一种基于伪AP诱联的WLAN无线数据捕获方法及系统 |
|||||||
| 申请号 | CN201310727341.4 | 申请日 | 2013-12-25 | 公开(公告)号 | CN104754651A | 公开(公告)日 | 2015-07-01 |
| 申请人 | 任子行网络技术股份有限公司; | 发明人 | 刘永强; 张茜; 唐新民; 沈智杰; 景晓军; | ||||
| 摘要 | 本 发明 公开了一种基于伪AP诱联的WLAN无线数据捕获方法,包括以下步骤:S01、获取目标AP与客户端的信息并建立与目标AP的连接;S02、设置伪AP,维持所述目标AP分配给诱联目标客户端的IP地址,并干扰所述诱联目标客户端与目标AP的连接,诱使所述诱联目标客户端与伪AP建立连接,捕获所述诱联目标客户端的数据包,实施该方法,实现了诱联目标客户端的无察觉跳转,并捕获和分析诱联目标客户端的数据包,本发明很好的适应了处理安全和警情等事务中针对特定人员的网络行为的审计需求;本发明还公开了一种基于伪AP诱联的WLAN无线数据捕获系统。 | ||||||
| 权利要求 | 1.一种基于伪AP诱联的WLAN无线数据捕获方法,其特征在于,包括以下步骤: |
||||||
| 说明书全文 | 一种基于伪AP诱联的WLAN无线数据捕获方法及系统技术领域[0001] 本发明涉及无线数据捕获领域,更具体地说,涉及一种基于伪AP诱联的WLAN无线数据捕获方法及系统。 背景技术[0002] 当前,无线路由器的使用已经越来越普遍,机场、餐馆、咖啡厅等公共场所已经广泛部署无线设备,基于安全和警情的需要,针对公共场所里的无线用户网络行为的审计需求变的迫切。现实中,因复杂现场环境等因素,无线信号变得非常复杂,如果直接捕获空气中的无线数据包,丢包率会很高。通过架设伪AP诱联(伪AP诱联是指诱使无线用户的客户端从真AP跳转到伪AP上)无线客户端的方式,可以大大增高捕获数据包的成功率。 [0003] 一种自动获取加密无线网络密钥的方法及系统(专利申请号:201210266892.0)的专利也用到了诱联技术,其首先建立具有与真AP相同ESSID的伪AP,然后通过网络干扰或阻断的方式断开无线用户与真AP的连接,无线用户掉线后会提示重新连接,由于伪AP会使用带高增益天线的网卡,所以,此时无线用户将优先连接伪AP,并输入真AP的账号、密码,该专利将截获无线用户输入的账号、密码,因而获得了真AP的认证信息。该专利的核心思想是让无线用户发觉掉线,诱导无线用户重新输入账号、密码,并完成截获。 [0004] 但是现有技术存在诱联成功后,伪AP向无线用户提供网络服务的同时,无线用户的IP地址会发生变化,无线用户容易察觉到AP发生了跳转,不能完全满足安全和警情的需求,因此,现有的诱联技术还有待改进。 发明内容[0005] 本发明要解决的技术问题在于,针对现有技术存在诱联成功后,伪AP向无线用户提供网络服务的同时,无线用户的IP地址会发生变化,无线用户容易察觉到AP发生了跳转,不能完全满足安全和警情的需求的缺陷,提供一种基于伪AP诱联的WLAN无线数据捕获方法及系统。 [0006] 本发明解决其技术问题所采用的技术方案是:构造一种基于伪AP诱联的WLAN无线数据捕获方法,包括以下步骤: [0007] S01、获取目标AP与客户端的信息并建立与目标AP的连接; [0008] S02、设置伪AP,维持所述目标AP分配给诱联目标客户端的IP地址,并干扰所述诱联目标客户端与目标AP的连接,诱使所述诱联目标客户端与伪AP建立连接,捕获所述诱联目标客户端的数据包。 [0009] 在本发明所述的基于伪AP诱联的WLAN无线数据捕获方法中,所述步骤S01包括以下子步骤: [0010] S1、扫描所述目标AP与所述客户端,并获得所述目标AP的第一信息与所述客户端的信息;根据所述客户端的信息确定诱联目标客户端; [0011] S2、根据所述目标AP的第一信息与预先获得的连接密码建立与所述目标AP之间的连接;并获取所述目标AP的第二信息。 [0012] 在本发明所述的基于伪AP诱联的WLAN无线数据捕获方法中,所述步骤S02包括以下子步骤: [0013] S3、根据所述目标AP的第二信息建立伪AP,并配置和开启所述伪AP的相应功能; [0014] S4、干扰所述诱联目标客户端与所述目标AP的连接,并诱使所述诱联目标客户端与所述伪AP建立连接; [0015] S5、通过伪AP捕获所述诱联目标客户端的数据包,并对所述诱联目标客户端的数据包进行分析。 [0016] 在本发明所述的基于伪AP诱联的WLAN无线数据捕获方法中, [0017] 所述步骤S1中,通过第一网卡扫描目标AP与客户端,所述目标AP的第一信息包括所述目标AP的ESSID、所述目标AP的BSSID、所述目标AP的生产厂商、所述目标AP的加密方式、所述目标AP的工作信道、所述目标AP的信号强度、在所述目标AP上连接的客户端数目、第一次发现所述目标AP的时间以及最后一次发现所述目标AP时间中的至少一种;第一网卡可以是支持monitor模式的普通网卡,普通网卡即具有此功能,本发明不仅限于此。 [0018] 所述客户端的信息包括所述客户端的MAC地址、所述客户端的生产厂商以及所述客户端的所连接的所述目标AP的ESSID、所述目标AP的BSSID、所述目标AP的工作信道、所述客户端的信号强度、以及所述目标AP的加密方式中的至少一种; [0019] 所述目标AP的第二信息包括所述目标AP的IP地址、所述目标AP的掩码、所述目标AP的网关。 [0020] 在本发明所述的基于伪AP诱联的WLAN无线数据捕获方法中, [0021] 所述步骤S3包括以下子步骤: [0022] S31、通过第二网卡和第三网卡建立所述伪AP;第二网卡可以是支持managed模式的普通网卡,所述第三网卡可以是支持master模式的普通网卡,普通网卡即具有上述第二网卡、第三网卡的功能,本发明不仅限于此; [0023] S32、设置与所述目标AP的ESSID、所述目标AP的加密方式相同的伪AP的ESSID、所述伪AP的加密方式; [0024] S33、配置所述伪AP的路由表,并开启所述伪AP的路由转发的功能; [0025] S34、通过所述第二网卡配置并开启所述伪AP的NAT功能;并通过所述第三网卡配置并开启所述伪AP的ARP代理功能以及所述伪AP的DHCP服务器功能。 [0026] 在本发明所述的基于伪AP诱联的WLAN无线数据捕获方法中, [0027] 所述步骤S4包括以下子步骤: [0028] S41、第四网卡干扰所述诱联目标客户端与所述目标AP之间的连接,以使所述诱联目标客户端重新扫描网络环境;第四网卡可以是支持monitor模式的普通网卡,普通网卡即具有此功能,本发明不仅限于此; [0029] S42、诱使所述诱联目标客户端与所述伪AP建立连接。 [0030] 实施本发明的基于伪AP诱联的WLAN无线数据捕获方法,具有以下有益效果:通过本发明实施例提供的基于伪AP诱联的WLAN无线数据捕获方法,可以有效解决现有技术存在诱联成功后,向无线用户提供网络服务的同时,无线用户的IP地址会发生变化,无线用户容易察觉到AP发生了跳转,不能完全满足安全和警情的需求的缺陷,本发明利用目标AP的信息来建立伪AP,能够维持目标AP分配给诱联目标客户端的IP地址,使得诱联目标客户端的IP地址不会发生变化,实现了诱联目标客户端的无察觉跳转,并捕获和分析诱联目标客户端的数据包,本发明很好的适应了处理安全和警情等事务中针对特定人员的网络行为的审计需求。 [0031] 本发明还提供一种基于伪AP诱联的WLAN无线数据捕获系统,包括以下模块: [0032] 信息获取模块,用于获取目标AP与客户端的信息并建立与目标AP的连接; [0033] 伪AP建立模块,用于设置伪AP,维持所述目标AP分配给诱联目标客户端的IP地址,并干扰所述诱联目标客户端与目标AP的连接,诱使所述诱联目标客户端与伪AP建立连接,捕获所述诱联目标客户端的数据包。 [0034] 在本发明所述的基于伪AP诱联的WLAN无线数据捕获系统中,所述信息获取模块包括以下子模块: [0035] 第一信息获取子模块,用于扫描所述目标AP与所述客户端,并获得所述目标AP的第一信息与所述客户端的信息;根据所述客户端的信息确定诱联目标客户端; [0036] 第二信息获取子模块,用于根据所述目标AP的第一信息以及预先获得的连接密码建立与所述目标AP之间的连接;并获取所述目标AP的第二信息。 [0037] 在本发明所述的基于伪AP诱联的WLAN无线数据捕获系统中,所述伪AP建立模块包括以下子模块: [0038] 伪AP建立子模块,用于根据所述目标AP的第二信息建立伪AP,并配置和开启所述伪AP的相应功能; [0039] 伪AP干扰子模块,用于干扰所述诱联目标客户端与所述目标AP的连接,并诱使所述诱联目标客户端与所述伪AP建立连接; [0040] 数据包分析子模块,用于通过伪AP获取所述诱联目标客户端的数据包,并对所述诱联目标客户端的数据包进行分析。 [0041] 在本发明所述的基于伪AP诱联的WLAN无线数据捕获系统中, [0042] 所述第一信息获取子模块中,通过第一网卡扫描目标AP与客户端,所述目标AP的第一信息包括所述目标AP的ESSID、所述目标AP的BSSID、所述目标AP的生产厂商、所述目标AP的加密方式、所述目标AP的工作信道、所述目标AP的信号强度、在所述目标AP上连接的客户端数目、第一次发现所述目标AP的时间以及最后一次发现所述目标AP时间中的至少一种; [0043] 所述客户端的信息包括所述客户端的MAC地址、所述客户端的生产厂商以及所述客户端的所连接的所述目标AP的ESSID、所述目标AP的BSSID、所述客户端的信号强度、以及所述目标AP的加密方式中的至少一种; [0044] 所述目标AP的第二信息包括所述目标AP的IP地址、所述目标AP的掩码、所述目标AP的网关。 [0045] 在本发明所述的基于伪AP诱联的WLAN无线数据捕获系统中, [0046] 所述伪AP建立子模块包括以下单元: [0047] 伪AP建立单元,用于通过第二网卡和第三网卡建立所述伪AP; [0048] ESSID及加密方式设置单元,用于设置与所述目标AP的ESSID、所述目标AP的加密方式相同的伪AP的ESSID、所述伪AP的加密方式; [0049] 路由设置单元,用于配置所述伪AP的路由表,并开启所述伪AP的路由转发的功能; [0050] 功能设置单元,用于通过所述第二网卡配置并开启所述伪AP的NAT功能;并用于通过所述第三网卡配置并开启所述伪AP的ARP代理功能以及所述伪AP的DHCP服务器功能。 [0051] 在本发明所述的基于伪AP诱联的WLAN无线数据捕获系统中, [0052] 所述伪AP干扰子模块包括以下单元: [0053] 干扰单元,用于通过第四网卡干扰所述诱联目标客户端与所述目标AP之间的连接,以使所述诱联目标客户端重新扫描网络环境; [0054] 伪AP连接建立单元,用于诱使所述诱联目标客户端与所述伪AP建立连接。 [0055] 实施本发明的基于伪AP诱联的WLAN无线数据捕获系统,具有以下有益效果:通过本发明实施例提供的基于伪AP诱联的WLAN无线数据捕获系统,可以有效解决现有技术存在诱联成功后,向无线用户提供网络服务的同时,无线用户的IP地址会发生变化,无线用户容易察觉到AP发生了跳转,不能完全满足安全和警情的需求的缺陷,本发明利用目标AP的信息来建立伪AP,能够维持目标AP分配给诱联目标客户端的IP地址,使得诱联目标客户端的IP地址不会发生变化,实现了诱联目标客户端的无察觉跳转,并捕获和分析诱联目标客户端的数据包,本发明很好的适应了处理安全和警情等事务中针对特定人员的网络行为的审计需求。附图说明 [0056] 下面将结合附图及实施例对本发明作进一步说明,附图中: [0057] 图1是本发明一较佳实施例提供的基于伪AP诱联的WLAN无线数据捕获方法流程图; [0058] 图2是图1所示的步骤S01的子流程图; [0059] 图3是图1所示的步骤S02的子流程图; [0060] 图4是图3所示的步骤S3的子流程图; [0061] 图5是图3所示的步骤S4的子流程图; [0062] 图6是本发明一较佳实施例提供的基于伪AP诱联的WLAN无线数据捕获系统的结构框图; [0063] 图7是图6所示的信息获取模块的结构框图; [0064] 图8是图6所述的伪AP建立模块的结构框图; [0065] 图9是图8所示的伪AP建立子模块的结构框图; [0066] 图10是图8所示的伪AP连接子模块的结构框图; [0067] 图11是本发明实施例提供的基于伪AP诱联的WLAN无线数据捕获方法中伪AP诱联成功之前的网络拓扑结构示意图; [0068] 图12是本发明实施例提供的基于伪AP诱联的WLAN无线数据捕获方法中伪AP诱联成功后的网络拓扑结构示意图。 具体实施方式[0069] 为了解决现有技术中诱联成功后,向无线用户提供网络服务的同时,无线用户的IP地址会发生变化,无线用户容易察觉到AP发生了跳转的缺陷,本发明的创新点在于:利用目标AP的信息来建立伪AP,并且能够维持目标AP分配给诱联目标客户端的IP地址,使得诱联目标客户端的IP地址不会发生变化。 [0070] 为了对本发明的技术特征、目的和效果有更加清楚的理解,现对照附图详细说明本发明的具体实施方式,下述具体实施方式以及附图,仅为更好地理解本发明,并不对本发明做任何限制。 [0071] 如图1所示,在本发明实施例提供的一种基于伪AP诱联的WLAN无线数据捕获方法中,所述方法包括以下步骤: [0072] S01、获取目标AP与客户端的信息并建立与目标AP的连接; [0073] S02、设置伪AP,维持所述目标AP分配给诱联目标客户端的IP地址,并干扰所述诱联目标客户端与目标AP的连接,诱使所述诱联目标客户端与伪AP建立连接,捕获所述诱联目标客户端的数据包。 [0075] 实施本发明实施例提供的基于伪AP诱联的WLAN无线数据捕获方法,具有以下有益效果:通过本发明实施例提供的基于伪AP诱联的WLAN无线数据捕获方法,可以有效解决现有技术存在诱联成功后,向无线用户提供网络服务的同时,无线用户的IP地址会发生变化,无线用户容易察觉到AP发生了跳转,不能完全满足安全和警情的需求的缺陷,本发明利用目标AP的信息来建立伪AP,并维持目标AP分配给诱联目标客户端的IP地址,使得诱联目标客户端的IP地址不会发生变化,实现了诱联目标客户端的无察觉跳转,并捕获和分析诱联目标客户端的数据包,本发明很好的适应了处理安全和警情等事务中针对特定人员的网络行为的审计需求。 [0076] 优选地,如图2所示,在本发明实施例提供的基于伪AP诱联的WLAN无线数据捕获方法中, [0077] S1、扫描目标AP与客户端,并获得所述目标AP的第一信息与所述客户端的信息;根据所述客户端的信息确定诱联目标客户端;AP是无线访问节点,主要是向接入点覆盖范围内的无线工作站提供网络服务。这里的目标AP是可以是公众场所向公众提供网络服务的AP。这里的客户端可以是连接到所述目标AP上多个笔记本电脑或者智能手机或者平板电脑。诱联目标客户端是需要对其进行网络行为审计的客户端。 [0078] S2、根据所述目标AP的第一信息与预先获得的连接密码建立第二网卡与所述目标AP之间的连接;并获取所述目标AP的第二信息;对于某些没有设置密码的目标AP,密码即为空,密码为空的情况也包含在预先获得的连接密码的情形之内,对于设置了密码的目标AP,可以通过直接询问工作人员获得,如何获取目标AP的密码并非本发明的保护内容。 [0079] 优选地,如图3所示,在本发明实施例提供的基于伪AP诱联的WLAN无线数据捕获方法中,所述步骤S02包括以下子步骤: [0080] S3、根据所述目标AP的第二信息建立伪AP,并配置和开启所述伪AP的相应功能;所述伪AP具有比所述目标AP高的增益的天线,配置和开启所述伪AP的相应功能是为了使得所述诱联目标客户端的IP地址不发生变化。 [0081] S4、干扰所述诱联目标客户端与所述目标AP的连接,并诱使所述诱联目标客户端与所述伪AP建立连接; [0082] S5、通过伪AP捕获所述诱联目标客户端的数据包,并对所述诱联目标客户端的数据包进行分析。 [0083] 优选地,在本发明实施例提供的基于伪AP诱联的WLAN无线数据捕获方法中,[0084] 所述步骤S1中,通过第一网卡扫描目标AP与客户端,所述目标AP的第一信息包括所述目标AP的ESSID(ServiceSetIdentifier;服务区别号)、所述目标AP的BSSID(一种特殊的Ad-hocLAN的应用,也称为BasicServiceSet(BSS),一群计算机设定相同的BSS名称,即可自成一个group。每个BSS都会被赋予一个BSSID,它是一个长度为48位的二进制标识符,用来识别不同的BSS。其的主要优点是它可以作为过滤之用)、所述目标AP的生产厂商、所述目标AP的加密方式、所述目标AP的工作信道、所述目标AP的信号强度、在所述目标AP上连接的客户端数目、第一次发现所述目标AP的时间以及最后一次发现所述目标AP时间中的至少一种;第一网卡可以是支持monitor模式的普通网卡,普通网卡即具有此功能,本发明不仅限于此。 [0085] 所述客户端的信息包括所述客户端的MAC地址、所述客户端的生产厂商以及所述客户端的所连接的所述目标AP的ESSID、所述目标AP的BSSID、所述目标AP的工作信道、所述客户端的信号强度、以及所述目标AP的加密方式中的至少一种; [0086] 所述目标AP的第二信息包括所述目标AP的IP地址、所述目标AP的掩码、所述目标AP的网关。 [0087] 优选地,如图4所示,在本发明实施例提供的基于伪AP诱联的WLAN无线数据捕获方法中, [0088] 所述步骤S3包括以下子步骤: [0089] S31、通过第二网卡和第三网卡建立所述伪AP;第二网卡可以是支持managed模式的普通网卡,所述第三网卡可以是支持master模式的普通网卡,普通网卡即具有上述第二网卡、第三网卡的功能,本发明并未限制网卡的型号。 [0090] S32、设置与所述目标AP的ESSID、所述目标AP的加密方式相同的伪AP的ESSID、所述伪AP的加密方式;所述目标AP和所述伪AP的ESSID、加密方式都相同,有利于所述诱联目标客户端的用户不易察觉发生了跳转。 [0091] S33、配置所述伪AP的路由表,并开启所述伪AP的路由转发的功能;也即伪AP根据数据包的目的IP将其与路由表中对比,根据路由表项的指示将数据包发送到下一个网络设备或者客户端。 [0092] S34、通过所述第二网卡配置并开启所述伪AP的NAT功能;并通过所述第三网卡配置并开启所述伪AP的ARP代理功能以及所述伪AP的DHCP服务器功能。NAT是指一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中,NAT能解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机,这里配置并开启NAT的功能是为了隐藏伪AP内部网的IP信息。配置并开启ARP功能可以使得伪AP在所述目标AP与所述诱联目标客户端之间透明,使得所述诱联目标客户端感觉不到诱联目标客户端连接的是伪AP;DHCP(动态主机配置协议;DynamicHostConfigurationProtocol)使用UDP协议工作,主要有两个用途:给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作为对所有计算机作中央管理的手段,配置并开启DHCP功能可以使得所述目标AP分配给诱联目标客户端的IP地址保持不变。 [0093] 优选地,如图5所示,在本发明实施例提供的基于伪AP诱联的WLAN无线数据捕获方法中, [0094] 所述步骤S4包括以下子步骤: [0095] S41、第四网卡干扰所述诱联目标客户端与所述目标AP之间的连接,以使诱联目标客户端重新扫描网络环境;由于所述诱联目标客户端与所述目标AP的连接受到干扰,甚至被阻断,所述诱联目标客户端将重新扫描网络环境。第四网卡可以是支持monitor模式的普通网卡,普通网卡即具有此功能,本发明不仅限于此。 [0096] S42、诱使所述诱联目标客户端与所述伪AP建立连接;由于所述伪AP的ESSID和加密方式与所述目标AP相同,并且加装了高增益的天线,所以所述诱联目标客户端优先连接所述伪AP,并且由于所述诱联目标客户端的IP地址没有发生变化,用户将难以察觉无线网络发生了跳转。 [0097] 如图6所示,本发明实施例还提供一种基于伪AP诱联的WLAN无线数据捕获系统中, [0098] 包括以下模块: [0099] 信息获取模块01,用于获取目标AP与客户端的信息并建立与目标AP的连接; [0100] 伪AP建立模块02,用于设置伪AP,维持所述目标AP分配给诱联目标客户端的IP地址,并干扰所述诱联目标客户端与目标AP的连接,诱使所述诱联目标客户端与伪AP建立连接,捕获所述诱联目标客户端的数据包。 [0101] 本发明实施例可以通过一台操作系统为linux的PC与四张支持Master模式、Monitor模式、Managed模式的普通无线网卡实现。四张网卡可以通过USB接口与所述PC连接。 [0102] 实施本发明实施例提供的基于伪AP诱联的WLAN无线数据捕获系统,具有以下有益效果:通过本发明实施例提供的基于伪AP诱联的WLAN无线数据捕获系统,可以有效解决现有技术存在诱联成功后,向无线用户提供网络服务的同时,无线用户的IP地址会发生变化,无线用户容易察觉到AP发生了跳转,不能完全满足安全和警情的需求的缺陷,本发明利用目标AP的信息来建立伪AP,并维持目标AP分配给诱联目标客户端的IP地址,使得诱联目标客户端的IP地址不会发生变化,实现了诱联目标客户端的无察觉跳转,并捕获和分析诱联目标客户端的数据包,本发明很好的适应了处理安全和警情等事务中针对特定人员的网络行为的审计需求。 [0103] 优选地,如图7所示,在本发明实施例提供的基于伪AP诱联的WLAN无线数据捕获系统中;所述信息获取模块01包括以下子模块: [0104] 第一信息获取子模块1,用于扫描目标AP与客户端,并获得所述目标AP的第一信息与所述客户端的信息;根据所述客户端的信息确定诱联目标客户端;AP是无线访问节点,主要是向接入点覆盖范围内的无线工作站提供网络服务。这里的目标AP是可以是公众场所向公众提供网络服务的AP。这里的客户端可以是连接到所述目标AP上多个笔记本电脑或者智能手机或者平板电脑。诱联目标客户端是需要对其进行网络行为审计的客户端。 [0105] 第二信息获取子模块2,用于根据所述目标AP的第一信息与以及预先获得的连接密码建立与所述目标AP之间的连接;并获取所述目标AP的第二信息;对于某些没有设置密码的目标AP,密码即为空,密码为空的情况也包含在预先获得的连接密码的情形之内,对于设置了密码的目标AP,可以通过直接询问工作人员获得,如何获取目标AP的密码并非本发明的保护内容。建立第二网卡与所述目标AP之间的连接。 [0106] 优选地,如图8所示,在本发明实施例提供的基于伪AP诱联的WLAN无线数据捕获系统中;所述伪AP建立模块02包括以下子模块: [0107] 伪AP建立子模块3,用于根据所述目标AP的第二信息建立伪AP,并配置和开启所述伪AP的相应功能;所述伪AP具有比所述目标AP高的增益的天线,配置和开启所述伪AP的相应功能是为了使得所述诱联目标客户端的IP地址不发生变化。 [0108] 伪AP干扰子模块4,用于干扰所述诱联目标客户端与所述目标AP的连接,并诱使所述诱联目标客户端与所述伪AP建立连接; [0109] 数据包分析子模块5,用于通过伪AP获取所述诱联目标客户端的数据包,并对所述诱联目标客户端的数据包进行分析。 [0110] 优选地,在本发明实施例所述的基于伪AP诱联的WLAN无线数据捕获系统中,所述第一信息获取子模块1中,通过第一网卡扫描目标AP与客户端,所述目标AP的第一信息包括所述目标AP的ESSID、所述目标AP的BSSID、所述目标AP的生产厂商、所述目标AP的加密方式、所述目标AP的工作信道、所述目标AP的信号强度、在所述目标AP上连接的客户端数目、第一次发现所述目标AP的时间以及最后一次发现所述目标AP时间中的至少一种;第一网卡可以是支持monitor模式的普通网卡,普通网卡即具有此功能,本发明不仅限于此。 [0111] 所述客户端的信息包括所述客户端的MAC地址、所述客户端的生产厂商以及所述客户端的所连接的所述目标AP的ESSID、所述目标AP的BSSID、所述目标AP的工作信道、所述客户端的信号强度、以及所述目标AP的加密方式中的至少一种; [0112] 所述目标AP的第二信息包括所述目标AP的IP地址、所述目标AP的掩码、所述目标AP的网关。 [0113] 优选地,如图9所示,在本发明实施例所述的基于伪AP诱联的WLAN无线数据捕获系统中,所述伪AP建立子模块3包括以下单元: [0114] 伪AP建立单元31,用于通过第二网卡和第三网卡建立所述伪AP;第二网卡可以是支持managed模式的普通网卡,所述第三网卡可以是支持master模式的普通网卡,普通网卡即具有上述第二网卡、第三网卡的功能,本发明并未限制网卡的型号。 [0115] ESSID及加密方式设置单元32,用于设置与所述目标AP的ESSID、所述目标AP的加密方式相同的伪AP的ESSID、所述伪AP的加密方式;所述目标AP和所述伪AP的ESSID、加密方式都相同,有利于所述诱联目标客户端的用户不易察觉发生了跳转。 [0116] 路由设置单元33,用于配置所述伪AP的路由表,并开启所述伪AP的路由转发的功能;也即伪AP根据数据包的目的IP将其与路由表中对比,根据路由表项的指示将数据包发送到下一个网络设备或者客户端。 [0117] 功能设置单元34,用于通过所述第二网卡配置并开启所述伪AP的NAT功能;并用于通过所述第三网卡配置并开启所述伪AP的ARP代理功能以及所述伪AP的DHCP服务器功能。NAT(网络地址转换;NetworkAddress Translation)是指一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中,NAT能解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机,这里配置并开启NAT的功能是为了隐藏伪AP内部网的IP信息。配置并开启ARP功能可以使得伪AP的在所述目标AP与所述诱联目标客户端之间透明,使得所述诱联目标客户端感觉不到诱联目标客户端连接的是伪AP;DHCP(动态主机配置协议;DynamicHostConfigurationProtocol)使用UDP协议工作,主要有两个用途:给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作为对所有计算机作中央管理的手段,配置并开启DHCP功能可以使得所述目标AP分配给诱联目标客户端的IP地址保持不变。 [0118] 优选地,如图10所示,在本发明实施例所述的基于伪AP诱联的WLAN无线数据捕获系统中,所述伪AP干扰子模块4包括以下单元: [0119] 干扰单元41,用于通过第四网卡干扰所述诱联目标客户端与所述目标AP之间的连接,以使所述诱联目标客户端重新扫描网络环境;由于所述诱联目标客户端与所述目标AP的连接受到干扰,甚至被阻断,所述诱联目标客户端将重新扫描网络环境。第四网卡可以是支持monitor模式的普通网卡,普通网卡即具有此功能,本发明不仅限于此。 [0120] 伪AP连接建立单元42,用于诱使所述诱联目标客户端与所述伪AP建立连接;由于所述伪AP的ESSID和加密方式与所述目标AP相同,并且加装了高增益的天线,所以所述诱联目标客户端优先连接所述伪AP,并且由于所述诱联目标客户端的IP地址没有发生变化,用户将难以察觉无线网络发生了跳转。 [0121] 以下结合图11、12对本发明做更进一步地解释: [0122] 如图11所示,图11是伪AP建立之前的网络拓扑结构示意图,用户客户端直接通过真AP(真AP也可以是路由,相当于本发明实施例中的目标AP)连接到internet,所述真AP的IP地址为192.168.1.1,分配给用户客户端(相当于本发明实施例中的诱联目标客户端)的IP地址为192.168.1.2。首先通过诱联系统(诱联系统通过一台操作系统为linux的电脑与四张支持Master模式、Monitor模式、Managed模式的普通无线网卡实现)中的扫描网卡(相当于本发明实施例中的第一网卡),搜集真AP与客户端的信息。真AP的信息包括ESSID、BSSID、真AP生产厂商、加密方式、工作信道、信号强度、在此真AP上连接的客户端数目、以及真AP第一次发现时间和最后一次发现时间。客户端的信息包括MAC地址、生产厂商、所连接真AP的ESSID与BSSID、工作信道、信号强度、以及加密方式。 [0123] 诱联系统中的连接网卡(相当于本发明实施例中的第二网卡)根据扫描获得的真AP信息,以及通过其他手段获取的真AP的连接密码(如机场WIFI密码,可以通过询问工作人员获得),然后连接至真AP,并通过连接网卡获取IP地址、掩码、网关等信息。 [0124] 根据从真AP获取的IP地址、网关等信息,通过连接网卡、软AP网卡(相当于本发明实施例中的第二网卡、第三网卡)两张网卡,建立伪AP系统。伪AP系统是具有与真AP相同ESSID、加密方式,并且具有更强的信号的AP,会迷惑客户端认为其与真AP是在同一个ESS中。同时修改路由表,开启路由转发的功能,然后配置NAT,ARP代理和开启DHCP服务器功能,以保证客户端的无察觉跳转。 [0125] 诱联系统中的攻击网卡(相当于本发明实施例中的第四网卡)开始干扰客户端与真AP之间的连接,使客户端重新扫描网络环境,由于伪AP系统应用了高增益的天线,并且具有与真AP相同的ESSID,所以客户端将自动连接到信号更强的伪AP上。在从真AP跳转到伪AP过程中,客户端的IP地址始终保持不变,客户端难以察觉所发生的变化。诱联成功后的网络拓扑结构如图12所示,由wlan1开启DHCP服务和ARP代理,NAT服务由wlan0开启。其路由表如下表1所示: [0126]Destination Gateway Mask Interface 192.168.1.1 * 255.255.255.255 wlan0 192.168.1.0 * 255.255.255.0 wlan1 default 192.168.1.1 0.0.0.0 wlan0 [0127] 表1 [0128] 通过伪AP捕获所述诱联目标客户端的数据包,并对所述诱联目标客户端的数据包进行分析。 [0129] 综上所述,实施本发明的基于伪AP诱联的WLAN无线数据捕获方法或系统,具有以下有益效果:通过本发明实施例提供的基于伪AP诱联的WLAN无线数据捕获方法或系统,可以有效解决现有技术存在诱联成功后,向无线用户提供网络服务的同时,无线用户的IP地址会发生变化,无线用户容易察觉到AP发生了跳转,不能完全满足处理安全和警情的事务的需求的缺陷,本发明利用目标AP的第一信息与第二信息来建立伪AP,并配置和开启所述伪AP的相应功能,因此该伪AP具有与目标AP相同的ESSID和加密方式,并且能够维持目标AP分配给诱联目标客户端的IP地址,使得诱联目标客户端的IP地址不会发生变化,实现了诱联目标客户端的无察觉跳转,并捕获和分析诱联目标客户端的数据包,本发明很好的适应了处理安全和警情等事务中针对特定人员的网络行为的审计需求。 [0130] 上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。 |
||||||
QQ群二维码
意见反馈
意见反馈