[发明专利]基于双向SYN反射的多模型伪AP检测方法及检测装置

说明书

本发明公开了基于双向SYN反射的多模型伪AP检测方法及检测装置，所述检测方法包括：判断用户指定的AP检测集合是否具有两个及两个以上的相同SSID的AP，若是，则判定所述AP为目标AP；使用两张网卡分别连接所述目标AP，并获得分配的IP地址，执行双向SYN反射检测；执行双向SYN反射检测后，根据接收到的SYN‑ACK包的情况判断目标AP中是否存在钓鱼AP攻击，同时可以独立地检测出无线局域网内多模型的伪AP的攻击，包括串联钓鱼AP攻击模型和钓鱼AP攻击模型，达到维护网络安全、保护用户隐私的目的。

技术领域

本发明属于通信安全技术领域，特别涉及一种基于双向SYN反射的多模型伪AP检测方法及检测装置。

背景技术

随无线局域网(WLAN)的广泛使用，其安全问题变得尤为突出和重要，在接入某一无线网络之前，首先要判断该无线网络对应的AP是否为可疑AP。可疑AP可能是攻击者用来欺骗无线用户接入而伪装成合法AP的伪AP，比如常见的钓鱼AP，伪AP钓鱼攻击是无线网络中严重的安全威胁之一。

钓鱼AP通过仿照正常的AP，搭建一个钓鱼AP，然后通过对合法AP进行拒绝服务攻击或者提供比合法AP更强的信号迫使无线客户端连接到钓鱼AP。通常，有两种无线钓鱼AP攻击模型，一是串联钓鱼AP模型，二是并联钓鱼AP攻击模型。串联钓鱼AP攻击是现在主流的攻击方式。在搭建串联钓鱼AP时，无线钓鱼AP具有两个无线网卡，其中一个无线网卡用于将钓鱼AP伪装成合法AP，释放信号，欺骗无线用户连接，进而窃取用户的敏感信息，通常，攻击者将钓鱼AP的SSID、信道、加密方式等相关信息与合法AP的相关信息配置相同；另外一个无线网卡用于伪装成合法用户连接相应的合法AP，将用户的数据转发给合法AP。在搭建钓鱼AP时在这种情况下，无线用户和合法AP都不会察觉到钓鱼AP的存在。在搭建并联钓鱼AP时，攻击者需要一个移动AP(比如4G路由器)，钓鱼AP不再依赖合法AP，而是依赖移动蜂窝网络让受害者接入因特网，同时钓鱼AP也会释放无线网络信号(如Wi-Fi信号)诱惑受害者连接。在两种攻击模型下，受害者一旦连接了，所有传输的信息会被钓鱼AP窃听。

目前针对钓鱼AP的检测提出了多种方案，如专利CN201210548689.2公开了一种无线网络中钓鱼AP的识别与处理方法，通过每个无线AP上传的自身的BSSID信息、SSID信息、信道信息、beacon间隔信息、vendor信息和相邻AP的位置信息判断是否属于合法AP。专利CN201610173358公开了一种伪AP检测阻断方法、无线装置及路由器，通过广播发送Beacon报文，接收周边接入点广播的Beacon报文，判断接收的Beacon报文中携带的SSID与自身接入点的SSID是否相同；判断Beacon报文中是否携带加密字段，当Beacon报文中不存在加密字段时，检测出发送Beacon报文的接入点为伪接入点。以上方法虽然能识别钓鱼AP，但是，对于钓鱼AP的类型判断尚没有提出解决方案，现有技术对于识别钓鱼AP攻击类型存在技术障碍。

SYN是TCP/IP建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP网络连接时，客户机首先发出一个SYN消息，服务器使用SYN+ACK应答表示接收到了这个消息，最后客户机再以ACK消息响应。这样在客户机和服务器之间才能建立起可靠的TCP连接，数据才可以在客户机和服务器之间传递。本发明利用SYN响应机制，提出识别伪AP并同时判断攻击模型的基于双向SYN反射检测的机制，为网络安全隐患的阻断提供可靠支持。

发明内容

针对现有技术存在的不足，本发明提供基于双向SYN反射的多模型伪AP检测方法及检测装置，实现钓鱼AP的识别及其攻击类型的判断。

为了解决上述技术问题，本发明采用的技术方案是：

基于双向SYN反射的多模型伪AP检测方法，包括：

判断用户指定的AP检测集合是否具有两个及两个以上的相同SSID的AP，若是，则判定所述AP为目标AP；