wifi嗅探有什么作用_无线 *** 嗅探攻防

hacker|
217

*** 嗅探器在 *** 管理和 *** 安全方面的作用

*** 嗅探器的功能主要是:通过捕获和分析 *** 上传输的数据来监视 *** 数据运行。

利用它能够随时掌握 *** 的实际状况,查找 *** 漏洞和检测 *** 性能;当 *** 性能急剧下降的时候,可以通过嗅探器分析 *** 流量,找出 *** 阻塞的来源。

嗅探技术是一种重要的 *** 安全攻防技术, *** 嗅探器是构成入侵检测系统和 *** 管理工具的基石。

无线 *** 面临哪些安全威胁

 无线 *** 安全并不是一个独立的问题,企业需要认识到应该在几条战线上对付攻击者,但有许多威胁是无线 *** 所独有的,下面是学习啦小编整理的一些关于无线 *** 存在的威胁的相关资料,供你参考。

企业无线 *** 所面临的安全威胁

1、插入攻击

插入攻击以部署非授权的设备或创建新的无线 *** 为基础,这种部署或创建往往没有经过安全过程或安全检查。可对接入点进行配置,要求客户端接入时输入口令。如果没有口令,入侵者就可以通过启用一个无线客户端与接入点通信,从而连接到内部 *** 。但有些接入点要求的所有客户端的访问口令竟然完全相同。这是很危险的。

2、漫游攻击者

攻击者没有必要在物理上位于企业建筑物内部,他们可以使用 *** 扫描器,如Netstumbler等工具。可以在移动的交通工具上用笔记本电脑或其它移动设备嗅探出无线 *** ,这种活动称为“wardriving ” ; 走在大街上或通过企业网站执行同样的任务,这称为“warwalking”。

3、欺诈性接入点

所谓欺诈性接入点是指在未获得无线 *** 所有者的许可或知晓的情况下,就设置或存在的接入点。一些雇员有时安装欺诈性接入点,其目的是为了避开公司已安装的安全手段,创建隐蔽的无线 *** 。这种秘密 *** 虽然基本上无害,但它却可以构造出一个无保护措施的 *** ,并进而充当了入侵者进入企业 *** 的开放门户。

4、双面恶魔攻击

这种攻击有时也被称为“无线钓鱼”,双面恶魔其实就是一个以邻近的 *** 名称隐藏起来的欺诈性接入点。双面恶魔等待着一些盲目信任的用户进入错误的接入点,然后窃取个别 *** 的数据或攻击计算机。

5、窃取 *** 资

有些用户喜欢从邻近的无线 *** 访问互联网,即使他们没有什么恶意企图,但仍会占用大量的 *** 带宽,严重影响 *** 性能。而更多的不速之客会利用这种连接从公司范围内发送邮件,或下载盗版内容,这会产生一些法律问题。

6、对无线通信的劫持和监视

正如在有线 *** 中一样,劫持和监视通过无线 *** 的 *** 通信是完全可能的。它包括两种情况,一是无线数据包分析,即熟练的攻击者用类似于有线 *** 的技术捕获无线通信。其中有许多工具可以捕获连接会话的最初部分,而其数据一般会包含用户名和口令。攻击者然后就可以用所捕获的信息来冒称一个合法用户,并劫持用户会话和执行一些非授权的命令等。第二种情况是广播包监视,这种监视依赖于集线器,所以很少见。

当然,还有其它一些威胁,如客户端对客户端的攻击(包括拒绝服务攻击)、干扰、对加密系统的攻击、错误的配置等,这都属于可给无线 *** 带来风险的因素。

(1)加密密文频繁被破早已不再安全

曾几何时无线通讯最牢靠的安全方式就是针对无线通讯数据进行加密,加密方式种类也很多,从最基本的WEP加密到WPA加密。然而这些加密方式被陆续破解,首先是WEP加密技术被黑客在几分钟内破解;继而在11月国外研究员将WPA加密方式中TKIP算法逆向还原出明文。

WEP与WPA加密都被破解,这样就使得无线通讯只能够通过自己建立Radius验证服务器或使用WPA2来提高通讯安全了。不过WPA2并不是所有设备都支持的。

(2)无线数据sniffer让无线通讯毫无隐私

另一个让用户最不放心的就是由于无线通讯的灵活性,只要有信号的地方入侵者就一定可以通过专业无线数据sniffer类工具嗅探出无线通讯数据包的内容,不管是加密的还是没有加密的,借助其他手段都可以查看到具体的通讯数据内容。像隐藏SSID信息,修改信号发射频段等 *** 在无线数据sniffer工具面前都无济于事。

然而从根本上杜绝无线sniffer又不太现实,毕竟信号覆盖范围广泛是无线 *** 的一大特色。所以说无线数据sniffer让无线通讯毫无隐私是其先天不安全的一个主要体现。

(3)修改MAC地址让过滤功能形同虚设

虽然无线 *** 应用方面提供了诸如MAC地址过滤的功能,很多用户也确实使用该功能保护无线 *** 安全,但是由于MAC地址是可以随意修改的,通过注册表或网卡属性都可以伪造MAC地址信息。所以当通过无线数据sniffer工具查找到有访问权限MAC地址通讯信息后,就可以将非法入侵主机的MAC地址进行伪造,从而让MAC地址过滤功能形同虚设。

*** 嗅探攻击是什么意思 [转]

Sniffer 是利用计算机的 *** 接口截获目的地为其它计算机的数据报文的一种工具。嗅探器最早是为 *** 管理人员配备的工具,有了嗅探器 *** 管理员可以随时掌握 *** 的实际情况,查找 *** 漏洞和检测 *** 性能,当 *** 性能急剧下降的时候,可以通过嗅探器分析 *** 流量,找出 *** 阻塞的来源。嗅探器也是很多程序人员在编写 *** 程序时抓包测试的工具,因为我们知道 *** 程序都是以数据包的形式在 *** 中进行传输的,因此难免有协议头定义不对的。 了解了嗅探器的基本用法,那它跟我们的 *** 安全有什么关系? 任何东西都有它的两面性,在黑客的手中,嗅探器就变成了一个黑客利器,上面我们已经提到了arp欺骗,这里再详细讲解arp欺骗的基本原理,实现 *** ,防范方式,因为很多攻击方式都要涉及到arp欺骗,如会话劫持和ip欺骗。首先要把 *** 置于混杂模式,再通过欺骗抓包的方式来获取目标主机的pass包,当然得在同一个交换环境下,也就是要先取得目标服务器的同一网段的一台服务器。 Arp是什么?arp是一种将ip转化成以ip对应的网卡的物理地址的一种协议,或者说ARP协议是一种将ip地址转化成MAC地址的一种协议,它靠维持在内存中保存的一张表来使ip得以在 *** 上被目标机器应答。ARP就是IP地址与物理之间的转换,当你在传送数据时,IP包里就有源IP地址、源MAC地址、目标IP地址,如果在ARP表中有相对应的MAC地址,那么它就直接访问,反之,它就要广播出去,对方的IP地址和你发出的目标IP地址相同,那么对方就会发一个MAC地址给源主机。而ARP欺骗就在此处开始,侵略者若接听到你发送的IP地址,那么,它就可以仿冒目标主机的IP地址,然后返回自己主机的MAC地址给源主机。因为源主机发送的IP包没有包括目标主机的MAC地址,而ARP表里面又没有目标IP地址和目标MAC地址的对应表。所以,容易产生ARP欺骗。例如:我们假设有三台主机A,B,C位于同一个交换式局域网中,监听者处于主机A,而主机B,C正在通信。现在A希望能嗅探到B-C的数据, 于是A就可以伪装成C对B做ARP欺骗——向B发送伪造的ARP应答包,应答包中IP地址为C的IP地址而MAC地址为A的MAC地址。 这个应答包会刷新B的ARP缓存,让B认为A就是C,说详细点,就是让B认为C的IP地址映射到的MAC地址为主机A的MAC地址。 这样,B想要发送给C的数据实际上却发送给了A,就达到了嗅探的目的。我们在嗅探到数据后,还必须将此数据转发给C, 这样就可以保证B,C的通信不被中断。

以上就是基于ARP欺骗的嗅探基本原理,在这种嗅探 *** 中,嗅探者A实际上是插入到了B-C中, B的数据先发送给了A,然后再由A转发给C,其数据传输关系如下所示: B-----A-----C B----A------C 当然黑洞在进行欺骗的时候还需要进行抓包和对包进行过虑得到他们想要的信息,如用户名、口令等。虽然 *** 中的数据包是以二进制的方式进行传输的,但嗅探器的抓包和重组还有过滤等都为他们做了这一切。 *** 嗅探有三种方式,一种是mac洪水,即攻击者向交换机发送大量的虚假mac地址数据,交换机在应接不暇的情况下就象一台普通的hub那样只是简单的向所有端口广播数据了,这时嗅探者就可以借机进行窃听,但如果交换机使用静态地址映射表的话,这种 *** 就不行了。第二种方式是mac地址复制,即修改本地的mac地址,使其与欲嗅探主机的mac地址相同,这样交换机将会发现有两个端口对应相同的mac地址,于是到该mac地址的数据包同时从这两个端口中发出去。

华为路由器隐藏WIFI信号防止蹭网的 ***

现在伴随 无线 *** 的快速普及,大家对“蹭网”一词不再陌生,可是对“被蹭网”的威胁却不甚了解,致使家里的WiFi *** 有 *** 扰, *** 资源被侵占,更有可能造成个人信息泄露等风险发生。那么我下面就来分享几个可以快速让自己的华为路由器WiFi *** 变得更为安全的小 *** ,来防止自己的无线 *** 被蹭吧。

华为路由器隐藏你的WIFI信号的 ***

在无线路由器的“无线设置”界面中即可找到SSID广播的选项,一般来说,无线路由器都是默认开启SSID广播功能的,而有安全需求的用户可以将其关闭,让自己组建的无线 *** 不显示在他人的无线搜索名单中。

隐藏无线 *** 名称后,无线终端设备在加入这个无线 *** 的时候必须手动输入正确的无线 *** 名称才行,这样就在一定程度上增强了无线 *** 的安全性。当然这个 *** 并不能阻止黑客高手的无线嗅探,但对于一般蹭网者来说,还是有一定功效的。

如何防止别人蹭网或者偷网呢?蹭网不但会影响你的上网速度,甚至会泄漏你的个人隐私。因此对于wifi使用者来说,光给无线路由器设置密码是不够的,要彻底的阻止偷网,更好还是要能够把路由器设置成隐藏,让别人搜索不到你的无线信号。如图,进入WEB设置页面,启动广播隐藏即可。

设置完后,点击保存并且重启即可。这样一来搜索无线 *** 是看不到你的信号的,只有添加账号信息和密码才能上网。是不是很简单呢?

路由器wifi防止蹭网的其他 ***

1、无线路由器不设防的风险

现在一些具有 *** 分享精神的网友们认为只要不影响自己的使用,蹭网者又不进行迅雷、 *** 等P2P下载,只是上上网,看个视频电影啥的,对自己的 *** 体验应该无伤大雅,因此将自己的无线路由器不设防,任其暴露在风险之中。

其实这是一个很大的认识误区,从 *** 安全方面来看,不加密的无线 *** 将随时可能成为一些不法之徒的俎上之肉。因为当无线路由器不进行加密,其搭建的无线 *** 可被随意连接。可是如果你是 *** 新手,还在使用默认的路由器管理密码(如admin)的话,任何接入的蹭网者都能轻松地进入无线路由器的管理后台,进行路由配置上修改。

路由器管理密码仍采用admin是有被侵入风险的

一旦出现这种情况,恶意蹭网者将有机会利用DNS欺骗、会话劫持等 *** ,把用户引入搭设好的钓鱼网站,伺机盗取用户个人信息,并最终窃取用户的财产。

即使不考虑产生的安全性问题,单从资源占用方面看,在多人用网时,由于上网目的不同,占用的带宽资源也会不同,而如果没有足够的带宽进行分配的话,想获得流畅的 *** 体验怕是无从保证的。

一般来说,蹭网是以免费上网为目的,私自接入周围环境中没有设置无线密码的WiFi *** ,或通过解除软件等黑客手法强行接入已加密无线 *** 的一种侵权行为。虽然我国目前已有多个城市的无线电管理部门将蹭网行为定性为违法行为,但由于在监管、取证等方面中都存在着取证难度,相关的法律法规都处在难于执行的阶段。因此,如果想保护自己的 *** 权益,防止无线 *** 被蹭的话,还是需要用户自己掌握更为有效的防范 措施 。

2、弃用简单密码 选高强度加密模式

弃用简单密码 选高强度加密模式

那么在知道了无线路由器不设防的风险后,我们该如何简单快速地建立安全机制,防止无线 *** 被蹭呢?首当其冲的就是为自己的无线路由器设定可靠的无线密码了。在今年年初,有国外安全研究公司曾做过被盗用的密码分析,结果显示“123456”已取代“password”成为最常见的不安全密码。

此外,在2013年其他排名前10的不安全密码还包括“qwerty”、“abc123”、“111111”和“iloveyou”等等。使用安全性较弱的密码无疑令恶意解除变得简单轻松,同样还是会为自己的无线 *** 带来被蹭的风险。

因此,建议大家使用8位或更多位的无线密码,其中可以包括通过混合英文字母的大小写,数字和像下划线等的各种类型字符。当然为了记忆方便,可以将设置的复杂密码写在无线路由器的底部铭牌上防止遗忘。

在加密模式方面,目前的无线路由器中都支持WEP、WAP、WPA2等多种加密方式,而被业界认为最安全的加密方式就是其中的WPA2加密方式。WPA2加密是WPA(WiFi Protected Access,WiFi保护访问)加密的升级版,是目前最新的一种无线加密方式,由于WPA2实现了802.11i的强制性元素,是已被WiFi联盟验证过的最新安全加密方式,并支持安全性很高的高级加密标准AES加密算法。

建议选择使用“WPA2-PSK [AES]”模式加密

但据悉WPA2加密也早在2010年就已被国外黑客高手成功解除过,可是对于一般蹭网者来说,其解除的代价是巨大的,解除时间可能需要几天或者几个星期,甚至是一个无终止的时间。因此就目前来说,还是建议大家选择使用“WPA2-PSK [AES]”模式加密,或“WPA-PSK [TKIP] + WPA2-PSK [AES]”的混合模式加密,而无线密码当然是越复杂越安全了。

对于一般家庭来说,选择WPA2用户级认证方式即可。

而WPA2-PSK中的PSK是Pre-Shared Key(预共用密钥模式)的缩写,又可称为“WPA2-Personal”,即“WPA2-个人模式”,是设计给负担不起802.1X验证服务器的成本和复杂度的家庭和小型公司 *** 加密使用的,所以大家在一些无线路由器的加密过程中会看到有“WPA2个人”或“WPA2用户级”等叫法。而与之对应的是支持企业级加密的Radius密钥,它可利用RADIUS服务器进行认证,并可以动态选择TKIP、AES、WEP方式。对于一般家庭来说,选择WPA2用户级认证方式即可。

WPS一键加密功能的出现,以其简单易用,无需设置那些复杂又冗长的无线加密密码,而一度成为无线用户的首选WiFi加密方案。现在市面上销售的无线路由器产品大多都已经配备了WPS按键,即使没有硬件上的实体按键,也在路由器的配置中设计了软件上的WPS加密功能。那么WPS加密究竟是什么?这种加密方式真的简单安全呢?

无线路由器上的WPS按键

WPS英文全称Wi-Fi Protected Setup,是Wi-Fi保护设置的意思。为了简化无线 *** 加密,以及加速无线 *** 设置,在2006年由WiFi联盟发起并实施了WPS加密的可选安全认证项目。可以说,WPS加密是面向家庭用户推出的一种快速无线加密方案。

在WPS一键加密功能采用普及之前,用户需要手动添加 *** 名称(SSID)并设计键入冗长的无线加密密码,过程相对来说是繁琐不便的。而WPS一键加密功能的推出,则可以帮助用户自动配置 *** 名称,生成随机的无线加密密钥,并完成无线 *** 的接入过程。

3、WPS加密可分为PBC和PIN码两种方式

由于WPS加密有两种使用方式,一种是PBC(Push Button Configuration,按键设置),另一种是PIN码。对于有实体WPS按键的无线产品,只需在有效时间内按下无线路由器和无线网卡上的WPS按键,即可轻松完成无线 *** 连接。没有的话,在路由器的配置中也可通过PBC,点击虚拟的按键,或输入随机生成的PIN码,来完成无线连接。

可是正当用户在享用WPS一键加密带来的便捷之时,2011年底却曝出了WPS加密方式可以被暴力穷举的 *** 解除的消息。美国计算机应急准备小组的专家称利用该漏洞可以轻易地在1-2小时内解除WPS使用的PIN码。

而随后教人如何利用WPS加密漏洞快速解除WPA/WPA2加密 *** 的 *** ,便出现在互联网上,但广大无线用户对此漏洞却尚未知晓,从而引发了很大的安全威胁。

对于默认使用WPS加密的无线产品,建议手动禁用它

因此建议对无线安全有更强需求的用户,及时地禁用WPS加密这项功能,并采用相对安全的手动设置WPA2加密方式来进行无线密码的设置,以消除遭受攻击或侵入的可能性。

4、设置MAC地址过滤 隐藏无线 *** 名称

设置MAC地址过滤 隐藏无线 *** 名称

那么为了防止无线 *** 被蹭,还有什么样的安全小秘籍可以掌握呢?比较好用的设置MAC地址过滤和隐藏无线 *** 名称两个 *** ,下面就分别为大家介绍下。

设置MAC地址过滤

为了 *** 识别和查找的方便,设备厂商为他们生产的电子设备都设定了专属于的MAC(Media Access Control,介质访问控制)地址加以区分。可是说,MAC地址是底层 *** 来识别和寻找目标终端的唯一标示。有了MAC地址,就可保证所有接入无线 *** 的终端都有唯一的不同的ID,而MAC地址过滤技术正是基于这个理论而产生的。

那么我们如何查看自己设备的MAC地址呢?像手机等移动终端,用户可以在“设定”中的“关于设备”中找到。而对于PC、 笔记本 电脑等,则可以通过键入简单命令行而获得。下面以PC为例,在电脑菜单上依次单击“开始”菜单→“运行”→输入“cmd”→回车,随后在出现的命令提示符界面中输“ipconfig /all”→回车,就可以看到这台PC电脑的MAC地址了,如下图所示。

PC的MAC地址

之后在无线路由器的配置中,通过设置“高级 - MAC过滤”,来启用MAC过滤功能,然后键入上图的电脑的MAC地址即可,而其他未经键入的设备就无法接入你的无线路由器了,相当简单方便。

启用MAC过滤功能,键入上图的电脑的MAC地址即可

隐藏无线 *** 名称

作为用户搜索无线 *** 信号时标明身份的标识符,无线 *** 名称(Service Set Identifier,SSID)是最为简单的识别标志。而一般设备默认将使用品牌名加上型号来作为SSID,这就为蹭网者提供了可乘之机,因此建议用户修改SSID并将它隐藏起来。具 体操 作如下图:

关闭SSID广播

总结 :无线安全需多重防护

通过上面介绍的无线安全小技巧,希望为大家带来简单便捷的加密 *** ,如果仅仅使用单一的加密 *** ,防护功效往往都是有限的,因此从多角度进行全方位的WiFi加密才是有效地防止无线 *** 被蹭的好 *** 。同时建议大家禁用WPS功能,而采用手动设置WPA2加密的方式,更好再选用复杂的密码组合。当然无线路由器的覆盖范围终究是有限的,对于那些身处地广人稀的朋友,可能就不必过于担心自己无线 *** 的安全问题了。

华为路由器隐藏你的WIFI信号的相关 文章 :

1. 华为无线路由器怎么隐藏wifi名称

2. 如何设置华为路由器隐藏wifi

3. 华为路由器隐藏wifi怎么设置

4. 华为路由器怎么判断有没有被蹭网

无线 *** 安全防护措施有哪些

针对 *** 安全中的各种问题,我们应该怎样去解决,这里就告诉我们一个真理,要从安全方面入手,这才是解决问题的关键。公司无线 *** 的一个突出的问题是安全性。随着越来越多的企业部署无线 *** ,从而将雇员、专业的合伙人、一般公众连接到公司的系统和互联网。人们对增强无线 *** 安全的需要变得日益迫切。幸运的是,随着越来越多的公司也越来越清楚无线 *** 面临的威胁和对付这些威胁的 *** ,有线 *** 和无线 *** 面临的威胁差距越来越小。无线 *** 威胁无线 *** 安全并不是一个独立的问题,企业需要认识到应该在几条战线上对付攻击者,但有许多威胁是无线 *** 所独有的,这包括:1、插入攻击:插入攻击以部署非授权的设备或创建新的无线 *** 为基础,这种部署或创建往往没有经过安全过程或安全检查。可对接入点进行配置,要求客户端接入时输入口令。如果没有口令,入侵者就可以通过启用一个无线客户端与接入点通信,从而连接到内部 *** 。但有些接入点要求的所有客户端的访问口令竟然完全相同。这是很危险的。2、漫游攻击者:攻击者没有必要在物理上位于企业建筑物内部,他们可以使用 *** 扫描器,如Netstumbler等工具。可以在移动的交通工具上用笔记本电脑或其它移动设备嗅探出无线 *** ,这种活动称为“wardriving ” ; 走在大街上或通过企业网站执行同样的任务,这称为“warwalking”。3、欺诈性接入点:所谓欺诈性接入点是指在未获得无线 *** 所有者的许可或知晓的情况下,就设置或存在的接入点。一些雇员有时安装欺诈性接入点,其目的是为了避开公司已安装的安全手段,创建隐蔽的无线 *** 。这种秘密 *** 虽然基本上无害,但它却可以构造出一个无保护措施的 *** ,并进而充当了入侵者进入企业 *** 的开放门户。当然,还有其它一些威胁,如客户端对客户端的攻击(包括拒绝服务攻击)、干扰、对加密系统的攻击、错误的配置等,这都属于可给无线 *** 带来风险的因素。实现无线 *** 安全的三大途径和六大 *** 关于封闭 *** ,如一些家用 *** 和单位的 *** ,最常见的 *** 是在 *** 接入中配置接入限制。这种限制可包括加密和对MAC地址的检查。正因为无线 *** 为攻击者提供了许多进入并危害企业 *** 的机会,所以也就有许多安全工具和技术可以帮助企业保护其 *** 的安全性:具体来说,有如下几种保护 *** :1、防火墙:一个强健的防火墙 可以有效地阻止入侵者通过无线设备进入企业 *** 的企图。2、安全标准:最早的安全标准WEP已经被证明是极端不安全的,并易于受到安全攻击。而更新的规范,如WPA、WPA2及IEEE802.11i是更加强健的安全工具。采用无线 *** 的企业应当充分利用这两种技术中的某一种。3、加密和身份验证:WPA、WPA2及IEEE802.11i支持内置的高级加密和身份验证技术。WPA2和802.11i都提供了对AES(高级加密标准)的支持,这项规范已为许多 *** 机构所采用。4、漏洞扫描:许多攻击者利用 *** 扫描器不断地发送探查邻近接入点的消息,如探查其SSID、MAC等信息。而企业可以利用同样的 *** 来找出其无线 *** 中可被攻击者利用的漏洞,如可以找出一些不安全的接入点等。5、降低功率:一些无线路由器 和接入点准许用户降低发射器的功率,从而减少设备的覆盖范围。这是一个限制非法用户访问的实用 *** 。同时,仔细地调整天线的位置也可有助于防止信号落于贼手。6、教育用户:企业要教育雇员正确使用无线设备,要求雇员报告其检测到或发现的任何不正常或可疑的活动。

无线局域网中的安全措施

摘要:由于在现在局域网建网的地域越来越复杂,很多地方应用了无线技术来建设局域网,但是由于 无线 *** 应用电磁波作为传输媒介,因此安全问题就显得尤为突出。本文通过对危害无线局域网的一些因素的叙述,给出了一些应对的安全 措施 ,以保证无线局域网能够安全,正常的运行。

关键字:WLAN,WEP,SSID,DHCP,安全措施

1、 引言

WLAN是Wireless LAN的简称,即无线局域网。所谓无线 *** ,顾名思义就是利用无线电波作为传输媒介而构成的信息 *** ,由于WLAN产品不需要铺设通信电缆,可以灵活机动地应付各种 *** 环境的设置变化。WIAN技术为用户提供更好的移动性、灵活性和扩展性,在难以重新布线的区域提供快速而经济有效的局域网接入,无线网桥可用于为远程站点和用户提供局域网接入。但是,当用户对WLAN的期望日益升高时,其安全问题随着应用的深入表露无遗,并成为制约WLAN发展的主要瓶颈。[1]

2、 威胁无线局域网的因素

首先应该被考虑的问题是,由于WLAN是以无线电波作为上网的传输媒介,因此无线 *** 存在着难以限制 *** 资源的物理访问,无线 *** 信号可以传播到预期的方位以外的地域,具体情况要根据建筑材料和环境而定,这样就使得在 *** 覆盖范围内都成为了WLAN的接入点,给入侵者有机可乘,可以在预期范围以外的地方访问WLAN,窃听 *** 中的数据,有机会入侵WLAN应用各种攻击手段对无线 *** 进行攻击,当然是在入侵者拥有了 *** 访问权以后。

其次,由于WLAN还是符合所有 *** 协议的计算机 *** ,所以计算机病毒一类的 *** 威胁因素同样也威胁着所有WLAN内的计算机,甚至会产生比普通 *** 更加严重的后果。

因此,WLAN中存在的安全威胁因素主要是:窃听、截取或者修改传输数据、置信攻击、拒绝服务等等。

IEEE 802.1x认证协议发明者VipinJain接受媒体采访时表示:“谈到无线 *** ,企业的IT经理人最担心两件事:首先,市面上的标准与安全解决方案太多,使得用户无所适从;第二,如何避免 *** 遭到入侵或攻击?无线媒体是一个共享的媒介,不会受限于建筑物实体界线,因此有人要入侵 *** 可以说十分容易。”[1]因此WLAN的安全措施还是任重而道远。

3、无线局域网的安全措施

3.1采用无线加密协议防止未授权用户

保护无线 *** 安全的最基本手段是加密,通过简单的设置AP和无线网卡等设备,就可以启用WEP加密。无线加密协议(WEP)是对无线 *** 上的流量进行加密的一种标准 *** 。许多无线设备商为了方便安装产品,交付设备时关闭了WEP功能。但一旦采用这种做法,黑客就能利用无线嗅探器直接读取数据。建议经常对WEP密钥进行更换,有条件的情况下启用独立的认证服务为WEP自动分配密钥。另外一个必须注意问题就是用于标识每个无线 *** 的服务者身份(SSID),在部署无线 *** 的时候一定要将出厂时的缺省SSID更换为自定义的SSID。现在的AP大部分都支持屏蔽SSID广播,除非有特殊理由,否则应该禁用SSID广播,这样可以减少无线 *** 被发现的可能。[2]

但是目前IEEE 802.11标准中的WEP安全解决方案,在15分钟内就可被攻破,已被广泛证实不安全。所以如果采用支持128位的WEP,解除128位的WEP的是相当困难的,同时也要定期的更改WEP,保证无线局域网的安全。如果设备提供了动态WEP功能,更好应用动态WEP,值得我们庆幸的,Windows XP本身就提供了这种支持,您可以选中WEP选项“自动为我提供这个密钥”。同时,应该使用IPSec,,SSH或其他

WEP的替代 *** 。不要仅使用WEP来保护数据。

3.2 改变服务集标识符并且禁止SSID广播

SSID是无线接人的身份标识符,用户用它来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的,并且每个厂商都用自己的缺省值。例如,3COM 的设备都用“101”。因此,知道这些标识符的黑客可以很容易不经过授权就享受你的无线服务。你需要给你的每个无线接入点设置一个唯一并且难以推测的 SSID。如果可能的话。还应该禁止你的SSID向外广播。这样,你的无线 *** 就不能够通过广播的方式来吸纳更多用户.当然这并不是说你的 *** 不可用.只是它不会出现在可使用 *** 的名单中。[3]

3.3 静态IP与MAC地址绑定

无线路由器或AP在分配IP地址时,通常是默认使用DHCP即动态IP地址分配,这对无线 *** 来说是有安全隐患的,“不法”分子只要找到了无线 *** ,很容易就可以通过DHCP而得到一个合法的IP地址,由此就进入了局域 *** 中。因此,建议关闭DHCP服务,为家里的每台电脑分配固定的静态IP地址,然后再把这个IP地址与该电脑网卡的MAC地址进行绑定,这样就能大大提升 *** 的安全性。“不法”分子不易得到合法的IP地址,即使得到了,因为还要验证绑定的MAC地址,相当于两重关卡。[4]设置 *** 如下:

首先,在无线路由器或AP的设置中关闭“DHCP服务器”。然后激活“固定DHCP”功能,把各电脑的“名称”(即Windows系统属陆里的“计算机描述”),以后要固定使用的IP地址,其网卡的MAC地址都如实填写好,最后点“执行”就可以了。

3.4 技术在无线 *** 中的应用

对于高安全要求或大型的无线 *** ,方案是一个更好的选择。因为在大型无线 *** 中维护工作站和AP的WEP加密密钥、AP的MAC地址列表都是非常艰巨的管理任务。

对于无线商用 *** ,基于的解决方案是当今WEP机制和MAC地址过滤机制的更佳替代者。方案已经广泛应用于Internet远程用户的安全接入。在远程用户接入的应用中,在不可信的 *** (Internet)上提供一条安全、专用的通道或者隧道。各种隧道协议,包括点对点的隧道协议和第二层隧道协议都可以与标准的、集中的认证协议一起使用。同样,技术可以应用在无线的安全接入上,在这个应用中,不可信的 *** 是无线 *** 。AP可以被定义成无WEP机制的开放式接入(各AP仍应定义成采用SSID机制把无线 *** 分割成多个无线服务子网),但是无线接入 *** VLAN (AP和服务器之问的线路)从局域网已经被服务器和内部 *** 隔离出来。服务器提供 *** 的认征和加密,并允当局域网 *** 内部。与WEP机制和MAC地址过滤接入不同,方案具有较强的扩充、升级性能,可应用于大规模的无线 *** 。

3.5 无线入侵检测系统

无线入侵检测系统同传统的入侵检测系统类似,但无线入侵检测系统增加了无线局域网的检测和对破坏系统反应的特性。侵入窃密检测软件对于阻拦双面恶魔攻击来说,是必须采取的一种措施。如今入侵检测系统已用于无线局域网。来监视分析用户的活动,判断入侵事件的类型,检测非法的 *** 行为,对异常的 *** 流量进行报警。无线入侵检测系统不但能找出入侵者,还能加强策略。通过使用强有力的策略,会使无线局域网更安全。无线入侵检测系统还能检测到MAC地址欺骗。他是通过一种顺序分析,找出那些伪装WAP的无线上网用户无线入侵检测系统可以通过提供商来购买,为了发挥无线入侵检测系统的优良的性能,他们同时还提供无线入侵检测系统的解决方案。[1]

3.6 采用身份验证和授权

当攻击者了解 *** 的SSID、 *** 的MAC地址或甚至WEP密钥等信息时,他们可以尝试建立与AP关联。目前,有3种 *** 在用户建立与无线 *** 的关联前对他们进行身份验证。开放身份验证通常意味着您只需要向AP提供SSID或使用正确的WEP密钥。开放身份验证的问题在于,如果您没有其他的保护或身份验证机制,那么您的无线 *** 将是完全开放的,就像其名称所表示的。共享机密身份验证机制类似于“口令一响应”身份验证系统。在STA与AP共享同一个WEP密钥时使用这一机制。STA向AP发送申请,然后AP发回口令。接着,STA利用口令和加密的响应进行回复。这种 *** 的漏洞在于口令是通过明文传输给STA的,因此如果有人能够同时截取口令和响应,那么他们就可能找到用于加密的密钥。采用其他的身份验证/授权机制。使用 802.1x,或证书对无线 *** 用户进行身份验证和授权。使用客户端证书可以使攻击者几乎无法获得访问权限。

[5]

3.7其他安全措施

除了以上叙述的安全措施手段以外我们还要可以采取一些其他的技术,例如设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容;加强企业内部管理等等的 *** 来加强WLAN的安全性。

4、 结论

无线 *** 应用越来越广泛,但是随之而来的 *** 安全问题也越来越突出,在文中分析了WLAN的不安全因素,针对不安全因素给出了解决的安全措施,有效的防范窃听、截取或者修改传输数据、置信攻击、拒绝服务等等的攻击手段,但是由于现在各个无线 *** 设备生产厂商生产的设备的功能不一样,所以现在在本文中介绍的一些安全措施也许在不同的设备上会有些不一样,但是安全措施的思路是正确的,能够保证无线 *** 内的用户的信息和传输消息的安全性和保密性,有效地维护无线局域网的安全。

参考文献

[1]李园,王燕鸿,张钺伟,顾伟伟.无线 *** 安全性威胁及应对措施[J].现代电子技术.2007, (5):91-94.

[2]王秋华,章坚武.浅析无线 *** 实施的安全措施[J].中国科技信息.2005, (17):18.

[3]边锋.不得不说无线 *** 安全六种简单技巧[J].计算机与 *** .2006, (20):6.

[4]冷月.无线 *** 保卫战[J].计算机应用文摘.2006,(26):79-81.

[5]宋涛.无线局域网的安全措施[J]. 电信交换.2004, (1):22-27.

0条大神的评论

发表评论