Wlan——无线反制理论与配置讲解

news2024/12/24 21:32:22

目录

非法设备基本概念

非法设备的分类

如何识别非法设备的类型

非法设备判断流程

反制AP的工作模式

AP对于非法设备的检测模式

AP对于非法设备的反制模式

反制设备的工作原理

反制设备如何获取非法设备的信息

反制设备对非法设备反制的原理

如何通过空口抓包判断是否存在反制AP设备

如何通过AP上的日志来判断是否存在反制设备

锐捷配置反制AP的步骤


非法设备基本概念

非法设备的影响

1、非法AP 模拟合法AP无线信号的SSID和密码(用户可能就会关联到此非法AP,用户数据泄露)

2、环境中有其它私设的AP,使得合法AP的信道被干扰

3、环境中由非法STA连接到合法AP上,占用信道带宽

非法设备的分类

非法AP(细分为三类)

连接在非法AP的STA为非法STA

1、与合法AP的SSID一致(Rogue ssid-ap)

2、与合法AP的SSID不一致,但是信号强度大于阈值(Rogue ap)

3、与合法AP的SSID不一致,信号强度没超过阈值,但是BSSID/SSID匹配静态攻击列表中预先配置的BSSID/SSID(Rogue Cofig-ap)

非法Ad-Hoc(Rogue adhoc-ap)

Ad-Hoc网络为点对点的无线网络,通常用于临时组网

带有无线网卡设备发出的无线信号(可以理解为终端热点)

反制AP检测到的Ad-Hoc设备都认为是非法Ad-Hoc设备

如何识别非法设备的类型

开启了非法设备检测功能的AP可以根据侦听到的802.11MAC帧来判断出周围无线设备的类型

通过802.11MAC的To/From DS字段来判断设备类型

To  DS

From DS

设备类型

0

0

Ad-hoc

1

1

无线网桥(WDS)

1

0

STA

0

1

AP

非法设备判断流程

检测设备是否属于非法AP的流程

Firendly Flag友好标志位:连接的同一个AC的AP之间,此标志位是相同的

对非法AP设备分类的流程

反制AP的作用

1、保证用户信息不被泄露(反制非法AP)

2、降低私设AP对合法AP信号的干扰


反制AP的工作模式

工作模式分为检测和反制两部分;必须同时开启才可以实现设备反制

AP对于非法设备的检测模式

一般建议使用专门的AP来作为反制AP,不提供用户接入业务

Normal

默认的AP工作模式,没有开启AP空口扫描功能(AP设备不能发送Probe Request报文)

Hybrid

AP有空口扫描的功能,也有用户接入的功能,不过可能会使得接入用户信号收到影响;

AP设备可以主动发送Probe Rqeuest报文

Monitor

AP专门开启空口扫描的功能,没有提供用户接入的功能

AP对于非法设备的反制模式

根据AP检测获得的信息来判断是否是非法设备,然后进行反制

反制模式主要分为5大类

AP反制模式

反制的非法设备类型

SSID

反制SSID与合法AP的SSID一致的非法AP

Config

反制匹配静态攻击列表的非法AP设备

Rogue

反制信号强度超过阈值的非法AP设备

Adhoc

反制非法Ad-hoc设备

All

反制所有非法设备


反制设备的工作原理

反制设备通过检测获取非法设备,然后再通过反制两大步骤来完成非法设备的反制

反制设备如何获取非法设备的信息

反制AP主要通过主动/被动扫描帧来获取非法设备信息

非法AP的信息

主动:反制AP从监测的信道中发送Probe Request,未知AP会回复Probe Response报文,携带SSID、BSSID、信号强度等信息

被动:反制AP从检测的信道中收到未知AP设备发来的被动扫描信息Beacon报文,也会携带SSID、BSSID、信号强度等信息;其中Beacon报文还会携带一个Friendly flag友好标志位,可以通过此位来判断AP是否是非法AP(一致则为合法AP,不一致则需要再此判断)

非法Ad-Hoc的信息

主动:反制AP从监测的信道中发送Probe Request,未知设备会回复Probe Response报文,通过此报文的To/From DS字段来判断是否是Ad-Hoc设备,只要是Ad-Hoc设备就是非法的

被动:反制AP从检测的信道中收到未知设备发来的被动扫描信息Beacon报文中也可以判断

除了检查非法AP和Ad-Hoc设备信息,我们还需要了解未知STA的信息

主动:反制AP从监测的信道中发送Probe Request,STA收到后会回复Probe Response报文,携带自己的MAC地址

反制设备对非法设备反制的原理

反制AP通过解除认证/解关联帧实现反制

非法AP反制方法1,向非法STA发送解除认证/关联帧(反制AP发送的报文源为非法AP BSSID  目的为广播)

反制AP以非法AP设备的身份发送广播解除认证帧(Deauthentication)和解除关联帧(Disassociation)

非法STA收到后,就会断开与非法AP的连接

非法AP反制方法2,向非法AP发送解除认证/关联帧(反制AP发送的报文源为STA MAC  目的为非法AP BSSID)

反制AP以非法STA的身份给此STA接入的非法AP发送单播解认证和解关联帧

非法AP收到后就会断开与非法STA的连接

即针对AP反制有单播帧和广播帧两种方式,为什么?

有些终端不接受广播帧,因此才需要获取STA的MAC来发送单播帧阻断非法AP和STA的连接

Ad-Hoc设备反制(源为Ad-hoc设备 MAC   目的为Ad-Hoc BSSID)

以Ad-Hoc设备的身份向STA发送单播解认证和解关联帧

接入Ad-Hoc设备的STA收到后,就会断开与非法AP的连接

如何通过空口抓包判断是否存在反制AP设备

1、解认证/关联报文的信号强度与Beacon帧的信号强度有明显差别

       因为反制设备和AP设备的位置不同,两者发送的报文的信号强度不同

2、如果解认证/关联报文目的地址为广播,则一般会存在反制设备

3、AC上关闭了低速率,但是解认证报文确实是低速率发送的,则此报文就为反制设备发送

4、反制设备发送的解认证Deauth报文的序列包不变(也存在反制设备会发送变化的序列号,此方法不能准确判断是否存在反制设备)

如何通过AP上的日志来判断是否存在反制设备

如果AP日志上有大量终端发送的解认证/关联报文,则表示存在反制设备


锐捷配置反制AP的步骤

反制AP配置注意事项

  • 建议AP使用monitor模式
  • 反制周期调整到最小
  • 反制AP配置与非法AP相同的信道
  • 将非法AP的BSSID加入到静态攻击列表(黑名单)

配置反制的步骤

1、更改AP的检测模式并指定需要扫描检测的信道

2、配置AP的反制模式

3、开启未知STA扫描

开启AP的检测模式

Ap-config 123

 Device mode monitor       AP的工作模式为monitor

 Scan-channels 802.11b channels 1 6 11         配置需要扫描的信道(默认扫描的信道为反制AP使用的信道)

 Scan-channels 802.11a channels 149 165      

开启AP的反制功能

Wids

 Countermeasures enable                              开启反制功能

 Countermeasures channel-match                  配置反制AP是基于信道反制的

 Countermeasures mode ssid                         反制和AP发出相同SIID的未知AP

 Countermeasures ap-max 10                        配置最大反制个数

 Countermeasures rssi-min 20                        设置信号强度阈值

 Countermeasures interval 100                       配置反制间隔(默认1s反制一次)

开启未知STA扫描

Wids

 Device unknown-sta dynamic-enable     开启单播反制,发送Probe request动态检测未知设备的信息

 Device unknown-sta mac-address 0000.0001.0001      静态配置非法STA的MAC信息

配置WIDS允许的设备列表(白名单)

Wids

 Device permit mac-address 0000.0001.0001 允许的MAC地址列表

 Device permit ssid admin                              允许的SSID地址列表

 Device permit vendor bssid 0000.0001.0002   允许的厂商列表

配置静态攻击列表(黑名单)

Wids

 Device attack mac-address 0000.0002.0001   配置静态攻击MAC列表

 Device black-ssid       admin1                        配置静态攻击SSID列表

反制AP查看命令

Show wids unknown-sta                   未知STA设备查看

Show wids detected all                      查看检测到的所有AP

Show wids detected friendly ap         查看合法AP

Show wids detected interfering ap     查看未分类的非法AP

Show wids detected rogue adhoc-ap/ap/config-ap/ssid-ap 查看非法ad-hoc/信号强度AP/静态攻击AP/SSID一致AP设备

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1073803.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

iframe框架token失效重新登陆问题

在登录信息过期之后,或者也就是token过期后,要登出,跳转到登录页面重新登录来获取token等信息。 这时如果你用的是iframe框架的话,就会出现登录界面是嵌套在框架里面的情况,或者出现下图所示报错情况。 出现这种情况…

PowerBI 一些基础功能

1、PowerBI创建日期表 1.1、Power BI 日期表 - 知乎日期是做数据分析的时候使用最频繁的分析维度,一般建议建立单独的日期维度表,并与事实表的日期字段建立连接。 建立日期维度表可通过DAX函数的方式进行: 日期表 CALENDAR(DATE("2023&…

基于Springboot实现疫情网课管理系统项目【项目源码+论文说明】

基于Springboot实现疫情网课管理系统演示 摘要 随着科学技术的飞速发展,各行各业都在努力与现代先进技术接轨,通过科技手段提高自身的优势;对于疫情网课管理系统当然也不能排除在外,随着网络技术的不断成熟,带动了疫情…

当我们谈论量化时,我们在谈论什么?量化投资常见策略有哪些?| 融券T0和高频交易详解【邢不行】

最近关于量化的争议不断,很多人甚至建议取缔量化。 部分人认为量化以高频交易配合融券变相实现T0,赚走了市场所有的钱,有失公正。 高频交易大家都听过,即凭借程序在几秒甚至几毫秒内完成一笔交易,有人认为这对还在盯盘…

ThreadLocal线程变量使用浅解

一、概述    ThreadLocal一般称为线程本地变量,它是一种特殊的线程绑定机制,将变量与线程绑定在一起,为每一个线程维护一个独立的变量副本。通过ThreadLocal可以将对象的可见范围限制在同一个线程内, 在实际多线程操作的时候&a…

探索8个顶级的绘图工具

在数字时代,绘画已经成为一种常见的表达方式,不仅广泛应用于艺术创作领域,而且在教育、设计和商业领域发挥着重要作用。随着技术的进步,越来越多的计算机绘图软件出现,为用户提供了更多的选择。本文将推荐8个计算机绘图…

Linux文件与目录的增删改查

一、增 1、mkdir命令 作用: 创建一个新目录。格式: mkdir [选项] 要创建的目录 常用参数: -p:创建目录结构中指定的每一个目录,如果目录不存在则创建,如果目录已存在也不会被覆盖。用法示例: 1、mkdir directory:创建单个目录 这个命令会在当前目录下创建一个名为…

ELK 处理 SpringCloud 日志

在排查线上异常的过程中,查询日志总是必不可缺的一部分。现今大多采用的微服务架构,日志被分散在不同的机器上,使得日志的查询变得异常困难。工欲善其事,必先利其器。如果此时有一个统一的实时日志分析平台,那可谓是雪…

【python】exec()内置函数释义

【python】exec内置函数释义 官方释义样例注意事项拓展感谢及参考博文 官方释义 官方Python API文档镇楼 exec(object, globalsNone, localsNone, /, *, closureNone) 支持动态执行 Python 代码, object 必须是字符串或者代码对象。 需要特别注意以下两点&#xff…

Multi Modal Smart Diagnosis of Pulmonary Diseases

方法 体会 作者图2的字太小,每个图都用一样形式的block,流程图乱画,且不给代码,看来InCACCT不怎么样

Spring 复习笔记

目录 第一步存 Bean第二步获取并使用 Bean依赖查找的方式ApplicationContext vs BeanFactory 更简单的存储 Bean1. 配合五大类注解使用2. 方法上添加注解 Bean 更简单的获取 Bean Spring IoC 容器管理的资源就是对象,这个对象也叫做 Bean。Spring 作为一个 IoC 容器…

VTable: 不只是高性能的多维数据分析表格

VTable,面向多维分析与可视化的高性能表格组件 导读 VTable: 不只是高性能的多维数据分析表格,更是行列间创作的方格艺术家! VTable是字节跳动开源可视化解决方案 VisActor 的组件之一。 在现代应用程序中,表格组件是不可或缺的…

面试金典--面试题 17.21. 直方图的水量(不困难的困难题)

文章目录 题目描述思路分析完整代码 题目描述 给定一个直方图(也称柱状图),假设有人从上面源源不断地倒水,最后直方图能存多少水量?直方图的宽度为 1。 上面是由数组 [0,1,0,2,1,0,1,3,2,1,2,1] 表示的直方图,在这种情况下,可以接…

适用于医美行业的微信管理系统

在当今这个数字化时代,微信已经成为人们日常生活中必不可少的社交工具之一。对于医美行业来说,微信也是一个极为重要的营销渠道。 医美行业面临的一些困境 ①门槛低,竞争大,需要进行大量营销,来走出红海 ②医美种类繁…

第三章 栈、队列和数组

第三章 栈、队列、数组 栈栈的基本概念栈的顺序实现栈的链接实现栈的简单应用和递归 队列队列的基本概念队列的顺序实现队列的链接实现 数组数组的逻辑结构和基本运算数组的存储结构矩阵的压缩存储 小试牛刀 栈和队列可以看作是特殊的线性表,是运算受限的线性表 栈 …

Nmap扫描教程-01

Nmap扫描教程 SYN扫描操作及原理(半连接扫描) 1. 第一步打开wireshark选着你要监听网卡 2. 在kail中输入命令找到我们需要扫描主机的ip地址 arp-scan -l -I eth1 3. 在kail中输入命令进行SYN半连接扫描 nmap -sS -p80 --reason -vvv 172.30.1.128 -s…

这是要被奖金给砸晕啊......

嗨咯,大家好,我是K同学啊! 由于最近训练营中经常有同学问我,有哪些比较好的知识变现且可以提升自己专业水平的渠道,这几天整理出了一个个人认为还不错的关于深度学习方面的大赛(就奖金比较多而已&#xff…

服务器启用SGX(以PowerEdge R750为例)

一、检查处理器是否支持SGX 在shell中输入以下命令查看CPU型号 cat /proc/cpuinfo | grep name | cut -f2 -d: | uniq -c在Product Specifications中找到对应的处理器参数信息,如果支持SGX,可以在Security & Reliability中看到如下信息 二、以“软…

【centos7安装ElasticSearch】

概述 最近工作中有用到ES ,当然少不了自己装一个服务器捣鼓。本文的ElasticSearch 的版本: 7.17.3 一、下载 ElasticSearch 点此下载 下载完成后上传至 Linux 服务器,本文演示放在: /root/ 下,进行解压&#xff1…

R实现地图相关图形绘制

大家好,我是带我去滑雪! 地图相关图形绘制具有许多优点,这些优点使其在各种领域和应用中非常有用。例如:地图相关图形提供了一种直观的方式来可视化数据,使数据更容易理解和分析。通过地图,可以看到数据的空…