无线管理帧洪泛攻击的防御方法及无线接入点设备与流程

本发明涉及无线通信领域，特别涉及无线管理帧洪泛攻击的防御方法及无线接入点设备。

背景技术：

1、一个wlan(即无线局域网)中包含若干ap(即无线接入点)设备和无线终端设备，这些无线设备基于无线电射频技术构成电磁波信号，即802.11无线帧进行相互通信和通信协商。由于这种无线信号在环境中是开放的，用于信号释放、认证关联、信道抢占的无线管理帧对于环境中可接收范围内的无线设备都是可见的且是被动接收，故可能存在一些无线设备在环境中释放大量无效的无线管理帧，即无线管理帧的flood攻击(即洪泛攻击)，这会占用信道资源、造成信号干扰或者引导周围无线设备不发送报文，影响无线通信质量，严重时能导致无线通信中断。目前市面上的一些ap设备对无线帧的flood攻击的防御方法是拦截密度过大的流量报文，以此防止大量的flood攻击报文进入有线网络中造成网络资源浪费。

2、关于ap设备上防御flood攻击报文的实现，目前比较多的是检测到flood攻击后针对性地丢弃攻击报文：单位时间内按源地址、目的地址和数量统计一股无线报文流量的数量，按报文密度判断是否是flood攻击，当单位时间内的报文数量超过某个数量值(可以是一个可配置数量)则认为是flood攻击，检测到是flood攻击以后则停止接收这类报文，即进入防御模式时如果设备匹配到一个报文的地址与被防御的攻击报文一样则丢弃该报文。一段时间后，ap设备可能恢复对这段流量的接收并继续监测其是否符合flood攻击特征。这类常用防御方法如图1所示。

3、上述单位时间内按接收报文数量判断flood攻击且丢包进行防御的方法存在一个缺陷：只监测flood攻击报文的数量并对flood攻击报文做丢弃处理，但没考虑无线环境的实际可用性。不同于无线数据帧携带的是业务流量的报文，无线管理帧的作用是管理无线环境中的信号信息等，包括关联认证(authenticate帧、associate帧)、信号通告(beacon帧、probe帧)、信道抢占(rts/cts帧)等，这类帧的特点是无线设备是被动接收进来处理的，且容易造成无线通信的正常使用。例如：rts/cts(即request-to-send/clear-to-send)帧的flood攻击可能导致环境中的其他无线设备一直抢占不到信道使用权而持续静默，从而导致这些被影响的终端的无线通信质量大幅度下降；associate/reassociate(关联/重关联)帧的flood攻击可能消耗掉一个ap设备的接入终端可用数量，导致正常终端因为ap连接数量达到上限而不能接入ap。

4、无线管理帧报文只在无线环境中使用，不会转发到有线网络中，以rts/cts攻击为例，当这种报文的flood攻击发生时，只统计rts/cts报文的数量或密度并停止接收这些报文其实并没有达到攻击防御的显著效果，由于无效rts/cts帧导致信道使用权被一直通告占用，无线设备通信质量依然很低，ap设备被动接收处理rts/cts报文统计和攻击检测的流程依然活跃，甚至占用一定的计算资源。对于信号强度较弱的无线管理帧攻击，只统计报文数量且丢弃报文不处理同样也未能从无线通信质量的角度达到攻击防御目的。

技术实现思路

1、本发明要解决的技术问题是：提出一种无线管理帧洪泛攻击的防御方案，以解决目前ap设备在面临无线管理帧的flood攻击时，只关注报文数量并以此为基础判断攻击并丢弃攻击报文，但未关注周围无线环境实际可用性、无线设备通信质量，消耗多余的计算资源的问题。

2、为解决上述问题，本发明提供了一种无线管理帧洪泛攻击的防御方法，当检测到无线管理帧的洪泛攻击时，无线接入点设备判断当前洪泛攻击的强度等级，并按洪泛攻击的强度等级做出相应的应对措施。

3、进一步的，所述按洪泛攻击的强度等级做出相应的应对措施，具体可包括：无线接入点设备面临低强度攻击时限制洪泛攻击报文的处理，并增大发射功率；无线接入点设备面临高强度攻击时关闭射频，并定时重启。

4、进一步的，所述限制洪泛攻击报文的处理，具体可包括：停止响应洪泛攻击报文，限制洪泛攻击报文的接收流量。

5、进一步的，所述判断当前洪泛攻击的强度等级方式可为：统计单位时间内洪泛攻击报文的数量，通过判断单位时间泛攻击报文的数量是否超过阈值确定洪泛攻击的强度等级。

6、进一步的，所述通过判断单位时间洪泛攻击报文的数量是否超过阈值确定洪泛攻击的强度等级，具体包括：

7、当单位时间洪泛攻击报文的数量大于等于高强度攻击阈值时，判定为高强度攻击；

8、当单位时间洪泛攻击报文的数量大于等于低强度攻击阈值且小于高强度攻击阈值，判定为低强度攻击。

9、本发明还提供了一种无线接入点设备，包括：

10、检测模块，用于检测无线管理帧的报文流量密度；

11、判断模块，用于根据无线管理帧的报文流量密度判断无线接入点设备是否遭受无线管理帧的洪泛攻击，若是，则进一步判断无线管理帧所受洪泛攻击的强度等级；

12、处理模块，用于按洪泛攻击的强度等级做出相应的应对措施施。

13、进一步的，所述处理模块，具体用于在所述无线接入点设备面临低强度攻击时限制洪泛攻击报文的处理，并增大发射功率；在所述无线接入点设备面临高强度攻击时关闭射频，并定时重启。

14、进一步的，所述处理模块，具体用于限制洪泛攻击报文的处理的方法包括：停止响应洪泛攻击报文，限制洪泛攻击报文的接收流量。

15、进一步的，所述判断模块，具体用于统计单位时间内洪泛攻击报文的数量，通过判断单位时间数量是否超过阈值确定洪泛攻击的强度等级。

16、进一步的，所述判断模块具体用于：

17、当单位时间洪泛攻击报文的数量大于等于高强度攻击阈值时，判定为高强度攻击；

18、当单位时间洪泛攻击报文的数量大于等于低强度攻击阈值且低于高强度攻击阈值，判定为低强度攻击。

19、本发明的有益效果包括：

20、1、能动态应对无线管理帧flood攻击，从无线通信质量的角度考虑攻击防御的方式；

21、2、在高强度无线管理帧flood攻击下节省设备能耗，以较为彻底的防御方式提醒用户及时排查问题，阻断无线通信渠道，保证无线网络安全；

22、3、在低强度管理帧flood攻击下也能做到基本的防御。

技术特征：

1.无线管理帧洪泛攻击的防御方法，其特征在于，当检测到无线管理帧的洪泛攻击时，无线接入点设备判断当前洪泛攻击的强度等级，并按洪泛攻击的强度等级做出相应的应对措施。

2.如权利要求1所述的无线管理帧洪泛攻击的防御方法，其特征在于，所述按洪泛攻击的强度等级做出相应的应对措施，具体包括：无线接入点设备面临低强度攻击时限制洪泛攻击报文的处理，并增大发射功率；无线接入点设备面临高强度攻击时关闭射频，并定时重启。

3.如权利要求2所述的无线管理帧洪泛攻击的防御方法，其特征在于，所述限制洪泛攻击报文的处理，具体包括：停止响应洪泛攻击报文，限制洪泛攻击报文的接收流量。

4.如权利要求1-3任一项所述的无线管理帧洪泛攻击的防御方法，其特征在于，判断当前洪泛攻击的强度等级方式为：统计单位时间内洪泛攻击报文的数量，通过判断单位时间洪泛攻击报文的数量是否超过阈值确定洪泛攻击的强度等级。

5.如权利要求4所述的无线管理帧洪泛攻击的防御方法，其特征在于，所述通过判断单位时间洪泛攻击报文的数量是否超过阈值确定呢洪泛攻击的强度等级，具体包括：

6.无线接入点设备，其特征在于，包括：

7.如权利要求6所述的无线接入点设备，其特征在于，所述处理模块，具体用于在所述无线接入点设备面临低强度攻击时限制洪泛攻击报文的处理，并增大发射功率；在所述无线接入点设备面临高强度攻击时关闭射频，并定时重启。

8.如权利要求7所述的无线接入点设备，其特征在于，所述处理模块限制洪泛攻击报文的处理的方法包括：停止响应洪泛攻击报文，限制洪泛攻击报文的接收流量。

9.如权利要求6-8任一项所述的无线接入点设备，其特征在于，所述判断模块，具体用于统计单位时间内洪泛攻击报文的数量，通过判断单位时间泛攻击报文的数量是否超过阈值确定洪泛攻击的强度等级。

10.如权利要求9项所述的无线接入点设备，其特征在于，所述判断模块具体用于：

技术总结
本发明涉及无线通信领域，公开了一种无线管理帧洪泛攻击的防御方法及无线接入点设备，以解决目前AP设备在面临无线管理帧的洪泛攻击时，只关注报文数量并以此为基础判断攻击并丢弃攻击报文，但未关注周围无线环境实际可用性、无线设备通信质量，消耗多余的计算资源的问题。本发明在检测到无线管理帧的洪水攻击时，采用按洪泛攻击的强度等级区分应对策略的方法，在面临低强度攻击时限制洪水攻击报文的处理，并增大发射功率；在高强度攻击时关闭射频，并定时重启。本发明适用于无线管理帧洪泛防御。

技术研发人员：刘畅
受保护的技术使用者：迈普通信技术股份有限公司
技术研发日：
技术公布日：2024/1/11