专利名称:一种无线节点阻断系统的制作方法
技术领域:
本发明涉及无线网络技术领域,特别涉及一种无线节点阻断系统。
背景技术:
W1-Fi是一种可以将个人电脑、手持设备(如PDA、手机)等终端以无线方式互相连接的技术。无线上网可免去布线的麻烦,而且无线W1-Fi技术已较为成熟,越来越多的企业和个人使用无线W1-Fi上网。无线上网带来便利的同时也伴随着安全隐患。一些非法的无线节点(即不允许接入本无线网络的无线节点)一旦接入本无线网络,可能占用网络中合法通信设备的上网带宽,盗取通过同一无线接入点上网的其它设备中的敏感信息,或者传输病毒,影响网络中合法通信设备的正常数据传输。非法的无线节点接入本无线网络有两种方式,一种是破解网络中已有的无线接入点(Access Point,缩写AP)的入网密码,登录到被破解密码的无线接入点上网。另一种是私自开辟新的无线接入点,通过新开辟的无线接入点连接至本无线网络。
为了防止非法无线接入点使用W1-Fi上网,目前通常采用的方法有白噪声全频段干扰、指定信道射频干扰和NAV信道抢占攻击。白噪声全频段干扰是在无线网络工作频段, 采用噪声调频技术干扰整个无线网络工作频段,来达到干扰无线节点的正常通信,起到阻断的作用。白噪声全频段干扰能够有效的阻断非法的无线节点,但同时也阻断了整个无线网络工作频段中合法的无线节点(即允许接入本无线网络的无线节点)的正常通信。指定信道射频干扰,其工作原理与白噪声全频段干扰的工作原理类似,只是干扰的范围仅限于指定信道,这样可以保证其它信道的无线通信能够正常工作,但是被干扰的指定信道上连接的合法无线节点也会被阻断。无线协议中要求无线节点在探测到RTS/CTS数据包之后,利用其中的Duration域设置自己的NAV时间,然后开始倒计时,直到NAV内时间耗尽,在NAV 内时间还未结束之前,无线节点认为信道处于忙碌状态,1 不会向网络中其他无线节点发进数据包,也不会尝试去监听信道。NAV信道抢占攻击利用这个理论,伪造Duration域的数值,使其大于正常数据包需要占用信道的时间,以此影响网络的质量和性能,从而达到干扰指定信道下无线节点通信的效果。同样的,NAV信道抢占攻击阻断指定信道上的非法无线节点的同时也阻断了该信道上的合法无线节点。发明内容
本发明的目的在于克服现有技术中所存在的阻断非法无线节点的同时也阻断了合法无线节点的不足,提供一种无线节点阻断系统。本发明系统通过阻断无线接入点的方式间接实现阻断无线节点的目的。
为了实现上述发明目的,本发明提供了以下技术方案
一种无线节点阻断系统,包括数据包采集模块,用于采集无线网络中传输的无线节点数据包;无线节点分析模块,用于分析采集的无线节点数据包中包含的无线节点信息, 并建立无线网络拓扑结构,所述无线节点信息包括无线节点的网络类型和该无线节点所连接的无线接入点BSSID值;黑白名单判断模块,用于通过判断无线节点的无线网络类型和对比无线节点信息与黑白名单中记录的信息,判断无线节点所连接的无线接入点是否需要被阻断,并返回判断结果;所述白名单中记录的信息包括本无线网络中合法的无线接入点 BSSID值;所述黑名单中记录的信息包括无线网络中非法的无线接入点的BSSID值;无线接入点阻断模块,用于根据判断结果,针对需要被阻断的无线接入点生成阻断无线接入点的 Authentication 数据包。
所述白名单存储于黑白名单判断模块,且白名单中记录的信息预先配置。所述黑名单存储于黑白名单判断模块,黑名单中记录的信息可以预先设置,也可以动态添加。黑白名单判断模块实时扫描无线网络拓扑结构,将新接入本无线网络的无线接入点添加至黑名单中。
所述黑白名单判断模块将对无线节点的类型进行判断,如果不是ad-hoc网络则将无线接入点信息与黑白名单中记录的信息进行对比;当启用白名单时,如果无线节点信息不在白名单中,则向无线节点分析模块返回阻断表示值,否则向无线节点分析模块返回不阻断表示值;当启用黑名单时,如果无线接入点信息在黑名单中则向无线节点分析模块返回阻断表示值,否则向无线节点分析模块返回不阻断表示值。
因为白名单中记录的信息包括本无线网络中合法的无线接入点名称,新开辟的无线接入点不在白名单中,通过对比白名单中记录的无线接入点名称,可判断出该无线接入点是否为新开辟的无线接入点,新开辟的无线接入点上为非法的、需要被阻断的无线节点, 即通过判断无线接入点是否为新出现的来判断是否需要被阻断,实现对非法的无线接入点进行阻断。
而黑名单中记录的信息是通过先前通过网络流量和接入点下的可疑无线终端判断出来的可疑无线接入点,对新开辟的无线接入点通过与黑名单中记录对比,可以判断出该无线接入点是否应该阻断,实现阻断非法的无线接入点。黑名单的记录可以事先设置,也可以根据网络流量和接入点下的可疑无线终端的判断实现动态添加。
所述黑白名单判断模块将判断结果返回至无线节点分析模块,无线节点分析模块根据返回的判断结果控制无线接入点阻断模块是否生成阻断无线接入点的 Authentication数据包;如果返回的是阻断表示值,则控制无线接入点阻断模块生成若干个 Authentication数据包,对需要被阻断的无线接入点进行验证洪水攻击。
所述无线接入点阻断模块首先设置所述 Authentication数据包的源地址为随机的MAC地址,验证洪水攻击进行设定时间后,无线网络分析模块扫描无线网络拓扑结构,如果被阻断的无线接入点仍然存在有正常的网络通信数据包,则将Authentication数据包的源地址MAC设置为与该无线接入点正在通信的无线节点的MAC地址。
所述Authentication数据包的Duration值设置为O。将Duration (持续时间) 值设置为0,可以减少访问媒介的时间限制,避免对不需要被阻断的无线节点的通信造成影响。
所述数据包采集模块采用零拷贝技术直接从无线网卡驱动中获取无线节点数据包。这样避免数据通过上层其它系统层的过程,使得抓取无线数据包更加及时,有效的提高了无线节点数据包抓取的效率,尽量的避免了无线节点数据包丢包而不能被获取的情况。
所述无线节点分析模块以无线节点数据包中的MAC地址作为分区条件,将所有无线节点数据包构建成无线网络拓扑结构。
一种无线节点阻断方法,包括步骤
(I)、数据包采集模块获取无线网络中传输的无线节点数据包;
(2)、无线节点分析模块分析采集的无线节点数据包中包含的无线节点信息,并根据无线节点信息构建无线网络拓扑结构;所述无线节点信息包括无线节点的网络类型和该无线节点连接的无线接入点的BSSID值;
(3)、黑白名单判断模块将首先判断无线节点的类型,如果是Ad-hoc型无线网络则返回不阻断表示值,如果不是ad-hoc型无线网络,则将无线节点信息与黑名单或白名单中记录的信息进行对比,判断无线节点所连接的无线接入点是否需要被阻断;
(4)、无线接入点阻断模块生成若干个阻断无线接入点的Authentication数据包,对需要被阻断的无线接入点进行验证洪水攻击。
所述步骤(I)中,数据包采集模块采用零拷贝技术直接从无线网卡驱动中获取无线节点数据包。
所述步骤(3)中,如果黑白名单判断模块启用白名单,则判断无线接入点的BSSID 值是否在白名单中,如果不在白名单中则判断该无线接入点需要被阻断,并向无线节点分析模块返回阻断表示值,否则向无线节点分析模块返回不阻断表示值,所述白名单中记录的信息包括本无线网络中合法的无线接入点BSSID值。
所述步骤(3)中,如果选用启用黑名单,则判断无线接入点的BSSID值是否在黑名单中,如果在黑名单中,则返回阻断表示值,否则返回不阻断表示值;所述黑名单中记录的信息包括本无线网络中非法的无线接入点BSSID值。
所述步骤(4)中,设置所述Authentication数据包的源地址为随机的MAC地址。
所述步骤(4)中Authentication数据包生成设定时间后,扫描无线网络拓扑结构,如果被阻断的无线接入点仍然存在于无线网络拓扑结构中,且有无线节点正在与其通信,则将Authentication数据包的源地址MAC设置为与该无线接入点正在通信的无线节点的MAC地址。
所述步骤(4)中设置Authentication数据包的Duration值设置为O。将 Duration (持续时间)值设置为0,可以减少访问媒介的时间限制,避免对不需要被阻断的无线节点的通信造成影响。
与现有技术相比,本发明的有益效果
1、通过黑白名单判断模块的对比判断,无线节点分析模块能够自动分析出需要被阻断的、新开辟的无线接入点和预先设定好需要阻断的无线接入点,通过直接阻断非法的无线接入点,间接的实现对接入该无线接入点上的非法无线节点进行阻断,保障了网络完全,同时保障了网络中其他合法的无线节点不会被阻断。
2、Auth entication数据包生成设定时间后,如果扫描到需要被阻断的无线接入点依然存在,则调整Authentication数据包的源地址,可以有效阻断无线接入点,而且不会对该信道中其它无线接入点的通信造成影响。
3、将用于阻断无线接入点的Authentication数据包中的Duration (持续时间)值设置为0,减少了访问媒介的时间限制,即减少了对信道占用的时间,保证了不需要被阻断的合法移动终端与无线接入点之间的通信。
图1为实施例中无线节点阻断系统结构示意框图。
图2为通过实施例中无线节点阻断系统实现无线节点阻断的方法的流程图。
图3 (a)为基于基础型无线网络的无线网络拓扑结构不意图。
图3 (b)为基于Ad-hoc无线网络的无线网络拓扑结构示意图。
附图标记100-无线接入点,200-无线节点。
具体实施方式
下面结合试验例及具体实施方式
对本发明作进一步的详细描述。但不应将此理解为本发明上述主题的范围仅限于以下的实施例,凡基于本发明内容所实现的技术均属于本发明的范围。
本发明无线节点阻断系统用于阻断接入无线网络中的非法无线节点,所述非法无线节点是指不允许接入本无线网络的无线节点。
参考图1,本实施例列举的一种无线节点阻断系统,包括数据包采集模块,用于采集无线网络中传输的无线节点数据包;无线节点分析模块,用于分析采集的无线节点数据包中包含的无线节点信息,并建立无线网络拓扑结构,所述无线节点信息包括无线节点的网络类型和该无线节点连接的无线接入点的BSSID值;黑白名单判断模块,用于通过对比无线节点信息与黑名单或白名单中记录的信息,判断无线接入点是否需要被阻断,并返回判断结果;所述白名单存储于黑白名单判断模块中,并预先设置,白名单中记录的信息包括本无线网络中合法的无线接入点的BSSID值;所述黑名单存储于黑白名单判断模块中,黑名单中记录的信 息可以预先设置,也可以动态添加。黑白名单判断模块实时扫描无线网络拓扑结构,将新接入本无线网络的无线接入点添加至黑名单中。黑名单中记录的信息包括本无线网络中非法的无线接入点的BSSID值;无线接入点阻断模块,用于生成阻断无线接入点的Authentication数据包。
无线节点数据包采集模块采用零拷贝技术(零拷贝技术即是通过减少或消除关键通信路径影响速率的操作,降低数据传输的操作系统开销和协议处理开销,从而有效提高通信性能,实现高速数据传输的方法),直接从无线网卡驱动中获取无线节点数据包,避免数据通过上层其它系统层的过程,使得抓取无线数据包更加及时,有效的提高了无线节点数据包抓取的效率,尽量的避免了无线数节点据包丢包而不能被获取的情况。
所述无线节点数据包的巾贞头中包含MAC (Media Access Control,介质访问控制) 地址,无线节点分析模块以MAC地址作为分区条件,将所有无线节点数据包构建成无线网络拓扑结构。无线网络分析模块每分析出一个无线节点数据包,就会将相应的无线节点信息传输至黑白名单对比模块。黑白名单判断模块先判断该无线节点的类型,如果是ad-hoc 网络类型,表示该网络中没有无线接入点,返回不阻断表示值,如二进制“O”。如果不是 ad-hoc网络则将无线节点信息与黑名单或白名单中记录的信息进行对比,通过判断无线节点信息是否在黑名单或白名单中来判断无线节点是否需要被阻断。当然也可以不进行网络类型判断,因为ad-hoc网络中不存在无线接入点,不能通过阻断无线接入点来间接阻断与该无线接入点连接的无线节点,即,即使不进行网络类型判断也不能阻断该无线节点。黑白名单判断模块判断无线节点是否需要被阻断时只能启用白名单或黑名单,即白名单和黑名单不能同时被启用。如果启用白名单,则判断无线节点信息是否在白名单中,如果无线节点信息不在白名单中,即无线节点信息中包含的无线接入点的BSSID值没有记录在白名单中,则判断无线节点信息中包含的无线接入点需要被阻断,并向无线节点分析模块返回阻断表示值,如二进制“I”。如果无线节点信息中包含的无线接入点BSSID值记录在白名单中,则判断无线节点信息中包含的无线接入点不需要被阻断,向无线节点分析模块返回不阻断表示值,如二进制“O”。如果启用黑名单,则判断无线节点信息是否在黑名单中,如果无线节点信息在黑名单中,即无线节点信息中无线接入点的BSSID值记录在黑名单中, 则判断无线节点信息中包含的无线接入点需要被阻断,并向无线节点分析模块返回阻断表示值,如二进制“I”。如果无线节点信息中包含的无线接入点BSSID值不在黑名单中,则判断无线节点信息中包含的无线接入点不需要被阻断,向无线节点分析模块返回不阻断表示值,如二进制“O”。无线节点分析模块将黑白名单对比模块返回的判断结果传输至无线接入点阻断模块。
无线接入点阻断模块根据判断结果,决定是否生成阻断无线接入点的 Authentication数据包。无线接入点阻断模块对于需要被阻断的无线接入点进行验证洪水攻击,即生成大量阻断无线接入点的Authentication数据包,以使得该无线接入点处理不过来,而造成该无线接入点崩溃,以至于该无线接入点无法提供正常的服务和资源访问,达到阻断无线接入点的效果,进而间接地达到阻断无线节点通过该无线接入点接入本无线网络的目的,而且不会对该信道中其它无线接入点的通信造成影响。将Authentication数据包中的Duration值设置为0,源地址设置为随机的MAC地址,这样有助于更快的阻断无线接入点。进行设定的一段时间(例如10分钟,可根据不同的无线接入点设备发进行适当调整)的验证洪水攻击后,无线网络分析模块扫描无线网络拓扑结构,如果在无线网络拓扑结构中发现被阻断的无线接入点依然存在,即该无线接入点与其它的无线节点仍然在进行正常通信,则将发送的Authentication数据包中的源地址MAC设置为与该无线接入点正在通信的无线节点的MAC地址。通过调整Authentication数据包的源地址,即使该无线接入点进行了 MAC过滤设置,也可以被阻断,有效的阻断了新开辟的非法无线接入点,即有效了的保障了非法无线节点接入本无线网络。
参考图2,本发明还公开了一种无线节点阻断方法,包括步骤
SlOl :数据包采集模块获取无线网络中传输的无线节点数据包。
本步骤中,数据包采集模块采用零拷贝技术直接从无线网卡驱动中获取无线节点数据包。
S102 :无线节点分析模块分析采集的无线节点数据包中包含的无线节点信息,并根据无线节点信息构建无线网络拓扑结构;所述无线节点信息包括无线节点的网络类型, 无线节点的MAC地址和该无线节点所接入的无线接入点的BSSID值。
S103:黑白名单对比模块将无线节点信息与黑名单或白名单中记录的信息进行对比,判断无线节点信息中的无线接入点是否需要被阻断。
本步骤中,进行黑 名单或白名单对比之前,先判断无线节点的网络类型,如果是 ad-hoc网络类型,则返回不阻断表示值,如二进制“O”。如果不是ad-hoc网络则将无线节点信息与黑名单或白名单中记录的信息进行对比。
本步骤中,如果启用白名单,如果无线节点信息不在白名单中,则判断无线节点信息中包含的无线接入点需要被阻断,并向无线节点分析模块返回阻断表示值,否则判断无线节点信息中包含的无线接入点不需要被阻断,向无线节点分析模块返回不阻断表示值。
本步骤中,如果启用黑名单,如果无线节点信息在黑名单中,则判断无线接入点需要阻断,并向无线节点分析模块返回阻断表示值,否则判断无线节点信息中包含的无线接入点不需要被阻断,向无线节点分析模块返回不阻断表示值。所述白名单预先设置,白名单中记录的信息包括本无线网络中合法的无线接入点的BSSID值;所述黑名单既可预先设置也可动态添加,黑白名单判断模块实时扫描无线网络拓扑结构,将新接入本无线网络的无线接入点添加至黑名单中,黑名单中记录的信息包括本无线网络中非法的无线接入点的 BSSID 值。
S104 :无线接入点阻断模块生成若干个阻断无线接入点的Authentication数据包,对需要被阻断的无线接入点进行验证洪水攻击。
本步骤中,将Authentication数据包中的Duration值设置为O,源地址设置为随机的MAC地址,这样有助于更快的阻断无线接入点。进行设定的一段时间(例如10分钟,可根据不同的无线接入点设备发进行适当调整)的验证洪水攻击后,无线网络分析模块扫描无线网络拓扑结构,如果在无线网络拓扑结构中发现被阻断的无线接入点依然存在,即该无线接入点与其它的无线节点仍然在进行正常通信,则将发送的Authentication数据包中的源地址MAC设置为与该无线接入点正在通信的无线节点的MAC地址。`
权利要求
1.一种无线节点阻断系统,其特征在于,包括 数据包采集模块,用于采集无线网络中传输的无线节点数据包; 无线节点分析模块,用于分析采集的无线节点数据包中包含的无线节点信息,并建立无线网络拓扑结构,所述无线节点信息包括无线节点的网络类型和该无线节点连接的无线接入点的BSSID值; 黑白名单判断模块,用于通过对比无线节点信息与黑名单或白名单中记录的信息,判断无线节点所连接的无线接入点是否需要被阻断,并输出判断结果;所述白名单中记录的信息包括本无线网络中合法的无线接入点的BSSID值;所述黑名单中记录的信息包括不允许接入本无线网络的无线接入点的BSSID值; 无线接入点阻断模块,用于根据判断结果,针对需要被阻断的无线接入点生成阻断无线接入点的Authentication数据包。
2.根据权利要求1所述的无线节点阻断系统,其特征在于,所述黑白名单判断模块首先判断无线节点的网络类型,如果是Ad-hoc型无线网络,则返回不阻断表示值,如果不是ad-hoc型无线网络,则将无线节点信息与黑名单或白名单中记录的信息进行对比,判断无线接入点是否需要被阻断,并将判断结果输出至无线节点分析模块。
3.根据权利要求2所述的无线节点阻断系统,其特征在于,所述黑白名单判断模块将无线节点信息与白名单中记录的信息进行对比,判断无线节点信息中无线接入点的BSSID值是否在白名单中,如果不在白名单中则判断该无线接入点需要被阻断,并向无线节点分析模块返回阻断表示值,否则向无线节点分析模块返回不阻断表示值。
4.根据权利要求2所述的无线节点阻断系统,其特征在于,所述黑白名单判断模块将无线节点信息与黑名单中记录的信息进行对比,判断无线节点信息中无线接入点的BSSID值是否在黑名单中,如果在黑名单中,则判断该无线接入点需要被阻断,并向无线节点分析模块返回阻断表示值,否则返回不阻断表示值。
5.根据权利要求3或4所述的无线节点阻断系统,其特征在于,所述无线节点分析模块将黑白名单判断模块返回的判断结果传输至无线接入点阻断模块,根据判断结果,针对需要被阻断的无线接入点,无线接入点阻断模块生成若干个Authentication数据包,进行验证洪水攻击。
6.根据权利要求5所述的无线节点阻断系统,其特征在于,无线接入点阻断模块首先设置所述Authentication数据包的源地址为随机的MAC地址,验证洪水攻击进行设定时间后,无线节点分析模块扫描无线网络拓扑结构,如果被阻断的无线接入点仍然存在与属于该无线接入点下的无线移动终端有正常的网络通信数据包,则将Authentication数据包的源地址MAC设置为与该无线接入点正在通信的无线节点的MAC地址;无线节点阻断系统支持多信道多无线接入点同时阻断功能,采用能支持多个阻断网卡同时工作的方式实现。
7.根据权利要求6所述的无线节点阻断系统,其特征在于,所述Authentication数据包的Duration值设置为O。
8.根据权利要求1所述的无线节点阻断系统,其特征在于,所述数据包采集模块采用零拷贝技术直接从无线网卡驱动中获取无线节点数据包。
全文摘要
本发明公开了一种无线节点阻断系统。本发明无线节点阻断系统包括无线节点数据包采集模块,用于采集无线网络中传输的无线节点数据包;无线节点分析模块,用于分析采集的无线节点数据包中包含的无线节点信息,并建立无线网络拓扑结构;黑白名单判断模块,用于通过对比无线网络拓扑结构与黑名单或白名单,判断无线节点是否需要被阻断;无线节点阻断模块,用于生成阻断无线接入点的Authentication数据包。本发明通过黑白名单判断模块的对比判断,无线节点分析模块能够自动分析出需要被阻断的无线节点,仅对需要被阻断的无线节点进行阻断,保障了网络中其他合法的无线节点正常通信。
文档编号H04W12/08GK103037373SQ20121056258
公开日2013年4月10日 申请日期2012年12月21日 优先权日2012年12月21日
发明者罗鹰, 赵劲松, 王思宇 申请人:成都科来软件有限公司