-
有新的wifi ap出现了 --> 可能有人在钓鱼
- 发现AP后,可以根据合法AP认证列表(ACL)判断该AP是否合法,如果列表中没有列出该新检测到的AP的相关参数,那么就是Rogue AP识别每个AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型以及信道。判断新检测到AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型或者信道异常,就可以认为是非法AP。
-
有新的wifi 客户端出现了 --> 可能是悄咪咪摸进来了
-
Rogue Client的检测
- 发送长持续时间(Duration)帧
- 持续时间攻击
- 探测“any SSID”设备
- 非认证客户
- 如果AP允许客户以任意SSID接入网络,这将给攻击者带来很大的方便,如果发现有客户以任意SSID方式连接,就很可能是攻击者,管理员应该更改AP的设置,禁止以任意SSID方式接入。如果假冒客户在合法客户认证列表中出现,可以根据客户MAC地址和设备供应商标识进行判断,如果NIC的MAC地址或Vendor标识未在访问控制列表中,则可能是非法客户。