主页 / server / 问题 / 8192
Accepted
Sam Schutte
Asked: 2009-05-15 06:09:06 +0800 CST

如何检测网络上的恶意 WIFI 路由器?

  • 772

我的客户最近更改了他们的网络策略,所以现在所有的 WIFI 路由器都不允许进入网络。他们说他们将运行一些扫描,并且他们将能够在网络上找到“流氓”WIFI路由器。

他们如何能够检测到这些 WIFI 路由器和接入点?它们位于 100 多个分支机构/公司办公室的远程位置,因此它绝对是一种网络工具,它们不会带着 WIFI 探测器或类似的东西到处走动。

只是好奇,因为我认为这很有趣。

networking security wifi

7 个回答

  1. 许多专业接入点,如思科提供的接入点,不仅可以通过它们连接的管理引擎检测流氓接入点- 它们实际上可以通过使用解除关联数据包等攻击它们来防止任何人使用它们。当然,报告会立即发现恶意接入点,具体取决于该区域中有效接入点的数量——也可以进行一些有用的位置检测。

    如果他们已经在使用受支持的无线解决方案,通过您提到的办公室数量,我猜他们会这样做 - 只需打开选项即可。


    无线电监控功能使用 Cisco IOS AP 和 Cisco 客户端适配器上的无线电测量功能来发现任何正在传输信标的新 802.11 AP。客户端和 AP 都会定期扫描所有信道上的其他 802.11 信标帧。检测到的信标报告返回给无线电管理器,无线电管理器根据已知被授权提供无线接入的 AP 列表验证这些信标。新发现的无法识别为已知授权 AP 的 AP 会生成管理员警报。

    资源

    • 7
  2. Best Answer

    如果他们现在实施该政策,那么我的直觉说他们的扫描威胁只是恐吓策略。但这只是我玩世不恭...

    有几种方法

    • 如果设备是路由器而不仅仅是接入点,那么他们将能够在路由路径中看到它
    • 网络基础设施设备制造商分配给他们的大量 MAC 地址块用于他们的产品,这使得通过设备的 MAC 地址确定制造商相当可靠。如果突然间,一些 LinkSys 或 D-Link 开始弹出,并且管理员知道他们不使用这些设备......
    • 他们可以查看 DHCP。如果网络为客户端使用保留的 DHCP 地址,这尤其容易。任何不在保留池中的东西都是可疑的。
    • 5

  3. 我的猜测是,他们正在检查与无线接入点相关的 MAC 地址,如这些家伙的博客文章中所述。

    http://barnson.org/node/611

    • 2

  4. 他们可以检查 ARP 表并查看供应商,或者在所有交换机端口上启用 1x。

    不一定会阻止接入点在那里,但它会阻止人们使用无线网络。

    思科还在其最新的无线解决方案中内置了恶意接入点检测功能。(我假设 Aruba 也是如此)。

    • 2

  5. 在您的路由器/防火墙上查找 TTL 低于正常值的传出数据包。WiFi路由器的路由器部分在流经时会降低数据包的TTL值。

    • 1

  6. 我只是寻找任何具有更多http连接的内部IP地址,这些连接可以很容易地由一个人解释。网站的自动镜像应该很容易过滤掉,因为它会给单个域带来大量流量。这应该会发现任何对公司网络的公然外部访问。

    • 1

  7. 我会在密集模式下使用 NMAP,它可以很好地识别连接到 LAN 的设备。事实上,我最近这样做只是为了弄清楚我们现有的 AP 连接在哪里,因为它没有正确记录。

    如果我没有使用 NMAP,我会登录并检查边缘交换机 MAC 地址表,以识别具有超过 1 个 MAC 地址的边缘端口,然后找出发生了什么。

    • 0

相关问题