2、無線網絡攻擊的防御

當識別出假冒AP之后，應該立即采取的措施就是阻斷該AP的連接，有以下方式可以阻斷AP連接:(1)采用DoS攻擊的辦法，迫使其拒絕對所有客戶的無線服務;(2)網絡管理員利用網絡管理軟件，確定該非法AP的物理連接位置，從物理上斷開;(3)檢測出非法AP連接在交換機的端口，并禁止該端口?？梢岳脽o線網絡管理軟件來完成該任務。一旦假冒AP被確認，管理軟件查找該AP的MAC地址，然后根據該MAC地址，找到其連接在交換機的哪個端口，從而斷開或阻斷所有通過該端口的網絡流量。這能自動阻止客戶連接到該假冒AP，而轉為向其他相鄰AP進行連接。這是一種最有效的方法。

對于Rogue客戶，當確認客戶為非法客戶時，網絡管理員可以斷開其網絡連接。通常的做法是把非法客戶的MAC地址從AP的訪問控制列表(ACL)中去除，ACL決定哪些MAC地址可以接入網絡，那些不能接入網絡。

2.1　IDS的應用

入侵檢測系統(IDS)通過分析網絡中的傳輸數據來判斷破壞系統和入侵事件。在一些情況下，簡單地使用防火墻或者認證系統也可以被攻破。入侵檢測就是以這種技術，對未經授權的連接企圖做出反應，甚至可以抵御部分可能的入侵。IETF的ID-WG將一個入侵檢測系統分為4個組件:事件產生器、事件分析器、響應單元、事件數據庫。傳統的有線網絡中IDS基本框架如圖1所示。

498)this.style.width=498;">

圖1　入侵檢測系統通用框架

放置在網絡中的探測器檢測到異常，產生一個事件，報告給分析器，通過分析后產生一個告警信息報告給管理器。管理員決定如何操作，并對事件做出響應。我們把傳統網絡中的IDS技術應用于無線網絡，以期增強無線網絡抵御攻擊的能力。

我們在試驗環境下，搭建了基于Infrastructure結構的WLAN網絡，用于測試IDS的性能。

該檢測系統是基于網絡的入侵檢測系統(NIDS)，如圖2所示。網絡管理員中心控制臺配置檢測代理和瀏覽檢測結果，并進行關聯分析。監測代理的作用是監聽數據包，利用檢測引擎進行檢測，記錄警告信息，并將警告信息發送至中心控制臺。Probe的作用是捕獲無線數據包，并發往監測代理。

498)this.style.width=498;">

圖2　含AP模式的入侵檢測系統