• 无线网络入侵检测

• 有新的wifi ap出现了 --> 可能有人在钓鱼

  • 发现AP后，可以根据合法AP认证列表(ACL)判断该AP是否合法，如果列表中没有列出该新检测到的AP的相关参数，那么就是Rogue AP识别每个AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型以及信道。判断新检测到AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型或者信道异常，就可以认为是非法AP。

• 有新的wifi 客户端出现了 --> 可能是悄咪咪摸进来了

• Rogue Client的检测

  • 发送长持续时间(Duration)帧
  • 持续时间攻击
  • 探测“any SSID”设备
  • 非认证客户
  • 如果AP允许客户以任意SSID接入网络，这将给攻击者带来很大的方便，如果发现有客户以任意SSID方式连接，就很可能是攻击者，管理员应该更改AP的设置，禁止以任意SSID方式接入。如果假冒客户在合法客户认证列表中出现，可以根据客户MAC地址和设备供应商标识进行判断，如果NIC的MAC地址或Vendor标识未在访问控制列表中，则可能是非法客户。

参考资料

• https://www.cnitom.com/news/200707/19830.html