快速排查，清除非法AP

黑客為了入侵和破壞無線網絡，會使用各種各樣的手段。除了正面破解密碼，侵入內網進行嗅探入侵等常規方法外，黑客還會采用搭建偽造的AP接入點，執行另類的無線攻擊。

例如，黑客會將非法AP偽裝成正常的工作基站，誘使合法的用戶連接到該非法AP上，這樣黑客就可以毫不費力的截獲偵聽用戶通訊。此外，通過搭建大量的虛假AP基站，對正常的無線通訊進行干擾，造成用戶無法正常通訊。在一些安全性較高的單位，通常嚴格執行內外網隔離措施，一旦有內部不法用戶在其中連接AP設備，就可以輕松對內網進行滲透等等。

例如，很多無線網卡都提供了軟AP功能，即允許使用無線網卡管理軟件（或者利用Windows 7等自帶的功能），只要該網卡處于上網狀態，通過網絡共享的手段就可以將無線客戶端變成為無線接入點，黑客甚至可以為其配置外接天線，對其無線信號進行放大，擴大其信號覆蓋范圍。為了達到欺騙用戶的目的，黑客往往將該AP接入點的SSID標識符進行更改，使其和周圍合法的SSID標識符相同，這種魚目混珠的方法很容易造成正常用戶的搜索無線熱點時，認為該非法AP是可以正常連接的。

當用戶上當后，在發送和接收數據時，就會處于黑客的全面的監聽之下。如果涉及到機密信息，就會在幾乎毫不知情的情況下泄露給黑客。因為很多無線網卡的連接程序可以自動探測和連接找到的可用AP，這就大大增加了黑客進行欺騙或的隱蔽性。如果黑客利用該方法搭建功率較大的AP基站，就會在較大的范圍內欺騙無線客戶端用戶，造成的危害和影響是不言而喻的。如果黑客攻擊的重點是干擾正常的無線通訊，就會通過創建大量非法AP接入點的手段來實現。例如其可以在BackTrack Linux環境下中使用MDK2等工具，驅動專用的無線網卡，針對特定的無線網絡頻道，發送偽造的大量干擾信號，或者發送針對特定SSID標識符的無線數據流信號，對合法的AP進行攻擊，造成連接到該AP的客戶端用戶無法正常通訊。

現在很多單位為了抗擊黑客攻擊，往往采取內外網隔離的方式，不允許內網隨意連接Internet上，這的確可以將黑客拒之門外。不過，堡壘往往很容易從內部攻破。如果有內部員工未經允許，自行在內網中連接AP設備，就會給內網安全帶了很大的隱患。現在的無線路由器等設備體積越來越小，功能越來越強大，發射功率可調，使用起來極為便利，內網用戶可以毫不費力的將其接入有線網絡。這樣的話，就等于在原本嚴密的防護網上悄悄開了缺口，讓非法用戶可以輕松穿墻連接內網。如果無線密碼簡單的話，就很容易被黑客破解。

面對復雜的安全形勢，網管員就需要提高責任意識，定期對網絡設備，各種線路和接口進行安全維護和檢測，如果在機房等關鍵位置發現來歷不明的接入設備，就應該及時拆除，避免其危害網絡安全。對于中大型網絡來說，網絡配置往往比較復雜，涉及到的機器設備很多，手工進行排查的話，難度是比較大的。利用網絡掃描的方法，可以有效提高搜索效率。因為很多AP和無線路由器都提供了Web遠程管理功能，其80端口處于開啟狀態。使用掃描器對特定網段的80端口進行掃描，如果目標設備不是提供正常Web服務的主機，那么只能說明其是非法的無線設備。例如，使用Nmap掃描器就可以實現上述功能。執行“nmap–vv –sS 192.168.0.0/24–p 80”命令，可以對指定的網段進行掃描，檢測所有開啟80端口的設備。其中的“-vv”參數表示顯示詳細信息，“-sS”參數使用 SYN掃描方式，可以避開防火墻的攔截，得到精確的探測信息，“-p”參數指定目標端口。

當發現可疑的設備后，可以對其進行進一步的識別。例如探測到IP為192.168.0.190設備比較可疑，可以執行“nmap –vv–aV 192.168.0.190” 命令，對其身份進行判別。其中的“-sV”參數對目標IP的端口信息進行探測。如果該設備是非法連入的無線路由器的話，根據探測信息，可以識別器具體的型號、版本號、MAC地址等信息。也可以在瀏覽器中直接訪問其管理界面，進一步了解其信息。在無線網卡，AP等設備中，都提供了唯一的長度為48位MAC地址信息。利用MAC地址，進一步查詢其相關信息。例如打開網址“https://regauth.standards.ieee.org/standards-ra-web/pub/view.html#registries”，在其中的先選擇搜索類型。例如“All MAC”， 在“Search Results”欄中輸入可疑設備的MAC地址信息，點擊查詢按鈕，可以得到其廠商信息、設備類型等資料。

僅僅搜索到了可疑的AP是不夠的，還需要將其找到并清除。不管是內部員工有意或者無意將無線設備連接到內網中，還是不法分子故意所為，都會帶來泄露公司數據的危險。因此，必須采取各種方法，準確找到處于隱藏狀態的惡意AP接入點。例如，使用帶有PCMCIA無線網卡的筆記本電腦，配合檢測無線網絡強度信號的軟件，就可以很方便的探測非法AP的位置。

當然，也可以使用NetStumbler等第三方工具來實現更加強大的檢測分析功能。例如在NetStrumbler主界面左側點擊“信道”項，在其下顯示不同的信號節點，根據檢測到的可疑AP的MAC地址，選擇對應信道中的AP項目，在右側會顯示其信號強度信息。也可以使用專用的手持式RF檢測儀器來探測非法AP的位置，這類儀器專為搜索非法AP設計，使用起來效率更高。