无线终端识别伪WiFi网络的方法及其装置的制造方法

无线终端识别伪WiFi 网络的方法及其装置的制造方法
【技术领域】
[0001]本发明涉及无线网络领域，特别涉及一种无线终端识别伪WiFi网络的技术。
【背景技术】
[0002]在有线网络中，数据包在物理链路上传递到目标节点，通常只有在通过有线直接接入到物理链路上或是在物理链路遭到破坏的情况下，数据才有可能泄露，恶意行为才有可能进行。而在无线网络中，数据通过无线电磁波传播，不需要特定的传播介质，只要在无线电波覆盖的范围内，终端节点都可以接收到无线信号从而获取数据，因此，数据泄漏和恶意行为更容易发生。伪WiFi的原理是构建一个虚假的由攻击者控制的网络接入点(AccessPoint，简称“AP”)，吸引用户连接到该AP，从而可以拿到用户在网络上的所有数据流量，进行信息窃取和网络攻击行为(如木马植入，钓鱼页面等)。根据伪WiFi的使用方法不同，分为两种类型分别介绍:钓鱼型伪WiFi和攻击型伪WiFi。
[0003]钓鱼型伪WiF1:互联网中有钓鱼网站的存在，用户点击恶意链接，然后被链接到被篡改过的伪造网址网页，流量被劫持，应用也被篡改。在无线网络中，也存在类似的钓鱼网络，而且实施简单，成功率高。钓鱼型伪WiFi先建好了伪WiFi，在那里等待用户去连接，用户可以连接的类型只有空密码型和已知密码型的WiFi。攻击者伪造一个空密码型的WiFi网络，等待用户主动连接；或者，伪造一个简单密码的WiFi网络(类蜜罐)，吸引一些喜欢猜密码或者使用蹭网工具的用户；还有，构建一个虚假的公用网络，如CMCC，iffuhan,KFC等，等待用户连接。
[0004]攻击型伪WiF1:用户已经连上了某一 WiFi网络，但是攻击者构建一个跟真WiFi名称(SSID)密码(PSK) —模一样的伪WiFi，然后对用户发起断线拒绝服务攻击(De-authDOS (Denial of Service))或是定向高功率信号干扰屏蔽(针对真AP信道做干扰而伪AP信道不受影响)，用户会被强制断线并重连到虚假的伪WiFi。网络劫持实现，目标客户端所有的流量都会通过搭建的伪AP转发，同时使用原有的真WiFi线路进行传输，对无线带宽和用户体验几乎没有影响。目标客户端会在不经意间被劫持到伪WiFi上，而且被劫持时几乎不会有任何察觉(短暂断网可能存在)。
[0005]现有技术中，空密码WiFi识别的主要问题是，对于运营商网络(CMCC)等，其前端提供的都是空密码接入(用户手机上显示的是开放网络)，打开浏览器后才会输入账号密码信息，此时单纯空密码识别会有误判；若是取消运营商网络空密码识别，则会产生漏判。攻击者可以伪装一个空密码的CMCC，然后当用户连接打开浏览器后，推送一个虚假的钓鱼登陆页面，套取用户的账号密码信息。
[0006]识别伪WiFi的网络接入点的路由器设备型号(设备MAC地址前三个字节OUI可以用来识别厂商)，主要针对公用网络/运营商网络，原理是同一区域部署的路由器应该是同一批次采购的同一型号路由器；识别空密码WiFi，主要针对一般的钓鱼WiFi，原理是空密码的WiFi多半都是假的。
[0007]设备型号识别存在一个很大的问题，攻击者可以采用相同的设备型号，或是直接修改MAC地址让用户误判为相同型号设备，此时该方法失效。攻击者可以扫描当前所有AP的MAC地址，直接将攻击设备的MAC前三字节OUI，修改为和真WiFi设备相同，操作简单易行且不易发现。
[0008]因此，现有技术方案主要是针对钓鱼型伪WiFi的识别，而攻击型伪WiFi的识别没有成熟的方案。攻击型伪WiFi是在用户已经连接一个真实WiFi网络后，通过攻击行为强制让用户切换到伪WiFi线路，现有技术方案无法识别。

【发明内容】

[0009]本发明的目的在于提供一种无线终端识别伪WiFi网络的方法及其装置，对伪WiFi网络给出了更精准的识别方法，减少误判和漏判。
[0010]为解决上述技术问题，本发明的实施方式公开了一种无线终端识别伪WiFi网络的方法，包括以下步骤:
[0011]监测当前网络通信数据包中是否有四次握手包出现；如果出现四次握手包，则至少执行以下步骤之一或其组合:
[0012]步骤A，判断该四次握手包中的握手信息是否与最近一次接入WiFi网络时所使用的握手信息一致，如果不一致，则判定当前WiFi网络存在属于伪WiFi网络的风险；
[0013]步骤B，接入WiFi网络后，获取到达指定IP地址的第一路由，判断该第一路由与最近一次接入WiFi网络时到达该指定IP地址的第二路由是否一致，如果不一致，则判定当前WiFi网络存在属于伪WiFi网络的风险。
[0014]本发明的实施方式还公开了一种无线终端识别伪WiFi网络的装置，包括:
[0015]握手包监测单元，用于监测当前网络通信数据包中是否有四次握手包出现；
[0016]第一识别单元，当握手监测单元监测到网络数据包中出现四次握手包时，则判断该四次握手包中的握手信息是否与最近一次接入WiFi网络时所使用的握手信息一致，如果不一致，则判定当前WiFi网络存在属于伪WiFi网络的风险；
[0017]第二识别单元，当握手监测单元监测到网络数据包中出现四次握手包时，接入WiFi网络后，获取到达指定IP地址的第一路由，则判断该第一路由与最近一次接入WiFi网络时到达该指定IP地址的第二路由是否一致，如果不一致，则判定当前WiFi网络存在属于伪WiFi网络的风险。
[0018]本发明实施方式与现有技术相比，主要区别及其效果在于:
[0019]无线终端在接入WiFi网络时，通过监测WiFi网络连接过程中的连接数据包和接AWiFi网络后的路由信息，对伪WiFi网络给出了更精准的识别方法，减少误判和漏判。
[0020]进一步地，在连接前对网络环境进行监测，主要实现对空密码的伪WiFi网络和同一网络名称不同MAC地址的伪WiFi网络进行识别，实现对网络连接前、连接中和连接后的协同监测，尽量减少误报和漏报。
[0021]进一步地，对运营商网络来说，除了简单的开放网络剔除外，还有Phase2认证协议联合监测，减少误报漏报。
[0022]进一步地，对公司漫游网络等来说，除了简单的开放网络剔除外，还有EAP认证协议联合监测，减少误报漏报。
【附图说明】
[0023]图1是本发明第一实施方式中一种无线终端识别伪WiFi网络的方法的流程示意图；
[0024]图2是本发明一种优选实施方式中无线终端识别伪WiFi网络的过程图；
[0025]图3是本发明一种优选实施方式中连接前网络环境监测的流程图；
[0026]图4是本发明一种优选实施方式中连接中认证过程监测的流程图；
[0027]图5是本发明一种优选实施方式中运行时网络路由监测的流程图；
[0028]图6是本发明第二实施方式中一种无线终端识别伪WiFi网络的装置的结构示意图。
【具体实施方式】
[0029]在以下的叙述中，为了使读者更好地理解本申请而提出了许多技术细节。但是，本领域的普通技术人员可以理解，即使没有这些技术细节和基于以下各实施方式的种种变化和修改，也可以实现本申请各权利要求所要求保护的技术方案。
[0030]为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明的实施方式作进一步地详细描述。
[0031]本发明第一实施方式涉及一种无线终端识别伪WiFi网络的方法，包括以下步骤:
[0032]监测当前网络通信数据包中是否有四次握手包出现。如果出现四次握手包，则至少执行以下步骤之一或其组合: