一种发现钓鱼接入点的方法与流程

本发明涉及计算机网络领域，尤其涉及一种发现钓鱼接入点的方法。

背景技术：

随着计算机技术与网络通信技术的高速发展，计算机网络在各个领域的广泛应用，极大地提高了人们的工作效率，使得衣食住行变得更方便。在地球两端的人们通过互联网就能互通有无。但是在互联网给人们带来巨大利益的同时，犯罪分子通过钓鱼接入点来盗取用户账户信息和资金，给使用网络的正常用户带来了巨大的损失。由于网络传播速度快，即便防火墙软件和杀毒软件数量繁多，仍然存在漏洞，使得犯罪分子能够利用这些软件的漏洞进行攻击。现有技术中，往往仅通过防火墙来保护整个系统的安全，这样只要黑客通过诱骗用户接入钓鱼接入点，用户输入自己的账号信息，犯罪分子就能通过用户的账号信息正常地登录系统，从而绕过防火墙。利用钓鱼接入点钓鱼的基本原理为：在合法布置的无线局域网(WLAN)中，合法无线接入用户(STA)向外发出探测请求；钓鱼接入点响应探测请求；诱使正常接入用户(STA)接入到该钓鱼接入点上，实现访问网络功能；流量经过该钓鱼接入点时，该钓鱼接入点截获用户流量从而盗取该用户信息；甚至将用户当作攻击入口，实现非法目的。现有技术未提出探测钓鱼接入点的技术方案，只能通过修改合法接入用户(STA)配置来避免钓鱼接入点的网络危害。而修改合法接入用户(STA)配置，一方面增加用户的工作量；另一方面，对于普通用户，没有能力来判断无线接入点(AP)是否是钓鱼接入点并且修改配置。

显然本领域迫切需要一款能克服上述缺陷易于操作的一种发现钓鱼接入点的方法。

技术实现要素：

本发明之目的是提供一种发现钓鱼接入点的方法，其能够快速发现无线局域网中的钓鱼无线接入点，有效保护用户系统的安全。

本发明提供一种发现钓鱼接入点的方法，用于快速发现无线局域网中的钓鱼无线接入点，包括：

收集无线局域网中的报文，通过取消IEEE802.11协议族对报文数据链路层的校验功能来收集报文，并且，

获取报文的报文特征信息，以根据报文特征信息来收集网络环境里的无线相关信息，其中，

报文特征信息包括报文的BSSID和SSID信息；

汇总统计信息，对当前无线局域网络环境中的所有报文的报文特征信息进行统计；

信息对比分析，根据自布设无线局域网络的BSSID来匹配报文的BSSID，

以及根据自布设无线局域网络的SSID来匹配报文的SSID，并且，

当报文的BSSID与自布设无线局域网络的BSSID不匹配和/或报文的SSID与自布设无线局域网络的SSID不匹配时，输出发送报文的非法无线接入点的信息；

判断钓鱼接入点，接收非法无线接入点的信息，以分别对非法无线接入点进行验证，以输出钓鱼接入点，其中，

钓鱼接入点为验证无法通过的非法无线接入点。

作为优选方式，本发明提供的方法，其中，还包括：

在汇总统计信息前过滤报文，根据报文格式分类和过滤报文，以过滤掉数据报文。

作为优选方式，本发明提供的方法，其中，判断钓鱼接入点包括：

比较非法无线接入点的信息与预设的自布设无线接入点的信息，以检测无线接入点发送的报文是否包括非自布设无线局域网络的BSSID；

当报文包括非自布设无线局域网络的BSSID时，检测相应接入点，并输出第一检测结果，其中，

如果相应接入点发送的报文包括自布设无线局域网络的SSID或随着探测请求变换报文的SSID，则第一检测结果为相应接入点是钓鱼接入点。

作为优选方式，本发明提供的方法，其中，判断钓鱼接入点包括：

检测到无线接入点的SSID是否为自布设无线局域网络的SSID，并且，

当无线接入点发送的报文包括自布设无线局域网络的SSID时，检测报文是否包括非自布设的网关地址，并输出第二检测结果，其中，

当报文包括非自布设的网关地址时，第二检测结果为相应接入点是钓鱼接入点。

作为优选方式，本发明提供的方法，其中，判断钓鱼接入点包括：

通过无线客户端或无线探针向无线接入点发送检测性报文，并输出第三检测结果，其中，

当自布设的网络内部无法收到检测性报文时，第三检测结果为相应接入点是钓鱼接入点。

作为优选方式，本发明提供的方法，其中，判断钓鱼接入点还包括：

在发送检测性报文之前，构建并输入探测性报文，其中，

探测性报文为根据用户需求自行构建的具有探测标识的报文。

作为优选方式，本发明提供的方法，其中，发送检测性报文包括：

发送探测性报文至无线探针，并且，

通过无线探针向无线接入点发送检测性报文，以检测相应的无线接入点是否为钓鱼接入点。

作为优选方式，本发明提供的方法，还包括：

在判断钓鱼接入点后，钓鱼接入点告警，接收钓鱼接入点的特征信息，将相应钓鱼接入点的特征信息采用短信告警、邮件告警、声音告警和/或系统界面提示的方式发送给无线局域网的管理人，以提醒管理人对钓鱼接入点进行人工排查，其中，

特征信息包括MAC地址、信号强度、无线频段、工作信道和关联终端的特征信息。

作为优选方式，本发明提供的方法，其中，过滤报文包括：

实时接收报文；

匹配报文的关键字和预设报文表中的关键字；

通过报文表中的关键字和对应的报文类型来匹配报文中的关键字，以识别报文的报文类型，其中，报文类型包括管理类报文、控制类报文和数据报文。

作为优选方式，本发明提供的方法，还包括：

在信息对比分析前预设无线局域网络的特征信息，通过数据接口从用户端的网络获取自布设无线局域网络的特征信息或通过输入模块由网络管理员录入自布设无线局域网络的特征信息，其中，

自布设无线局域网络的特征信息包括自布设无线局域网络的BSSID和自布设无线局域网络的SSID信息。

本发明提供的一种发现钓鱼接入点的方法，用户端只需无线探针即可检测钓鱼接入点，不仅节约成本而且便于通过设置多个无线探针来覆盖用户的所有网络环境。用户端通过发送报文至检测钓鱼接入点的服务器即可实现检测，使用方便快捷。另外，服务器端通过多重检测精确判定钓鱼接入点。并且，本发明能够直观的显示无线相关信息和钓鱼接入点。本发明的检测效率和精度高，效果好。本发明大大提升了无线局域网的安全性，无论对企业信息安全还是对个人用户的信息安全都有提升。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅用于解释本发明的构思。

图1为本发明一种发现钓鱼接入点的方法的步骤流程图；

图2为本发明一种发现钓鱼接入点的方法的网络部署连接示意图；

图3为本发明一种发现钓鱼接入点的方法的示意框图。

附图标记汇总：

1、网络 2、网关 3、路由器

4、服务器 5、钓鱼接入点 6、非钓鱼接入点

7、自布设接入点的无线探针 8、发送探测性报文的无线探针

9、电脑 10、手机 11、输入模块

12、输出模块 13、分析模块 14、第一报文转发模块

15、第二报文转发模块 16、无线探针

具体实施方式

在下文中，将参照附图描述本发明的一种发现钓鱼接入点的方法的实施例。

在此记载的实施例为本发明的特定的具体实施方式，用于说明本发明的构思，均是解释性和示例性的，不应解释为对本发明实施方式及本发明范围的限制。除在此记载的实施例外，本领域技术人员还能够基于本申请权利要求书和说明书所公开的内容采用显而易见的其它技术方案，这些技术方案包括对在此记载的实施例做出任何显而易见的替换和修改的技术方案。

本说明书的附图为示意图，辅助说明本发明的构思，示意性地表示各部分的形状及其相互关系。

参见图1，本发明提出的一种发现钓鱼接入点的方法，用于快速发现无线局域网中的钓鱼无线接入点，包括：

步骤S1：收集无线局域网中的报文，通过取消IEEE802.11协议族对报文数据链路层的校验功能来收集报文，并且，

获取报文的报文特征信息，以根据报文特征信息来收集无线局域网络1中射频环境的信息，其中，

报文特征信息包括报文的BSSID和SSID信息；

步骤S2：汇总统计信息，对报文特征信息进行统计，以统计出当前无线局域网络1环境中的所有报文的报文特征信息；

步骤S3：信息对比分析，根据自布设无线局域网络的BSSID来匹配报文的BSSID，

以及根据自布设无线局域网络的SSID来匹配报文的SSID，并且，

当报文的BSSID与自布设无线局域网络的BSSID不匹配和/或报文的SSID与自布设无线局域网络的SSID不匹配时，输出发送报文的非法无线接入点的信息；

步骤S4：判断钓鱼接入点5，接收非法无线接入点的信息，以分别对非法无线接入点进行验证，以输出钓鱼接入点5的特征信息，其中，

钓鱼接入点5为验证无法通过的非法无线接入点。

在本实施例中，参见图2，无线探针16可以设置在用户端。报文转发模块、分析模块13、输入模块11和输出模块12设置在服务器端。服务器端可以设置有一个或多个通过网络1相互连接的服务器4。无线相关信息还可以包括无线频段及工作信道、关联终端。检测钓鱼接入点5的服务器4的一端通过无线或有线依次连接路由器3、网关2和网络1，另一端通过无线或有线依次连接路由器3和无线探针16，其中，路由器3和无线探针16可以为多个。自布设接入点的无线探针7和发送探测性报文的无线探针8也可以单独设置。无线探针16之间通过无线或有线网络1相互连接。无线探针16和智能设备之间也可以通过无线或有线相互连接，其中，智能设备可以为电脑9或是手机10。

参见图3，在步骤S1中，可以通过无线探针16接收和发送无线相关信息。无线探针16可以设置在用户端，其中，用户端可以为智能设备，通过智能设备连接无线探针16，以接收和发送无线相关信息。无线相关信息包括报文和报文特征信息，还可以包括无线频段及工作信道、关联终端。在用户端上设置有第一报文转发模块14，用于接收无线相关信息和检测性报文，以及转发无线相关信息和检测性报文。这样仅仅通过第一报文转发模块14和第二报文转发模块15来接收和发送用户端与服务器端之间的数据，易于实现，方便批量生产。

多个用户端通过网络1连接服务器端，其中，服务器端可以设置有一台或多台通过网络1相互连接的服务器4。服务器端上设置有输入模块11、第二报文转发模块15、分析模块13和输出模块12，其中，分析模块13包括相互连接的无线接入点验证模块和钓鱼接入点5判断模块，用于汇总无线相关信息，以及比对无线局域网络1中的无线接入点的无线相关信息和预设的自布设无线局域网络的无线接入点的无线相关信息，以判断接入点是否为钓鱼接入点5并输出分析结果。

在步骤S2中，汇总统计信息可以通过输入模块11来实现，其中，输入模块11用于输入自布设无线局域网络的无线接入点的无线相关信息，以及构建检测性报文。

在步骤S3中，信息对比分析可以通过无线接入点验证模块来实现。无线接入点验证模块能匹配无线局域网络1中的无线接入点的无线相关信息和自布设无线局域网络的无线接入点的无线相关信息，进而检测和输出非法无线接入点和相应的无线相关信息。

在步骤S4中，判断钓鱼接入点5可以通过分析模块13的钓鱼接入点5判断模块来实现，其中，钓鱼接入点5判断模块连接无线接入点验证模块，能根据非法无线接入点和相应的无线相关信息，进而分别对非法无线接入点进行验证，并输出钓鱼接入点5，其中，输出钓鱼接入点5可以通过输出模块12来实现。输出模块12，连接分析模块13，用于接收分析结果，以及显示和输出分析结果。

输入模块11提供的数据接口的方法可以厂商自行去设计实现，用户网络1的网管数据里一般都有自布设无线局域网络的BSSID和SSID数据，这个数据接口能够与网管数据对接。输入模块11可以将网管数据发送至分析模块13，以输出钓鱼接入点5。这样使得各个厂家能按照自己的需求来使用本发明，增加了使用的灵活性。

无线探针16获取信息后是通过探针里的报文转发模块与服务器端的报文转发模块实现信息的传送，分析模块13从服务器4里获取到探针上报的信息。无线探针16获取的都是802.11帧，这些帧的包头具有无线通讯所需要的BSSID、SSID，按照802.11成帧方法分析模块13去反向解析剥离即可得到报文里的BSSID、SSID。这样易于批量生产，使用效率高效果好。

探测报文可以通过局域网安全防护系统的厂家自行去构建，例如采用802.11协议的标准管理报文，源地址为合法的无线客户端、目的地址为网关2、BSSID为被探测无线接入点的BSSID，报文里面的具体信息可以设置信息元素ID为保留序号43(标准管理报文用不到保留的43-49)、字段内容填充为“Fishing AP Probe”。构建特殊报文的实现可以根据厂家的需求来实现，只要具备探测标识利于检测即可。这样使得各个厂家能按照自己的需求来使用本发明，增加了使用的灵活性。

这样一方面用户端只需无线探针16即可检测钓鱼接入点5，不仅节约成本而且便于通过设置多个无线探针16来覆盖用户的所有网络1环境；另一方面无线探针16通过发送报文至检测钓鱼接入点5的服务器4即可实现检测，使用方便快捷；另外，服务器端的分析模块13通过多重检测精确判定钓鱼接入点5；此外、输入模块11方便用户根据自己网络1环境的情况来设定数据，使用灵活效果好；并且，输出模块12能够直观的显示无线相关信息和钓鱼接入点5，其中，输出模块12可以为打印机、显示器和智能设备。本发明的检测效率高，精度高，效果好。本发明大大提升了无线局域网的安全性，无论对企业信息安全还是对个人用户的信息安全都有提升。

本实施例进一步优选地，提供了一种方法，其中，还包括：在汇总统计信息前过滤报文，根据报文格式分类和过滤报文，以过滤掉数据报文。

在本实施例中，过滤报文可以通过连接无线探针16的过滤模块。过滤模块接收无线探针16收集的无线相关信息，以及过滤报文并输出非数据报文至无线探针16。无线探针16仅转发过滤后的非数据报文。

这样只分析无线局域网络1内的非数据报文，而不分析终端用户的数据报文，进而保护了用户端的用户的隐私。

本实施例进一步优选地，提供了一种方法，其中，判断钓鱼接入点5包括：

比较非法无线接入点的信息与预设的自布设无线接入点的信息，以检测是否为非自布设的BSSID的无线接入点。

当无线接入点为非自布设的BSSID的无线接入点时，检测相应接入点，并输出第一检测结果，其中，

如果相应接入点具有自布设无线局域网络的SSID或随着探测请求变换SSID，则第一检测结果为相应接入点是钓鱼接入点5。

在本实施例中，钓鱼接入点5判断模块包括第一检测模块，其中，第一检测模块检测相应接入点并输出第一检测结果，以及根据第一检测结果判断并输出钓鱼接入点5。

本实施例进一步优选地，提供了一种方法，其中，判断钓鱼接入点5还包括：

检测到无线接入点的SSID是否为自布设无线局域网络的SSID，并且，

当无线接入点的SSID为自布设无线局域网络的SSID时，检测无线接入点的SSID对应的报文的目的MAC地址是否为非自布设的网关2地址，并输出第二检测结果，其中，

当无线接入点的SSID对应的报文的目的MAC地址为非自布设的网关2地址时，第二检测结果为相应接入点是钓鱼接入点5。

在本实施例中，钓鱼接入点5判断模块包括第二检测模块，其中，第二检测模块检测相应接入点并输出第二检测结果，以及根据第二检测结果判断并输出钓鱼接入点5。

本实施例进一步优选地，提供了一种方法，其中，判断钓鱼接入点5还包括：

通过无线客户端向无线接入点发送检测性报文，并输出第三检测结果，其中，

当自布设的网络1内部无法收到检测性报文时，第三检测结果为相应接入点是钓鱼接入点5。

在本实施例中，钓鱼接入点5判断模块包括第三检测模块，其中，第三检测模块检测相应接入点并输出第三检测结果，以及根据第三检测结果判断并输出钓鱼接入点5。如果网络1延迟导致检测性报文丢失，第三检测模块可以延时重发检测性报文。

分析模块13通过第一检测模块、第二检测模块和第三检测模块分别输出钓鱼接入点5。这样通过第一检测模块、第二检测模块和第三检测模块的三重检测，能防止漏检测钓鱼接入点5，检测精度高，大大提高了用户的安全性。

本实施例进一步优选地，提供了一种方法，其中，判断钓鱼接入点5还包括：

在发送检测性报文之前，构建并输入探测性报文，其中，

探测性报文为根据用户需求自行构建的具有探测标识的报文。

在本实施例中，构建并输入探测性报文可以通过构建探测性报文模块来实现，其中，构建探测性报文模块连接分析模块13。构建探测性报文模块用于根据预设探测标识和探测标识的设置位置来自动在报文中添加探测标识。

本实施例进一步优选地，提供了一种方法，其中，发送检测性报文包括：

发送探测性报文至无线探针16，并且，

通过无线探针16向无线接入点发送检测性报文，以检测相应的无线接入点是否为钓鱼接入点5。

这样能够精确判定钓鱼接入点5。此外、输入模块11方便用户根据自己网络1环境的情况来设定检测性报文，使用灵活效果好。并且，这样检测效率和精度高。

本实施例进一步优选地，提供了一种方法，还包括：

在判断钓鱼接入点5后，钓鱼接入点5告警，接收钓鱼接入点5的特征信息，将相应钓鱼接入点5的特征信息采用短信告警、邮件告警、声音告警和/或系统界面提示的方式发送给无线局域网的管理人，以提醒管理人对钓鱼接入点5进行人工排查，其中，

特征信息包括MAC地址、信号强度、无线频段、工作信道和关联终端的特征信息。

在本实施例中，钓鱼接入点5告警可以通过报警模块来实现。报警模块，连接输出模块12，将分析结果采用短信告警、邮件告警、声音告警和/或系统界面提示的方式发送给无线局域网的管理人，以提醒管理人对钓鱼接入点5进行人工排查。这样当发现钓鱼接入点5时，管理人就能及时对钓鱼接入点5进行人工排查，极大地提高了系统的安全性。

本实施例进一步优选地，提供了一种方法，其中，过滤报文包括：

实时接收报文；

匹配报文的关键字和预设报文表中的关键字；

通过报文表中的关键字和对应的报文类型来匹配报文中的关键字，以识别报文的报文类型，其中，报文类型包括管理类报文、控制类报文和数据报文。

在本实施例中，过滤模块可以包括匹配模块。匹配模块通过预设的报文表中的关键字和对应的报文类型来匹配报文中的关键字，以识别报文的报文类型，其中，报文类型包括管理类报文、控制类报文和数据报文。

这样只分析无线局域网络1内的管理、控制类报文，而不分析终端用户的数据报文，进而保护了用户端的用户的隐私。

本实施例进一步优选地，提供了一种方法，还包括：

在信息对比分析前预设无线局域网络1的特征信息，通过数据接口从用户网络1获取自布设无线局域网络的特征信息或通过输入模块11由网络1管理员录入自布设无线局域网络的特征信息，其中，

自布设无线局域网络的特征信息包括自布设无线局域网络的BSSID和自布设无线局域网络的SSID信息。

在本实施例中，输入模块11可以设置在用户端，连接分析模块13，这样方便用户使用。

以上对本发明的一种发现钓鱼接入点的方法进行了说明。对于本发明的一种发现钓鱼接入点的方法对应的装置的具体特征如形状、尺寸和位置可以根据上述披露的特征的作用进行具体设计，这些设计均是本领域技术人员能够实现的。而且，上述披露的各技术特征并不限于已披露的与其它特征的组合，本领域技术人员还可根据本发明之目的进行各技术特征之间的其它组合，以实现本发明之目的为准。