隨著無線技術和網絡技術的發展，無線網絡正成為市場熱點，然而隨著黑客技術的提高，無線局域網(WLAN)受到越來越多的威脅。無線網絡不但因為基于傳統有線網絡TCP/IP架構而受到攻擊，還有可能受到基于IEEE 802.11標準本身的安全問題而受到威脅。為了更好地檢測和防御這些潛在的威脅，本文中我們闡述了假冒設備(包括AP和Client)的檢測技術，并給出了如何在基于Infrastructure架構的WLAN中實施入侵檢測策略，防止黑客的攻擊。

1、WLAN的安全問題

來自WLAN的安全威脅很多，如刺探、拒絕服務攻擊、監視攻擊、中間人(MITM)攻擊、從客戶機到客戶機的入侵、Rogue AP，flooding攻擊等，本文中僅研究了對Rogue AP的檢測。Rogue AP是現在WLAN中最大的安全威脅，黑客在WLAN中安放未經授權的AP或客戶機提供對網絡的無限制訪問，通過欺騙得到關鍵數據。無線局域網的用戶在不知情的情況下，以為自己通過很好的信號連入無線局域網，卻不知已遭到黑客的監聽了。隨著低成本和易于配置造成了現在的無線局域網的流行，許多用戶也可以在自己的傳統局域網架設無線基站(WAPS)，隨之而來的一些用戶在網絡上安裝的后門程序，也造成了對黑客開放的不利環境。

1.1　Rogue設備的檢測

通過偵聽無線電波中的數據包來檢測AP的存在，得到所有正在使用的AP，SSID和STA。要完成Rogue AP的檢測，需要在網絡中放置如下部件:①探測器Sensor/Probe，用于隨時監測無線數據;②入侵檢測系統IDS，用于收集探測器傳來的數據，并能判斷哪些是Rogue Device;③網絡管理軟件，用于與有線網絡交流，判斷出Rogue Device接入的交換機端口，并能斷開該端口。

為了發現AP，分布于網絡各處的探測器能完成數據包的捕獲和解析的功能，它們能迅速地發現所有無線設備的操作，并報告給管理員或IDS系統，這種方式稱為RF掃描。某些AP能夠發現相鄰區域的AP，我們只要查看各AP的相鄰AP。當然通過網絡管理軟件，比如SNMP，也可以確定AP接入有線網絡的具體物理地址。

發現AP后，可以根據合法AP認證列表(ACL)判斷該AP是否合法，如果列表中沒有列出該新檢測到的AP的相關參數，那么就是Rogue AP識別每個AP的MAC地址、SSID、Vendor(提供商)、無線媒介類型以及信道。判斷新檢測到AP的MAC地址、SSID、Vendor(提供商)、無線媒介類型或者信道異常，就可以認為是非法AP。

1.2　Rogue Client的檢測

Rogue Client是一種試圖非法進入WLAN或破壞正常無線通信的帶有惡意的無線客戶，管理員只要多注意他們的異常行為，就不難識別假冒客戶。其異常行為的特征主要有:①發送長持續時間(Duration)幀;②持續時間攻擊;③探測“any SSID”設備;④非認證客戶。

如果客戶發送長持續時間/ID的幀，其他的客戶必須要等到指定的持續時間(Duration)后才能使用無線媒介，如果客戶持續不斷地發送這樣的長持續時間幀，這樣就會使其他用戶不能使用無線媒介而一直處于等待狀態。

為了避免網絡沖突，無線節點在一幀的指定時間內可以發送數據，根據802.11幀格式，在幀頭的持續時間/ID域所指定的時間間隔內，為節點保留信道。網絡分配矢量(NAV)存儲該時間間隔值，并跟蹤每個節點。只有當該持續時間值變為O后，其他節點才可能擁有信道。這迫使其他節點在該持續時間內不能擁有信道。如果攻擊者成功持續發送了長持續時間的數據包，其他節點就必須等待很長時間，不能接受服務，從而造成對其他節點的拒絕服務。

如果AP允許客戶以任意SSID接入網絡，這將給攻擊者帶來很大的方便，如果發現有客戶以任意SSID方式連接，就很可能是攻擊者，管理員應該更改AP的設置，禁止以任意SSID方式接入。如果假冒客戶在合法客戶認證列表中出現，可以根據客戶MAC地址和設備供應商標識進行判斷，如果NIC的MAC地址或Vendor標識未在訪問控制列表中，則可能是非法客戶。