2.2 测试结果
我们用开源IDS系统WIDZ来进行入侵检测,用非授权用户对网络进行攻击(伪造MAC地址),记录的检测告警信息如下:
Alert NON whitelist mac essid Wireless_packet_type Beacon mac1 ffffffffffff
mac2 0030ab1b9bcc mac3 0030ab1b9bcc mac4 OO0000000000
Alert NON whitelist mac essid Wireless_packet_type Probe Request mac1
ffffffffffff mac2 00904b063d74 mac3 ffffffffffff mac4 OOOOOOOOOOOO
Alert NON whitelist mac essid Wireless_packet_type Probe Response mac1
00904b063d74 mac2 0030ab1b9bcc mac3 0030ab1b9bcc mac4 OOOOOO000000
A1ert NON whitelist mac essid packet_type Authentication mac1 0030ab1b9bcc
mac2 00904b063d74 mac3 0030ab1b9bcc mac4 OOOOO0000000
Alert NON whitelist mac essid Wireless_packet_type Association Request mac1
0030ab1b9bcc mac2 00904b063d74 mac3 0030ab1b9bcc mac4 000000000000
Alert NON whitelist mac essid packet_type NULL Function mac1 0030ab1b9bcc
mac2 00904b063d74 mac3 0030ab1b9bcc mac4 000857697265
可见,已经识别出未在ACL表中列出的合法设备的MAC地址,即可能是假冒设备。剩下事情就是查找该设备并断开它。
3、结论
无线网络由于其传输媒介的特殊性以及802.11标准本身的缺陷,具有很多安全问题,本文中,我们从技术角度剖析了无线网络中特有的假冒攻击问题,提出了解决方法,并给出了一个保证无线网络安全的入侵检测方案。当然,无线网络中的安全威胁很多,这有待于我们更进一步的研究。
参考文献:
[1] Draft-ietf-idwg-requirements-10.txt.Intrusion Detection Message Exchange Requirements[EB/OL].[2006-02-25].http://iet-freport.isoc.org/a11-ids/draft-ietf-idwg-re-quirements-1O.txt
[2] STEFAN A. Intrusion Detection Systems:A Survey and Taxonomy[EB/OL].[2006-02-26].http://www.mnlab.cs.depaul.edu/seminar/spr2003/IDSSurvey.pdf.
[3] MAZDA S,JULIE H. Intrusion Detection in 802.11 Wireless Local Area Networks[EB/OL].[2006-03-02].http://www.ottawa.drdc-rddc.gc.ca/docs/e/TM2004-120.pdf.
[4] ANAND D. Rogue Detection and Blocking [EB/OL].[2006-03-05].http://www.adventnet.com.
[5] 蒋见春,冯登国.网络入侵检测原理与技术[M].北京:国防工业出版社,2001.
[6] 唐正军 网络入侵检测系统的设计与实现[M].北京:电子工业出版社,2002.
