一种阻断无线移动终端接入非法ap的方法
阅读说明:本技术 一种阻断无线移动终端接入非法ap的方法 (Method for blocking wireless mobile terminal from accessing illegal AP ) 是由 余宏智 王书辉 于 2021-06-21 设计创作,主要内容包括:一种阻断无线移动终端接入非法AP的方法,属于通信技术领域。方法应用于合法AP端,其包括步骤S10,当监听到有无线移动终端接入非法AP时,根据非法AP的MAC地址和连接在非法AP上的无线移动终端的MAC地址,构建无线移动终端的Deauthentication管理包和非法AP的Deauthentication管理包;步骤S20,将无线移动终端的Deauthentication管理包发送给非法AP,并将非法AP的Deauthentication管理包发送给无线移动终端,使得非法AP和无线移动终端各自断开连接。本发明利用合法AP有效阻断无线移动终端接入非法AP,并且还能为无线移动终端提供正常数据收发服务。(A method for blocking a wireless mobile terminal from accessing an illegal AP belongs to the technical field of communication. The method is applied to a legal AP end and comprises the step S10 that when it is monitored that a wireless mobile terminal accesses an illegal AP, a Deauthentication management packet of the wireless mobile terminal and a Deauthentication management packet of the illegal AP are constructed according to the MAC address of the illegal AP and the MAC address of the wireless mobile terminal connected to the illegal AP; step S20, sending the Deauthentication management packet of the wireless mobile terminal to the illegal AP, and sending the Deauthentication management packet of the illegal AP to the wireless mobile terminal, so that the illegal AP and the wireless mobile terminal are disconnected, respectively. The invention effectively blocks the wireless mobile terminal from accessing the illegal AP by utilizing the legal AP, and can also provide normal data receiving and transmitting service for the wireless mobile terminal.)
技术领域
本发明涉及通信
技术领域
,尤其涉及一种阻断无线移动终端接入非法AP的方法。背景技术
“WiFi”是Wireless Fidelity 的缩写,即无线局域网,是一种可以将个人电脑、手持设备等终端以无线方式互相连接的技术,广泛应用于手机,电脑等无线移动终端。WiFi联盟预测2020全年全球WiFi家庭渗透率为90%。无线连接为使用者提供了便利性,同时也带来了各种各样的安全问题,其中非法AP问题就是一种典型的安全问题。
非法AP(Access Point,接入点)指那些伪装成合法AP,使用与合法AP相同的SSID诱使用户接入,监听,偷窃用户数据的AP。现在检测非法AP有很多通用方法,例如在合法AP发送的beacon数据包中添加一些特殊的IE,如果一个AP与合法AP拥有相同的SSID名字,但是beacon数据包中没有这些特殊IE,那么就可以认定这个AP为非法AP。
发明专利CN106973401B公开了一种针对于无线组网环境中非法AP的检测抑制方法,并具体公开了方法包括先由接入控制器AC将管控下的在线AP生成管控表单,再通过非法AP检测指令获得整个无线组网环境内的无线连接表单,二者对比生成非法AP表单,然后AC再通过抑制指令使非法AP的下连无线终端断开连接,实现抑制。该发明利用AC接入控制器来抑制无线终端与非法AP的连接。然而,AC接入控制器仅发送抑制指令给无线终端。当AC接入控制器频繁发出抑制指令时,无线终端将频繁收到de-auth帧和disassoc帧,同时无线终端发送给非法AP的数据都能接收到ack包,无线终端会认为受到攻击,会忽略de-auth帧和disassoc帧一段时间,这样无法将无线终端与非法AP断开。
发明内容
本发明针对现有技术存在的问题,提出了一种阻断无线移动终端接入非法AP的方法,能利用合法AP有效阻挡无线移动终端接入非法AP,还能为无线移动终端提供正常数据收发服务。
本发明是通过以下技术方案得以实现的:
一种阻断无线移动终端接入非法AP的方法,应用于合法AP端,方法包括:
步骤S10,当监听到有无线移动终端接入非法AP时,根据非法AP的MAC地址和连接在非法AP上的无线移动终端的MAC地址,构建无线移动终端的Deauthentication管理包和非法AP的Deauthentication管理包;
步骤S20,将无线移动终端的Deauthentication管理包发送给非法AP,并将非法AP的Deauthentication管理包发送给无线移动终端,使得非法AP和无线移动终端各自断开连接。
本发明利用合法AP来进行监听无线移动终端接入非法AP的情况,并利用合法AP来仿造无线移动终端和非法AP的Deauthentication管理包来切断两端连接。由于两端都均进行了断开操作,非法AP就不会发送ack包给无线移动终端,无线移动终端就无法判断是否受到非法AP攻击。这样解决了现有技术中所发生的无法有效断开无线移动终端与非法AP连接的问题。
另外,如何探测非法AP不是本发明关注的内容,本发明目的在于探测到非法AP以及连在它上面的用户(无线移动终端)后,如何避免用户继续使用非法AP。
作为优选,在步骤S10前,方法还包括步骤S00,在非法AP信道监听是否有无线移动终端接入非法AP。
作为优选,所述步骤S00包括:
步骤S01,在无线移动网络中发送CTS-to-Self控制包,以禁止无线移动终端接入合法AP;
步骤S02,切换合法AP原始信道到非法AP信道,监听是否有无线移动终端接入非法AP。
作为优选,当所述步骤S00中有多条非法AP信道时,逐一在各个非法AP信道监听是否有无线移动终端接入非法AP,具体为:当在一个非法AP信道未监听到有无线移动终端接入非法AP时,切换到下一个非法AP信道监听,一旦在一个非法AP信道监听到有无线移动终端接入非法AP,则执行步骤S10~步骤S20,在步骤S20执行完毕后,切换到下一个非法AP信道监听,重复上述过程,直到监听完毕。
作为优选,所述步骤S10还包括,当未监听到有无线移动终端接入非法AP时,或者,当不存在非法AP时,切换信道回合法AP的原始信道,以使无线移动终端能够接入合法AP。
作为优选,所述无线移动终端的Deauthentication管理包中接收端地址和过滤地址均设置为非法AP的MAC地址,所述无线移动终端的Deauthentication管理包中发送端地址设置为无线移动终端的MAC地址;非法AP的Deauthentication管理包中接收端地址设置为无线移动终端的MAC地址,非法AP的Deauthentication管理包中发送端地址和过滤地址均设置为非法AP的MAC地址。
作为优选,所述步骤S00中监听是否有无线移动终端接入非法AP的时间为30~50ms。
作为优选,合法AP每隔一段时间执行步骤S00~步骤S20。
作为优选,合法AP每隔1s执行步骤S00~步骤S20。
作为优选,所述合法AP和所述非法AP根据无线移动网络的可接入的信任列表确定。
本发明具有以下有益效果:
一种阻断无线移动终端接入非法AP的方法,利用合法AP实现,能向无线移动终端和非法AP均发送Deauthentication管理包来断开各自连接,有效阻断无线移动终端接入非法AP;并且合法AP还能为无线移动终端提供正常数据收发服务。
附图说明
图1为本发明一种阻断无线移动终端接入非法AP的方法的流程图;
图2为本发明一种阻断无线移动终端接入非法AP的方法具体实例示意图;
图3为图2中Deauthentication管理包的局部格式图。
具体实施方式
以下是本发明的具体实施例并结合附图,对本发明的技术方案作进一步的描述,但本发明并不限于这些实施例。
如图1,本发明一种阻断无线移动终端接入非法AP的方法,应用于合法AP端,方法包括:
步骤S10,当监听到有无线移动终端接入非法AP时,根据非法AP的MAC地址和连接在非法AP上的无线移动终端的MAC地址,构建无线移动终端的Deauthentication管理包和非法AP的Deauthentication管理包;
步骤S20,将无线移动终端的Deauthentication管理包发送给非法AP,并将非法AP的Deauthentication管理包发送给无线移动终端,使得非法AP和无线移动终端各自断开连接。
Deauthentication管理包为结束鉴权数据包。所述步骤S10中Deauthentication管理包具依据Deauthentication管理包格式设置。其中,所述无线移动终端的Deauthentication管理包中接收端地址和过滤地址均设置为非法AP的MAC地址,所述无线移动终端的Deauthentication管理包中发送端地址设置为无线移动终端的MAC地址;所述非法AP的Deauthentication管理包中接收端地址设置为无线移动终端的MAC地址,非法AP的Deauthentication管理包中发送端地址和过滤地址均设置为非法AP的MAC地址。
在步骤S20中,合法AP根据探测到的无线移动终端的MAC地址,非法AP的MAC地址仿造无线移动终端的deauthentication 管理包向非法AP发送, 非法AP收到后会断开连接;合法AP根据无线移动终端的MAC地址,非法AP的MAC地址仿造非法AP的deauthentication管理包向无线移动终端发送,无线移动终端接收到该管理包后,会主动断开连接。
在步骤S10前,本发明方法还包括步骤S00,在非法AP信道监听是否有无线移动终端接入非法AP。当非法AP信道就一条时,在此非法AP信道监听,执行上述步骤S10~步骤S20。当监听到有无线移动终端接入非法AP时,则进行阻断;当未监听到无线移动终端接入非法AP时,则从非法AP信道切换到合法AP的原始信道,合法AP与无线移动终端继续正常的数据收发流程。当非法AP信道有多条时,逐一在各个非法AP信道监听是否有无线移动终端接入非法AP。具体为:当在一个非法AP信道未监听到有无线移动终端接入非法AP时,切换到下一个非法AP信道监听,一旦在一个非法AP信道监听到有无线移动终端接入非法AP,则执行步骤S10~步骤S20,在步骤S20执行完毕后,切换到下一个非法AP信道监听,重复上述过程,直到监听完毕。
所述步骤S00的具体监听过程包括:
步骤S01,在无线移动网络中发送CTS-to-Self控制包,以禁止无线移动终端接入合法AP;
步骤S02,切换合法AP原始信道到非法AP信道,监听是否有无线移动终端接入非法AP。
在切换信道进行监听前,合法AP先断开与无线移动终端之间的正常数据收发流程,等监听完毕(包含阻断过程),则合法AP再次与无线移动终端连接,继续正常数据收发流程。
所述步骤S10还包括,当未监听到有无线移动终端接入非法AP时,或者,当不存在非法AP时,切换信道回合法AP的原始信道,以使无线移动终端能够接入合法AP。在监听前,与合法AP连接的无线移动终端被切断连接,在未监听到或不存在非法AP的情况下,合法AP回到原始信道再次与原无线移动终端连接,或者开启合法AP连接状态,使其允许接入新的无线移动终端。
所述步骤S00中监听是否有无线移动终端接入非法AP的时间为30~50ms。该时间也是合法AP断开其与无线移动终端连接的时间。该时间可通过CTS-to-Self控制包内的持续时间段来设定。
一般情况下,合法AP保持与无线移动终端的正常连接状态。为了避免无线移动终端接入非法AP,则合法AP需要每隔一段时间执行步骤S00~步骤S20,例如每隔1s执行步骤S00~步骤S20。在此频率监听下,避免无线移动终端重新连接到非法AP。
其中,所述合法AP和所述非法AP根据无线移动网络的可接入的信任列表确定。在信任列表内的AP为合法AP,不在信任列表内的AP为非法AP。信任列表可根据需要进行设定。本发明不旨在于如何获取非法AP(即如何获取非法AP可利用现有公开的方法实现,本文不做赘述),旨在于在获取非法AP后,如何利用合法AP来阻断无线移动终端接入非法AP。
图2示出了依据本发明方法实现的具体示例。合法AP的MAC地址为1c:40:e8:14:3d:3b, SSID为NetBankSwang,信道为36,无线移动终端A的MAC地址为28:f0:33:12:3a:41,与合法AP连接;附近有一个非法AP,MAC地址为1c:40:e8:14:3a:3c, SSID为NetBankSwang,信道为44;无线移动终端B的MAC地址为28:f0:33:1f:22:43,与非法AP连接;合法AP采用如下步骤阻止无线移动终端B连接到非法AP:
1.合法AP发送CTS-to-Self控制包,禁止无线移动终端A在50ms内向合法AP发送数据,
2.合法AP从信道36切换到非法AP所在信道44,在非法信道监听是否有无线移动终端接入了非法AP,如果有无线移动终端接入非法AP,合法AP根据无线移动终端MAC地址,非法AP的MAC地址仿造无线移动终端的deauthentication 管理包,然后发送给非法AP, 非法AP收到后会断开连接。deauthentication 管理包mac地址排列如图3。合法AP根据无线移动终端的MAC地址,非法AP的MAC地址仿造非法AP的deauthentication 管理包向无线移动终端发送,无线移动终端接收到该管理包后,会主动断开连接,deauthentication 管理包MAC地址排列如图3。
3.如果没有非法AP,或无线移动终端没有接入非法AP, 扫描下一信道。
4.持续2,3步骤50ms,然后切换回合法AP所在的原始信道, 为无线移动终端A提供数据收发服务。
5.每隔1秒重复1~4步骤,以免无线移动终端重新连接到非法AP。
本领域的技术人员应理解,上述描述及附图中所示的本发明的实施例只作为举例而并不限制本发明。本发明的目的已经完整有效地实现。本发明的功能及结构原理已在实施例中展示和说明,在没有背离所述原理下,本发明的实施方式可以有任何变形或修改。