無(wú)線局域網(wǎng)安全監(jiān)護(hù)系統(tǒng)(08-100)

　　圖3.3 應(yīng)用層協(xié)議解析流程圖

　　3.2.3 用戶網(wǎng)絡(luò)內(nèi)容的還原

　　3.2.3.1網(wǎng)頁(yè)內(nèi)容還原

　　對(duì)于HTTP，由于其網(wǎng)絡(luò)地址大多為服務(wù)器的相對(duì)地址，還原后的原始文件無(wú)法用瀏覽器打開，即使打開也只有文字信息(如圖3.4所示)，缺少圖片和flash信息，這就需要后期的數(shù)據(jù)處理。圖3.4和圖3.5將處理前后的網(wǎng)頁(yè)效果進(jìn)行了比較。

　　圖3.4 處理前東南大學(xué)主頁(yè)

　　圖 3.5處理后東南大學(xué)主頁(yè)

　　3.2.3.2 郵件內(nèi)容處理

　　郵件內(nèi)容并不是直接傳輸ASCII碼，它有自己的傳輸編碼，所以必須根據(jù)其相應(yīng)的傳輸編碼來(lái)對(duì)其進(jìn)行解析。比如其常用的傳輸編碼方式為base64編碼。如表3.1所示：

　　表3.1 base64編碼

　　這種編碼其實(shí)就相當(dāng)于加密，當(dāng)然還有其他的傳輸編碼方式，必須做相應(yīng)的解碼才能使得其可讀。所以郵件文件的處理程序流程就是先讀文件，查找傳輸編碼方式，最后解碼還原。

　　3.2.4網(wǎng)絡(luò)行為控制

　　網(wǎng)絡(luò)行為的控制主要控制兩類事件，一是阻斷非法用戶接入AP，二是防止合法用戶訪問(wèn)非法IP。其中前者的分析基于MAC層的數(shù)據(jù)，后者基于IP層的數(shù)據(jù)。雖然我們的系統(tǒng)獨(dú)立于AP和站點(diǎn)，但是我們可以通過(guò)偽冒成該站點(diǎn)與AP通信，向AP發(fā)送去鑒權(quán)或去關(guān)聯(lián)數(shù)據(jù)幀，中斷AP與該站點(diǎn)之間的通信或者連接，來(lái)中斷非法接入或者非法訪問(wèn)。

　　3.2.5 WEP攻擊檢測(cè)與主動(dòng)防護(hù)

　　當(dāng)前最流行的WEP攻擊軟件是基于統(tǒng)計(jì)原理的PTW[7]算法，該算法可以在收集40000個(gè)有效包的情況下破解出64bit的WEP密鑰。PTW算法采用主動(dòng)攻擊的方式，假冒合法用戶大量發(fā)送已截獲的無(wú)線網(wǎng)絡(luò)中的ARP請(qǐng)求包，通過(guò)這種方式，攻擊者將會(huì)收獲大量的ARP回復(fù)和轉(zhuǎn)發(fā)包，之后采用統(tǒng)計(jì)算法[7]，分析ARP包中的密鑰流和ARP包所對(duì)應(yīng)的不同IV，攻擊者即可在很短的時(shí)間內(nèi)破獲正確的密鑰，進(jìn)而實(shí)行非法操作。

　　事實(shí)上幾乎所有的WEP攻擊算法的都需要捕獲大量的ARP包?；诖耍覀儾捎迷贛AC層捕獲、統(tǒng)計(jì)網(wǎng)絡(luò)中的ARP包的流量去判斷是否存在WEP攻擊。

　　一旦發(fā)現(xiàn)有WEP攻擊，我們通過(guò)分析ARP包中源、目的端以及IV等信息，用一個(gè)偽造的密鑰和不斷遞增的IV，按照WEP加密方式構(gòu)造出一個(gè)新的ARP包，并通過(guò)網(wǎng)卡大量發(fā)送，使得攻擊者大量捕獲的是用錯(cuò)誤密鑰加密的ARP包。另一方面我們通過(guò)發(fā)送ARP包的時(shí)間間隔來(lái)偽冒成攻擊者，向AP發(fā)送去鑒權(quán)幀，使得攻擊者時(shí)而斷開與AP的連接，這樣AP就不會(huì)轉(zhuǎn)發(fā)攻擊者發(fā)送的ARP包，因此攻擊者就幾乎收不到正確密鑰加密的ARP數(shù)據(jù)包，而大量捕獲我們用偽造密鑰加密的ARP包，因而最終破獲出一個(gè)錯(cuò)誤密鑰。由于我們構(gòu)造的ARP包與正確密鑰加密的ARP包對(duì)于攻擊者來(lái)說(shuō)是無(wú)法區(qū)分，因此這樣的防護(hù)方法可謂是疏而不漏。