1 系統(tǒng)方案論證

1.1 現(xiàn)狀分析

現(xiàn)有的無線局域網(wǎng)安全產(chǎn)品無法完全提供無線局域網(wǎng)的安全防護，主要問題如下：

1)功能單一、缺乏綜合安全管理平臺，無法實現(xiàn)無線數(shù)據(jù)監(jiān)聽、解析、還原、取證的綜合功能。

2)缺乏非法站點接入、合法站點訪問非法站點的有效控制手段。如果不連入有線網(wǎng)絡，就無法實現(xiàn)網(wǎng)絡控制。

3)無法檢測并抵御WEP攻擊方法。WEP加密方式在一定程度上仍然廣泛應用，現(xiàn)有的解決方案基本上是通過升級無線接入點和站點的安全模塊來防御WEP攻擊，但這種解決方案無法應用于大量已部署的舊無線局域網(wǎng)上。

1.2 系統(tǒng)方案

根據(jù)以上現(xiàn)狀分析，有必要設計一款集無線網(wǎng)絡實時掃描、數(shù)據(jù)實時解析、內(nèi)容還原、審計取證、管理控制、攻擊檢測防護等功能于一身的無線局域網(wǎng)監(jiān)護系統(tǒng)，以解決當前無線網(wǎng)絡存在的問題。下圖為系統(tǒng)的網(wǎng)絡構設圖：

圖1.1 網(wǎng)絡架設圖

可以看到本監(jiān)護系統(tǒng)獨立于網(wǎng)絡，架設方便、靈活，可對選定的網(wǎng)絡實施監(jiān)護。系統(tǒng)是以linux為操作平臺，并以PC機和兩張無線網(wǎng)卡作為硬件依托，一張無線網(wǎng)卡用于站點和接入點的掃描、數(shù)據(jù)包的截獲，另一張用于發(fā)送偽造數(shù)據(jù)包來阻止WEP攻擊。通過對網(wǎng)卡截獲的數(shù)據(jù)進行協(xié)議解析來分析網(wǎng)絡中是否存在WEP攻擊以及非法接入和訪問，如果存在則通過另一張網(wǎng)卡發(fā)送數(shù)據(jù)包進行防護。同時通過協(xié)議解析我們可以恢復出用戶的上網(wǎng)文件內(nèi)容，從而對用戶無線上網(wǎng)行為的審計和取證帶來方便。

2系統(tǒng)功能指標

如表1所示，是我們這個系統(tǒng)所實現(xiàn)的功能與指標。

表 1：系統(tǒng)指標表#p#

3 系統(tǒng)實現(xiàn)原理、技術和流程圖

本系統(tǒng)的架構主要包括圖形界面、各個功能模塊、模塊間接口這三個部分。而其實現(xiàn)的關鍵則在于無線網(wǎng)絡的全頻段掃描以及數(shù)據(jù)捕獲、數(shù)據(jù)的協(xié)議實時解析、內(nèi)容還原技術、以及非法網(wǎng)絡行為的檢測和防護技術。

3.2 關鍵技術分析

3.2.1無線網(wǎng)絡的全頻段掃描和數(shù)據(jù)捕獲

3.2.1.1 全頻段掃描

通過在Linux平臺下，設置無線網(wǎng)卡I/O通信端口寄存器為監(jiān)聽模式，可以對802.11a/b/g的13個頻段內(nèi)的接入點、站點以時分跳頻的方式監(jiān)聽,實時發(fā)現(xiàn)各個信道的AP以及連接AP的站點，并分析捕獲的數(shù)據(jù)，獲得AP和站點的加密方式、信號強度、MAC地址等相關信息。

3.2.1.2數(shù)據(jù)包捕獲

一旦選定需要監(jiān)護的AP，則可以通過對網(wǎng)卡端口寄存器編程來實現(xiàn)固定信道的掃描，此時不再是13個信道的時分跳頻，而是網(wǎng)卡固定于一個特定的信道來掃描獲取該信道的數(shù)據(jù)。再對捕獲的數(shù)據(jù)包進行BSSID的過濾，這樣就可以得到該AP服務集的數(shù)據(jù)包。

3.2.2 數(shù)據(jù)的實時解析

用數(shù)據(jù)包捕獲方式得到的是802.11MAC層的通信數(shù)據(jù)，根據(jù)TCP/IP協(xié)議棧與802.11的相關協(xié)議，數(shù)據(jù)恢復需要從TCP/IP協(xié)議模型的底層向上層進行一層層的解析和重組：數(shù)據(jù)鏈路層—網(wǎng)絡層—傳輸層—應用層(含會話、表現(xiàn)層)。

TCP、IP的協(xié)議解析是本系統(tǒng)中的一大難點，這其中關系到IP分片和重組以及TCP流重組和重傳的解析。我們選擇了libnids開源工具對該部分協(xié)議做了具體的解析。

在TCP、IP解析的基礎上實現(xiàn)了對FTP協(xié)議，HTTP協(xié)議，SMTP協(xié)議，POP3協(xié)議的并行解析。由于監(jiān)聽的網(wǎng)絡同時會有多個人使用某個協(xié)議，我們建立了對應于各個TCP連接的虛擬端口，用于區(qū)分不同TCP鏈接的通信數(shù)據(jù)。圖3.2描述了TCP連接與各個協(xié)議的關系。

圖 3.2 協(xié)議解析關系圖

同時我們給出了應用層解析流程，見圖3.3：

圖3.3 應用層協(xié)議解析流程圖

3.2.3 用戶網(wǎng)絡內(nèi)容的還原

3.2.3.1網(wǎng)頁內(nèi)容還原

對于HTTP，由于其網(wǎng)絡地址大多為服務器的相對地址，還原后的原始文件無法用瀏覽器打開，即使打開也只有文字信息(如圖3.4所示)，缺少圖片和flash信息，這就需要后期的數(shù)據(jù)處理。3.2.3.2 郵件內(nèi)容處理

郵件內(nèi)容并不是直接傳輸ASCII碼，它有自己的傳輸編碼，所以必須根據(jù)其相應的傳輸編碼來對其進行解析。比如其常用的傳輸編碼方式為base64編碼。如表3.1所示：

表3.1 base64編碼

這種編碼其實就相當于加密，當然還有其他的傳輸編碼方式，必須做相應的解碼才能使得其可讀。所以郵件文件的處理程序流程就是先讀文件，查找傳輸編碼方式，最后解碼還原。

3.2.4網(wǎng)絡行為控制

網(wǎng)絡行為的控制主要控制兩類事件，一是阻斷非法用戶接入AP，二是防止合法用戶訪問非法IP。其中前者的分析基于MAC層的數(shù)據(jù)，后者基于IP層的數(shù)據(jù)。雖然我們的系統(tǒng)獨立于AP和站點，但是我們可以通過偽冒成該站點與AP通信，向AP發(fā)送去鑒權或去關聯(lián)數(shù)據(jù)幀，中斷AP與該站點之間的通信或者連接，來中斷非法接入或者非法訪問。

3.2.5 WEP攻擊檢測與主動防護

當前最流行的WEP攻擊軟件是基于統(tǒng)計原理的PTW[7]算法，該算法可以在收集40000個有效包的情況下破解出64bit的WEP密鑰。PTW算法采用主動攻擊的方式，假冒合法用戶大量發(fā)送已截獲的無線網(wǎng)絡中的ARP請求包，通過這種方式，攻擊者將會收獲大量的ARP回復和轉(zhuǎn)發(fā)包，之后采用統(tǒng)計算法[7]，分析ARP包中的密鑰流和ARP包所對應的不同IV，攻擊者即可在很短的時間內(nèi)破獲正確的密鑰，進而實行非法操作。

事實上幾乎所有的WEP攻擊算法的都需要捕獲大量的ARP包。基于此，我們采用在MAC層捕獲、統(tǒng)計網(wǎng)絡中的ARP包的流量去判斷是否存在WEP攻擊。

一旦發(fā)現(xiàn)有WEP攻擊，我們通過分析ARP包中源、目的端以及IV等信息，用一個偽造的密鑰和不斷遞增的IV，按照WEP加密方式構造出一個新的ARP包，并通過網(wǎng)卡大量發(fā)送，使得攻擊者大量捕獲的是用錯誤密鑰加密的ARP包。另一方面我們通過發(fā)送ARP包的時間間隔來偽冒成攻擊者，向AP發(fā)送去鑒權幀，使得攻擊者時而斷開與AP的連接，這樣AP就不會轉(zhuǎn)發(fā)攻擊者發(fā)送的ARP包，因此攻擊者就幾乎收不到正確密鑰加密的ARP數(shù)據(jù)包，而大量捕獲我們用偽造密鑰加密的ARP包，因而最終破獲出一個錯誤密鑰。由于我們構造的ARP包與正確密鑰加密的ARP包對于攻擊者來說是無法區(qū)分，因此這樣的防護方法可謂是疏而不漏。

【編輯推薦】

1. 無線局域網(wǎng)安全設置的五個基本點
2. 無線局域網(wǎng)WLAN安全技術談