专利名称:一种无线局域网安全系统及其方法
技术领域:
本发明涉及通信领域,尤其涉及一种无线局域网的安全系统。
背景技术:
随着无线局域网在各行各业应用的全面展开,针对无线局域网的网络攻击越来越多、防不胜防,无线局域网安全问题关系着无线局域网技术发展的成败。在网络安全技术发展的过程中,有越来越多的网络安全技术出现,经常使用的有防火墙、入侵防御设备、漏洞扫描工具等,但是这些技术只是针对网络攻击的被动防御,无法遏制网络攻击发起者的主动攻击行为。而且_这些技术都有不足之处,所以单纯从技术手段来防止网络犯罪行为是不够的,必须通过法律遏制网络犯罪行为的产生,对网络攻击发起者产生威慑的作用,这样 能更大程度的防止网络犯罪行为的发生。网络取证与分析技术可以搜集网络犯罪证据,利用法律对网络犯罪发起者进行制裁,从而减少网络犯罪事件的发生。网络数据监听就是ー种可以用来进行网络取证的计算机技木。通过监听网络数据可以了解被监听网络的运行状态、数据流向以及传输的网络数据。网络监听技术最早被黑客用应用于获取用户密码,在黑客入侵网络以后,可通过监听该网络的数据获取网络上其他主机的用户密码。经过不断的发展,网络监听技术已被应用变得更加广泛,通过网络监听可以统计被监听网络的流量信息、运行状况、访问信息等。无线局域网开始是作为有线局域网的延伸而存在的,各団体、企事业单位广泛地采用了无线局域网技术来构建其办公网络。随着应用的进ー步发展,无线局域网正逐渐从传统意义上的局域网技术发展成为“公共无线局域网”成为国际互联网带宽接入手段。无线局域网之间传递消息不依赖与物理布线,这无疑给用户带来了极大的方便,但同时也使得无线局域网比传统局域网面临更多的安全威胁。而无线局域网的安全问题,主要表现在如下几个方面
1、WEP密钥的发布问题
2、WEP用户身份认证方法的缺陷
3、WEP服务器集标识SSID和MAC地址过滤
4、wEP加密机制的天生脆弱性
局域网监听是指以局域网内的一台主机为监听目标,在不影响监听目标与其他主机正常通讯的前提下截获该主机与局域网内其他主机通讯的数据包。传统局域网中的网络通讯是采用广播模式进行的,一台主机要与另一台主机进行网络通讯,需将数据包发送给集线器,集线器将数据包发送给连接集线器的每一台主机。数据包中有ロ的主机的IP地址,目的主机收到集线器发送的数据包,如果数据包的目的IP地址与自己相同,则接收该数据包,但如果主机的网卡处于监听模式,则会接收所有集线器发来的数据包,而不进行IP地址比对,因此在传统以太网进行数据监听是很容易的。此外,对于无线网络来说,只要通过支持射频监听模式的无线网卡就可以监听到无线局域网的数据,但是出于无线局域网的安全因素考虑,现有的技术都不支持此功能。
发明内容
本发明要的目的就是克服以上所述提到的问题。为了实现上述发明目的,本发明提出了一种无线局域网安全方法,其包括以下步骤1)将监听客户端植入监听主机节点上,以保证远程控制端可以远程控制监听主机;2)监听客户端被植入监听主机后,运行监听进程,并将监听进程设置成可与windows系统服务同时启动,监听进程运行后会检测安装监听插件的主机上是否有可用的无线网卡,如果无线网卡可用,则检测附近是否有可用无线局域网进行接入,井根据检测反馈的结果进行相应处理;其中据检测反馈的结果进行相应处理包括(I)假如检测不到有可用的无线局域网进行接入,则监听进程程序进入周期检测状态,每隔一定的时间再重新进行检测;(2)假如检测到有可用的无线局域网进行接入,则监听进程将该监听主机设置为检测到无线局域网的监听节点,实现对该无线局域网的监听功能;(3)监听进程运行后,按周期接收由远 程控制端发送的监听设置信息,按照控制端的命令信息对目标主机进行数据监听,远程控制端的命令信息包括进行监听的协议、监听数据文件的格式及存放目录,监听主机把监听获取到的数据转化成预先设置好格式的数据文件,按照远程控制端设置的存放目录进行存放,之后监听主机会通知远程控制端取走监听数据文件;(4)远程控制端得到监听数据文件后进行内容还原分析,还原出被监听主机曾经在无线局域网中传输的数据文件。此外,本发明还提出一种无线局域网安全系统,包括监听控制端系统和监听客户端系统,其中所述监听控制端系统安装在远程控制端上,由监听数据处理模块和控制模块两部分组成,其中监听数据处理模块用于读取监听数据结果文件,分析监听文件获取到的重要数据信息,还原出被监听主机在无线局域网中通讯的数据文件,控制模块用于监听主机上安装监听客户端系统、并与监听主机保持通讯、下达数据监听命令并设置监听參数、取回监听数据文件;监听客户端系统以插件的形式安装在监听主机上,由检测模块和无线局域网监听模块两部分组成,检测模块对监听主机进行检测,查看监听主机上是否配有无线网卡,若监听主机配有无线网卡则继续检测附近是否有可用的无线局域网接入点,并通过无线接入点检测连接该无线局域网的主机,之后将检测得到的主机IP地址发送给监听控制端;若监听主机没有无线网卡,监听客户端将检测结果发回给监听控制端。其中无线局域网监听模块用于接收监听控制端系统中控制模块设置的具体监听參数、并根据监听參数进行对不同协议的数据监听、然后将监听结果按照预先设置的存储格式转化成监听数据文件存于监听主机的目录下,准备与监听控制端系统取得联系,并将监听数据文件交给监听数据处理模块处理。本发明将数据监听技术和信息内容分析还原技术相结合,设计了针对无线局域网的数据监听系统。本监听系统可以进行无线局域网数据的统计、分析,记录无线局域网内发生的网络活动。
图I是本发明的通过无线局域网进行数据监听的系统的示意图。
具体实施方式
下面结合附图来详细地描述本发明的具体实施例。图I示出了一种通过无线局域网进行数据监听的系统。具体工作原理如下
I)首先需将监听客户端植入监听主机节点上,保证远程控制端可以远程控制监听主机。2)监听客户端被植入监听主机后,运行监听进程。并将监听进程设置成可与windows系统服务同时启动。监听进程运行后会检测安装监听插件的主机上是否有可用的无线网卡。如果无线网卡可用,则检测附近是否有可用无线局域网进行接入,井根据检测反馈的结果进行以下处理
(I)假如检测不到有可用的无线局域网进行接入,则监听进程程序进入周期检测状态,每隔一定的时间再重新进行检测。
(2)假如检测到有可用的无线局域网进行接入,则监听进程将该监听主机设置为检测到无线局域网的监听节点,实现对该无线局域网的监听功能。(3)监听进程运行后,按周期接收由远程控制端发送的监听设置信息,按照控制端的命令信息对目标主机进行数据监听。远程控制端的命令信息主要包括进行监听的协议、监听数据文件的格式及存放目录等。监听主机把监听获取到的数据转化成预先设置好格式的数据文件,按照远程控制端设置的存放目录进行存放。之后监听主机会通知远程控制端取走监听数据文件。(4)远程控制端得到监听数据文件后进行内容还原分析,还原出被监听主机曾经在无线局域网中传输的数据文件。图为本监听系统的框架图,无线局域网数据监听系统由监听控制端系统和监听客户端系统两部分組成。监听控制端系统安装在远程控制端上,由监听数据处理模块和控制模块两部分组成,其中监听数据处理模块的功能是读取监听数据结果文件,分析监听文件获取到的重要数据信息,还原出被监听主机在无线局域网中通讯的数据文件。控制模块的功能是在监听主机上安装监听客户端系统、并与监听主机保持通讯、下达数据监听命令并设置监听參数、取回监听数据文件等。监听客户端系统以插件的形式安装在监听主机上,由检测模块和无线局域网监听模块两部分组成。检测模块对监听主机进行检测,查看监听主机上是否配有无线网卡,若监听主机配有无线网卡则继续检测附近是否有可用的无线局域网接入点,并通过无线接入点检测连接该无线局域网的主机,之后将检测得到的主机IP地址发送给监听控制端;若监听主机没有无线网卡,监听客户端将检测结果发回给监听控制端。无线局域网监听模块用于接收监听控制端系统中控制模块设置的具体监听參数、并根据监听參数进行对不同协议的数据监听、然后将监听结果按照预先设置的存储格式转化成监听数据文件存于监听主机的目录下,准备与监听控制端系统取得联系,并将监听数据文件交给监听数据处理模块处理。本发明的监听系统通常由监听控制系统、监听客户端系统构成。监听控制端系统包括控制模块和监听数据处理模块,监听客户端系统包括检测模块和无线局域网监听模块以及通信模块。其中控制模块用于控制监听主机,将监听客户端系统植入监听主机。控制模块将监听客户端安装到监听主机上,并运行监听进程。与监听客户端系统的检测模块保持通信,接收检测模块发送的检测结果信息并发送控制信息给检测模块,检测模块根据控制信息检测出接入无线局域网的计算机。并且下达监听命令给监听客户端,控制模块得到接入无线局域网的计算机的具体信息后,选择计算机进行监听,井根据使用者的需求配置要监听的通信协议,同时确定监听数据文件的存放目录及格式。取回数据监听結果。控制模块控制监听客户端系统将存放在预先设定的存放目录中的监听数据文件发送给控制模块。监听数据处理模块根据不同的通信协议规范对监听数据文件进行分析。通过分析还原出被监听主机通过无线局域网发送的文件名及文件具体内容。若被监听主机曾通过FTP协议下载过ー个doc格式的文档,则数据处理模块还原出这个doc文档;若被监听主机曾通过访问httP协议访问过ー个html格式的网页,则数据处理模块还原出这个网页。监听客户端系统中,检测模块负责执行控制模块发送的检测指令,检测监听主机所在的无线网络,检测内容具体如下
(I)检测被监听主机的无线网卡及无线局域网接入点。检测被监听主机安装的所有网卡及是否安装无线网卡,并检测该无线网卡是否有可用的无线局域网接入点进行接入。
(2)检测无线局域网的活动主机。检测到有可用的无线局域网进行接入,则搜索该无线局域网内处于活动状态的主机,并将活动主机的IP地址发送给控制模块。监听客户端系统的无线局域网监听模块是真正对被监听主机执行监听工作的功能模块。无线局域网监听模块接收控制模块发送的指令,根据控制模块设定的监听參数对目标主机进行数据监听。监听模块从控制模块发送的监听命令中读取出要监听的主机,然后控制监听主机发送欺骗数据包给被监听主机,宣称自己是无线局域网接入点,被监听主机接收欺骗数据包后,把监听主机当成无线局域网的接入点,与其进行数据通信;同时监听模块控制监听主机发送欺骗数据包给无线局域网接入点AP,宣称自己是被监听主机,无线局域网接入点AP接收欺骗数据包后,把监听主机当成被监听主机。完成欺骗后,使得无线局域网接入点AP和被监听主机之间的通信数据都要先经过监听主机。监听模块根据控制模块预先设定的监听參数,对被监听主机进行监听,将监听到的数据包中与监听參数无关的数据包过滤掉,将想要监听的协议数据包复制并分析出包头和内容,存放在监听数据文件中。为防止监听被察觉,需不影响无线接入点AP之间和被监听主机的正常网络通信,数据监听模块需要把监听到的数据包进行转发,转发之前要对数据包处理,生成欺骗数据包。当监听模块接收到控制模块的结束监听命令后,监听模块则开始欺骗恢复工作,即向无线接入点AP和被监听主机发送欺骗恢复数据包,让无线局域网接入点AP与被监听主机之间进行直接通信。其中的通信模块负责监听控制端系统和监听客户端系统之间的网络通ィ目。本发明的无线局域网监听系统能够保证监听系统获取到的网络数据完整准确,不能对获取的网络数据进行修改或破坏。在运行监听系统后,不会对现有网络系统造成额外的负担,并且能够保证被监听主机与其他主机的网络通讯正常,监听行为不被察觉。需要说明的是,以上实施例仅是对本发明技术方案的示例性描述,而并不是对本发明的限制;尽管參照上面的实施例对本发明进行了详细的说明,但是,本领域的普通技术人员应当可以完全理解的是,在不脱离由本发明的权利要求书限定的保护范围已经精神的前提下,可以对上述实施例所记载的技术方案进行修改或者对其中部分技术特征进行等同替换,这些都应该属于本发明的保护范围。
权利要求
1.一种无线局域网安全方法,其特征在于包括以下步骤 1)将监听客户端植入监听主机节点上,以保证远程控制端可以远程控制监听主机; 2)监听客户端被植入监听主机后,运行监听进程,并将监听进程设置成可与windows系统服务同时启动,监听进程运行后会检测安装监听插件的主机上是否有可用的无线网卡,如果无线网卡可用,则检测附近是否有可用无线局域网进行接入,井根据检测反馈的结果进行相应处理。
2.根据权利要求I所述的无线局域网安全方法,其中据检测反馈的结果进行当相应处理包括 (1)假如检测不到有可用的无线局域网进行接入,则监听进程程序进入周期检测状态,每隔一定的时间再重新进行检测; (2)假如检测到有可用的无线局域网进行接入,则监听进程将该监听主机设置为检测到无线局域网的监听节点,实现对该无线局域网的监听功能; (3)监听进程运行后,按周期接收由远程控制端发送的监听设置信息,按照控制端的命令信息对目标主机进行数据监听,远程控制端的命令信息包括进行监听的协议、监听数据文件的格式及存放目录,监听主机把监听获取到的数据转化成预先设置好格式的数据文件,按照远程控制端设置的存放目录进行存放,之后监听主机会通知远程控制端取走监听数据文件; (4)远程控制端得到监听数据文件后进行内容还原分析,还原出被监听主机曾经在无线局域网中传输的数据文件。
3.一种无线局域网安全系统,包括监听控制端系统和监听客户端系统,其特征在于 所述监听控制端系统安装在远程控制端上,由监听数据处理模块和控制模块两部分组成,其中监听数据处理模块用于读取监听数据结果文件,分析监听文件获取到的重要数据信息,还原出被监听主机在无线局域网中通讯的数据文件,控制模块用于监听主机上安装监听客户端系统、并与监听主机保持通讯、下达数据监听命令并设置监听參数、取回监听数据文件; 监听客户端系统以插件的形式安装在监听主机上,由检测模块和无线局域网监听模块两部分组成,检测模块对监听主机进行检测,查看监听主机上是否配有无线网卡,若监听主机配有无线网卡则继续检测附近是否有可用的无线局域网接入点,并通过无线接入点检测连接该无线局域网的主机,之后将检测得到的主机IP地址发送给监听控制端;若监听主机没有无线网卡,监听客户端将检测结果发回给监听控制端。
4.根据权利要求3所述的无线局域网安全系统,其中无线局域网监听模块用于接收监听控制端系统中控制模块设置的具体监听參数、并根据监听參数进行对不同协议的数据监听、然后将监听结果按照预先设置的存储格式转化成监听数据文件存于监听主机的目录下,准备与监听控制端系统取得联系,并将监听数据文件交给监听数据处理模块处理。
全文摘要
一种无线局域网安全方法,其包括以下步骤l)将监听客户端植入监听主机节点上,以保证远程控制端可以远程控制监听主机;2)监听客户端被植入监听主机后,运行监听进程,并将监听进程设置成可与windows系统服务同时启动,监听进程运行后会检测安装监听插件的主机上是否有可用的无线网卡,如果无线网卡可用,则检测附近是否有可用无线局域网进行接入,并根据检测反馈的结果进行相应处理;其中据检测反馈的结果进行相应处理。本发明还提出了一种相应的无线局域网安全系统。
文档编号H04W12/12GK102843689SQ20121033509
公开日2012年12月26日 申请日期2012年9月12日 优先权日2012年9月12日
发明者宗竞 申请人:江苏乐买到网络科技有限公司