图1 所示，该系统包括： 0037 数据库10，用于将局域网中合法无线接入点的相应信息存入合法列表中； 0038 无线监听模块20，用于周期性扫描局域网中的各个频道，并接收局域网已有接入点散播的beacon信息，从中获取标识信息，以及用于对中央处理单元确定的可疑无线接入点进行测试，在管理模式下尝试连接可疑无线接入点，如果连接成功，尝试通过可疑无线接入点连接局域网内的多个合法节点； 0039 中央处理单元3。

20、0，用于将扫描获得的已有接入点的标识信息与合法列表中的相应信息进行比对，将未在合法列表中出现的无线接入点列为可疑无线接入点，以及若成功收到无线监听模块反馈的可疑无线接入点成功连接合法节点的反馈信息，则判定可疑无线接入点为非法无线接入点。 0040 在本实施例中，将无线监听模块探测到的无线接入点信息与数据库中的合法列表保存的合法接入点信息进行对比，确定可疑的无线接入点，进而通过对可疑无线接入点进行连接测试判断出该可疑无线接入点是否为非法无线接入点，从而可以采取措施防止不法分子入侵和渗透到局域网中，保护企业和用户的信息安全。 0041 图2为在图1实施例基础上的一更优实施例的系统框图。。

21、如图2所示，上述系统还包括：有线监听模块40，用于周期性地扫描局域网内的不同链路，在进行ARP测试时监听说明书CN 102843684 A 4/5页 7 ARP请求。 0042 上述无线监听模块具体来说是一个具备相应探测功能的网卡，可以是USB形式的网卡或者其他形式的网卡。该网卡可以接插在需要进行探测的环境中的台式机上，安装 Utility软件后，可以开启该网卡的监听(Monitor)模式，之后在不同的频道上展开被动监听工作。这样就相当于利用了企业和一般环境中常见的台式机来完成监听的工作，不需要额外的添加专门的监听设备。 0043 Utility软件可以在驱动层开启监听模式，主要。

22、的功能是：控制网卡循环的在各个频段上进行被动监听，将监听到的SSID和BSSID信息定时传送给数据库，接收和解析中央处理单元传送来的命令，然后执行之。 0044 无线监听模块，不仅具备一般的被动监听功能还能在中央处理单元下达测试命令后，切换到管理(Managed)模式，监听模块去尝试连接一个无线接入点从而为了获取更多的信息以达到测试的目的。 0045 有线监听模块的结构是和无线监听模块的结构一样，只是其是在有线网络上进行监听的。有很多企业级的能提供动态端口映射功能的企业级交换机，可以使得一个有线监听模块去周期性的扫描一个子网内的很多不同的链路。 0046 图3为根据本发明一实施例的。

23、局域网中探测非法无线接入点的系统工作原理框图。集中的由计算机来完成的密集分析工作都交给中央处理单元来完成。中央处理单元周期性的向数据库模块取得相应的信息，包括SSID，BSSID，然后对这些SSID和BSSID进行检查看是否它们是在合法AP列表中的如果发现了一个不明的可疑网络或者节点。那么中央处理单元就会命令无线监听模块去进行一系列的检查工作来分析这个可疑设备是否是接在本有线网络上的。 0047 数据库模块用来存放合法无线接入点的信息，包括SSID、BSSID和其他相应信息，同时也存储无线监听模块和有线监听模块探测到的相应信息。具体应用的数据库可以是时下流行的数据库，并且为了适应。

24、企业级的环境，可以架设不止一个数据库服务器。 0048 上述实施例充分利用企业中很常见的台式机，来达成密集程度很高的无线监测网，具有检测性强，经济代价较低，易于部署和易于扩展等优点，最终可以达到在无线局域网特别是企业级无线局域网环境中成功探测非法无线接入点的目的。 0049 图4为根据本发明一实施例的局域网中探测非法无线接入点的方法流程图。如图 4所示，该方法包括以下步骤： 0050 S102，将局域网中合法无线接入点的相应信息存入数据库的合法列表中； 0051 S104，通过无线监听模块周期性扫描局域网中的各个频道，并接收局域网已有接入点散播的beacon信息，从中获取标识信息； 00。

25、52 S106，将扫描获得的已有接入点的标识信息与合法列表中的相应信息进行比对，将未在合法列表中出现的无线接入点列为可疑无线接入点； 0053 S108，对可疑无线接入点进行测试，无线监听器在管理模式下尝试连接可疑无线接入点，如果连接成功，尝试通过可疑无线接入点连接局域网内的多个合法节点，若成功收到合法节点针对此次连接的反馈信息，则可疑无线接入点为非法无线接入点。 0054 在本实施例中，将无线监听模块探测到的无线接入点信息与数据库中的合法列表保存的合法接入点信息进行对比，确定可疑的无线接入点，进而通过对可疑无线接入点进说明书CN 102843684 A 5/5页 8 行连接测试。

26、判断出该可疑无线接入点是否为非法无线接入点，从而可以采取措施防止不法分子入侵和渗透到局域网中，保护企业和用户的信息安全。 0055 例如，上述方法还包括以下步骤： 0056 如果无线检测模块连接测试可疑无线接入点失败，则可疑无线接入点是采用WEP 加密或者MAC过滤或者是邻居的无线接入点； 0057 对可疑无线接入点进行ARP测试，如果连接测试失败，则可疑无线接入点采用MAC 过滤或者采用了WEP加密； 0058 通过中央处理单元模块询问局域网中的有线监听模块是否收到了ARP请求，若是则询问无线监听模块是否监听到具有相同的MAC地址的信息帧，如果无线监听模块报告监听到具有相同的MAC地址。

27、的信息帧，则确定可疑无线接入点为链接在局域网上的非法无线接入点。 0059 例如，上述方法还包括以下步骤：中央处理单元模块根据多个无线监听模块监听到的非法无线接入点的信号强度，判断出非法无线接入点的大概位置。 0060 例如，上述相应信息包括：SSID，BSSID，频道，生产厂商和安装时间。 0061 例如，上述无线监听模块为USB网卡。 0062 例如，上述有线监听模块为交换机。 0063 需要说明的是，上述实施例中监听的方法虽然有两种，主动的被动的，但我们这里实际上在无线局域网中，为不对其他网络节点发生影响，以被动探测为主，而且被动探测，如果检测器的位置和角度布置的合理的话，是可以。

28、监听到很大部分的非法无线接入点的情况的。另外被动监听不会影响网络内的通信质量。 0064 本发明的上述实施例针对无线局域网中的非法无线接入点难题，提出了一种有效的解决方案。业界对于非法无线接入点难题的解决方案不仅很少，而且大多需要专门的探测装置，如果环境面积较大，则不仅花费金额较大而且难于部署。本发明上述实施例采用企业和办公室中很常见的台式机插入专门的探测器件，同时部署一些比较少的设施即可以达到相应的信息安全要求。 0065 本领域普通技术人员可以理解：附图只是一个实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。 0066 本领域普通技术人员可以理解：实施例中的装置。

29、中的模块可以按照实施例描述分布于实施例的装置中，也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块。 0067 本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。 0068 最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围。说明书CN 102843684 A 1/2页 9 图1 图2 图3 说明书附图CN 102843684 A 2/2页 10 图4 说明书附图CN 102843684 A 10 。

展开阅读全文