[发明专利]一种检测WIFI攻击的方法

说明书

技术领域

本发明涉及WIFI攻击，具体涉及一种检测WIFI攻击的方法。

背景技术

由于WIFI不用重新布线，就可接入各种笔记本电脑、手机、平板(PAD)的特点,广泛应用于家庭、办公室、酒店等场所。WIFI无线网络由客户端和AP组成，无线接入点AP为提供WIFI无线接入的设备。根据标准，AP会定期发送Beacon帧，让无线客户端感知它的存在；同时，无线客户端也会通过主动扫描，选择相应的AP进行关联。通常无线网络客户端每次成功建立连接，就记录对应的AP ID，下次扫描到有连接记录的AP ID时会自动尝试建立连接；任何无线客户端要与AP建立连接，都需要经过认证、关联过程，最基本的连接建立过程为：无线客户端要与AP建立连接，首先会给AP发送AUTH request，AP收到后会回复AUTH response；然后，客户端再发送关联请求帧(包含加密认证)，AP收到后回复关联响应。

随着最后一公里接入技术的发展和用户的需求，DSL终端、PON上行终端也纷纷整合进了WIFI的AP功能，这些终端通常是由运营商进行维护的，由于该WIFI使用的是公众无线通道，一般是2.4G，所以很容易受到攻击，WIFI攻击，通常是利用连接建立过程的漏洞进行攻击；用户在遭受WIFI攻击时，出现的感知是上网出现瞬断、速度降低、不能上网，而其它原因也会导致同样的现象，如上层网络拥塞、接入线路问题等，客户和运营商无法快速确定出现上述现象原因是否是遭受到WIFI攻击，不仅耗费大量的人力物力，可能会导致用户的敏感信息丢失，造成损失。

发明内容

本发明所要解决的技术问题是在上网出现瞬断、速度降低、不能上网的现象时，客户和运营商能够迅速确定其发生原因是遭受WIFI攻击，以便采取相对措施的问题。

为了解决上述技术问题，本发明所采用的技术方案是提供一种检测WIFI攻击的方法，包括以下步骤：

在AP中增加一个攻击检测模块和告警公告模块；

所述攻击检测模块对无线驱动模块丢弃的无效或问题包进行攻击检测，并根据攻击检测结果判断是否受到攻击，并在受到攻击时，向告警公告模块发送攻击消息；

所述告警公告模块生成两个告警公告消息，一个通过上网业务模块转发给正在与此AP连接的客户终端，进行告警公告；另一个通过上网业务模块转发给有网管中心网络的网管中心。

在上述方法中，AP的所述无线驱动模块实时记录客户终端和AP间的关联状态信息、收、发包的接收强度信号指示，并同无效或问题包的原始数据包一起发送给攻击检测模块。

在上述方法中，所述告警公告模块将告警公告消息通过上网业务模块转发给正在与此AP连接的客户终端的方式如下：

(1)上网登录界面提示的方式，具体包括以下两种情况：

在检测到攻击时，由于攻击发生客户与网络连接自动掉线，客户在重新连网时，在上网登录界面上提示WIFI攻击；

AP根据攻击的情况强行断开连接客户终端，客户终端被动重新连网时，在上网的登录界面上提示WIFI攻击；

(2)通过AP的DNS临时转向，在客户终端的上网界面弹出一个告警窗口，通过告警窗口向无线客户终端发送告警公告消息。

在上述方法中，所述无效或问题包包括协议栈不能处理需要丢弃的包、RSSI突变的包、MAC地址或者SSID不符合逻辑的包。

在上述方法中，攻击检测的检测内容包括包是否符合攻击包外部特征、收到的包是否和协议标准的状态不符合、RSSI异常是否符合攻击特征。

在上述方法中，判断是否受到攻击不能根据一个无效或问题包的攻击检测结果得到时，攻击检测模块记录收到的多个包的攻击检测结果，对这些包的攻击检测结果进行综合判断。

本发明通过在AP中增加一个攻击检测模块和告警公告模块，检测WIFI攻击，并同时通知客户终端和网管中心，在上网出现瞬断、速度降低、不能上网的现象时，客户和运营商能够就可迅速确定是否够遭受WIFI攻击，不需要通过其他设备确定原因，节省人力物力，进而采取相应措施，避免用户的敏感信息丢失，造成损失。

附图说明

图1为采用本发明提供一种检测WIFI攻击的方法的AP结构示意图；

图2为采用本发明对无线客户终端与连接的AP之间进行WIFI攻击检测的流程图。

具体实施方式

下面结合说明书附图和具体实施例对本发明做出详细的说明。