CN104320782A - WiFi信号阻断***及其方法 - Google Patents
WiFi信号阻断***及其方法 Download PDFInfo
- Publication number
- CN104320782A CN104320782A CN201410603623.8A CN201410603623A CN104320782A CN 104320782 A CN104320782 A CN 104320782A CN 201410603623 A CN201410603623 A CN 201410603623A CN 104320782 A CN104320782 A CN 104320782A
- Authority
- CN
- China
- Prior art keywords
- blocking
- wireless terminal
- wireless
- wifi signal
- aps
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及无线信号阻断技术领域,尤其涉及一种WiFi信号阻断***及其方法。WiFi信号阻断***包括:数据包采集单元,并行采集无线网络环境中传输的数据包;数据包处理单元,并行处理数据包采集单元发送的无线网络数据,将需要阻断的无线AP及无线终端的信息发送至WiFi信号阻断单元;WiFi信号阻断单元,对需要阻断的无线AP及无线终端发送解除身份验证数据包。本发明提供的WiFi信号阻断***及其方法,通过并行处理,且周期性有针对性的对非法AP及非法移动终端发送Deauthentication数据包,能进行全信道阻断,且能达到阻断非法WiFi信号却不影响合法WiFi信号的目的。
Description
技术领域
本发明涉及无线信号阻断技术领域,尤其涉及一种WiFi信号阻断***及其方法。
背景技术
WiFi能够将个人电脑、手持设备(手机、平板电脑等)等终端以无线方式互联,是当今使用最广的一种无线网络传输技术。WiFi传输速率快,符合个人和社会信息化的需求,WiFi网络已经成为许多公共场所标准配套设施,为公共场所的用户提供免费的上网服务。随着WiFi的使用范围越来越广泛,由此产生的WiFi安全性问题也越来越不容忽视。
由于WiFi网络很容易被伪造,黑客利用这一点,可以较低的成本,使用笔记本电脑、开源软件或者廉价的硬件设备冒充合法的WiFi网络,钓取合法用户的各种信息。目前,对非法WiFi信号进行阻断的方式是通过硬件设备直接发送相同信道的垃圾数据包,达到干扰对应信道WiFi信号的目的。这种方式在阻断非法WiFi信号的同时也对该信道内正常的WiFi信号产生了很强的干扰,局限性很大,另外,这种直接的物理信道阻断,只能在单个信道上实现,无法实现多信道或者全信道覆盖。
鉴于以上内容,有必要提供一种能够克服以上技术问题的WiFi信号阻断***及其方法。
发明内容
本发明的目的在于提供一种WiFi信号阻断***及其方法,以解决现有技术中的上述技术问题。
本发明是这样实现的,一种WiFi信号阻断***,所述WiFi信号阻断***包括:数据包采集单元,具有多个无线网络接口,并行采集无线网络环境中传输的数据包;数据包处理单元,具有多个数据队列,并行处理所述数据包采集单元发送的无线网络数据,判定需要阻断的无线AP及无线终端,将需要阻断的所述无线AP及所述无线终端的信息发送至WiFi信号阻断单元;以及所述WiFi信号阻断单元,具有多个阻断线程,根据所述数据包处理单元发送的需要阻断的所述无线AP及所述无线终端的信息,对需要阻断的所述无线AP及所述无线终端发送解除身份验证数据包。
较优的,所述WiFi信号阻断单元,根据所述数据包处理单元发送的需要阻断的所述无线AP及所述无线终端的信息,对需要阻断的所述无线AP发送广播的解除身份验证数据包,对需要阻断的所述无线终端发送单播的解除身份验证数据包。
较优的,所述数据包采集单元进一步包括:无线收发接口模块,用于将所述无线网络接口分别绑定到不同的CPU上,以并行采集无线网络环境中传输的所述数据包;以及信道管理模块,将2.4GHz和5.SGHz信道依次轮询设置到所述无线网络接口中的每个无线网络接口上,周期性的进行信道切换,以对所述2.4GHz和5.8GHz信道的数据进行采集。
较优的,所述无线网络接口中的每个无线网络接口与所述CPU是一一对应的关系。
较优的,所述信道管理模块进一步包括:信道锁定及释放模块,于发送阻断数据包之前,获取与当前需要被阻断的所述无线AP或所述无线终端相同信道的第一无线网络接口,并锁定所述第一无线网络接口,于所述阻断数据包发送完成后,释放所述第一无线网络接口。
较优的,所述数据包处理单元进一步包括:无线信息分析模块,对所述数据包采集单元发送的所述无线网络数据进行分析,并建立无线网络拓扑结构信息,其中,无线网络拓扑结构信息包括:无线AP信息、无线终端信息、以及无线AP和无线终端之间的关联关系信息;以及策略匹配模块,判断所述无线AP或所述无线终端是否需要被阻断,将需要阻断的所述无线AP及所述无线终端加入所述WiFi信号阻断单元中对应的阻断队列。
较优的,所述策略匹配模块进一步包括:信道黑名单判断模块,将所述无线AP或所述无线终端的工作信道与信道黑名单中记录的信道进行此对,以判断所述无线AP或所述无线终端的工作信道是否在所述信道黑名单中,如果是,则将所述无线AP或所述无线终端加入到所述WiFi信号阻断单元中对应的阻断队列;无线AP黑名单判断模块,将所述无线AP的BSSID与所述无线AP黑名单中记录的BSSID进行此对,判断所述无线AP是否在所述无线AP黑名单中,如果是,则将所述无线AP添加到所述WiFi信号阻断单元中对应的阻断队列;无线终端黑名单判断模块,将所述无线终端的MAC与所述无线终端黑名单中记录的MAC进行此对,判断所述无线终端是否在所述无线终端黑名单中,如果是,则将所述无线终端添加到所述WiFi信号阻断单元中对应的阻断队列。
较优的,所述WiFi信号阻断单元包括:阻断指令获取模块,实时从所述阻断线程的阻断任务列表中获取阻断任务指令;解除身份验证数据包生成模块,根据所述阻断指令获取模块获取的所述阻断任务指令中的阻断类型以及当前的无线网络拓扑结构的类型,生成解除身份验证数据包;以及解除身份验证数据包发送模块,锁定发送所述解除身份验证数据包需要的第二无线网络接口,发送所述解除身份验证数据包,发送完成后释放所述第二无线网络接口。
本发明的另一目的在于提供一种WiFi信号阻断方法,所述WiFi信号阻断方法包括:获取无线网络中传输的无线数据包的步骤;对所述无线数据包进行并行分析,得到无线AP信息、无线终端信息、无线AP和无线终端的关联关系信息,并构建无线网络拓扑结构的步骤;判定需要阻断的无线AP及无线终端,向阻断线程发送阻断指令,将需要阻断的所述无线AP及所述无线终端的信息发送至阻断队列中的步骤;以及根据阻断指令的类型、无线网络拓扑结构的类型,生成解除身份验证数据包,并锁定相同信道的无线网络接口,发送所述解除身份验证数据包的步骤。
较优的,所述判定需要阻断的无线AP及无线终端,向阻断线程发送阻断指令,将需要阻断的所述无线AP及所述无线终端的信息发送至阻断队列中的步骤进一步包括:将所述无线AP或所述无线终端的工作信道与信道黑名单中记录的信道进行此对,如果所述无线AP或所述无线终端的所述工作信道在所述信道黑名单中,则立即向所述阻断线程发送所述阻断指令,将需要阻断的所述无线AP及所述无线终端的信息发送至所述阻断队列中的步骤;将所述无线AP的BSSID与无线AP黑名单中记录的BSSID进行此对,如果在所述无线AP黑名单中,则立即向所述阻断线程发送所述阻断指令,将需要阻断的所述无线AP信息发送至所述阻断队列中的步骤;以及将所述无线终端的MAC与无线终端黑名单中记录的MAC进行此对,如果在所述无线终端黑名单中,则立即向所述阻断线程发送所述阻断指令,将需要阻断的所述无线终端的信息发送至所述阻断队列中的步骤。
较优的,所述根据阻断指令的类型、无线网络拓扑结构的类型,生成解除身份验证数据包,并锁定相同信道的无线网络接口,发送所述解除身份验证数据包的步骤进一步包括:所述阻断线程实时从所述阻断队列中提取待阻断的队列信息的步骤;如果是无线AP阻断,则将所述解除身份验证数据包的源地址和BSSID值都设置为为所述无线AP的BSSID、目的地址设置为广播0XFFFFFFFFFFFF的MAC地址的步骤;如果是无线终端阻断,且所述无线终端属于基础型网络拓扑结构,则将所述解除身份验证数据包的源地址和BSSID值都设置为所述无线AP的BSSID、目的地址设置为所述无线终端的MAC地址、原因码的值设置为5的步骤;如果是所述无线终端阻断,且所述无线终端属于Ad-Hoc网络拓扑结构,则将所述解除身份验证数据包的目的地址设置为属于这个网络中其它无线终端的MAC地址、源地址设置为需要被阻断的所述无线终端的MAC地址、原因码的值设置为3的步骤;以及如果是信道阻断,则分别生成所述无线AP阻断的解除身份验证数据包和所述无线终端阻断的解除身份验证数据包的步骤。
较优的,所述根据阻断指令的类型、无线网络拓扑结构的类型,生成解除身份验证数据包,并锁定相同信道的无线网络接口,发送所述解除身份验证数据包的步骤进一步包括:将所述解除身份验证数据包的持续时间值设置为0的步骤。
本发明提供的WiFi信号阻断***及其方法,通过并行处理,且周期性有针对性的对非法AP及非法移动终端发送Deauthentication数据包,能进行全信道阻断,且能达到阻断非法WiFi信号却不影响合法WiFi信号的目的。
附图说明
图1为本发明一实施方式提供的WiFi信号阻断***的结构示意图。
图2为本发明一实施方式提供的WiFi信号阻断***中数据包采集单元的详细结构示意图。
图3为本发明一实施方式提供的WiFi信号阻断***中数据包处理单元的详细结构示意图。
图4为本发明一实施方式提供的WiFi信号阻断***中WiFi信号阻断单元的详细结构示意图。
图5为本发明一实施方式提供的WiFi信号阻断方法的流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
图1为本发明一实施方式提供的WiFi信号阻断***的结构示意图。如图1所示,WiFi信号阻断***100包括:处理器单元110、数据包采集单元120、数据包处理单元130、以及WiFi信号阻断单元150。
处理器单元110包括多个中央处理单元(Central Processing Unit,以下简称为CPU),分别为CPU 1、CPU 2、......、CPU n。
数据包采集单元120,包括多个无线网络接口,分别为无线网络接口1、无线网络接口2、......、无线网络接口n。数据包采集单元120采集无线网络环境中传输的数据包(包含管理帧、数据帧),采集的频率范围为2412MHz~2484MHz,5180MHz~5825MHz。数据包采集单元120包含无线收发接口模块、信道管理模块(图1中未示出)。无线收发接口模块把每块无线网卡(又称:无线网络接口)绑定在处理器单元110中不同的CPU上,以并行采集无线网络环境中传输的数据包。于本实施例中,无线网卡与CPU是一一对应的,这大大提高了数据包的处理效率。信道管理模块将2.4GHz和5.8GHz信道依次轮询设置到每块无线网卡上,周期性的进行信道切换,完成对全信道的数据采集,并将每块无线网卡的当前信道值、占用标志位都保存下来。
数据包采集单元120是采用物理网卡直接绑定CPU的方式,充分利用了多线程、多核的技术优势,并且采用零拷贝技术直接从无线网卡驱动中获取无线数据包,极大提高无线数据包的采集效率,避免了无线数据包丢包的情况。数据包采集后,不做串行业务处理,直接发送给数据包处理单元130中待处理的数据队列。
数据包处理单元130,具有多个数据队列(分别为数据队列1、数据队列2、......、数据队列n)并行处理数据包采集单元120发送过来的无线网络数据,判定需要阻断的无线AP及无线终端,将需要阻断的无线AP及无线终端的信息发送至WiFi信号阻断单元150,其中,每个数据队列与每个CPU是一一对应的。数据包处理单元130包含无线信息分析模块、策略匹配模块(图1中未示出)。无线信息分析模块对原始数据报文进行分析,并建立无线网络拓扑结构信息,其中无线网络拓扑结构信息包括:无线接入点(Access Point,以下简称为AP)信息、无线终端信息、以及无线AP和无线终端之间的关联关系信息等。策略匹配模块此对无线网络拓扑结构信息与黑名单,判断无线AP或无线终端是否需要被阻断,将需要阻断的无线AP及无线终端加入WiFi信号阻断单元150中对应的阻断队列。
无线信息分析模块采集的信息有:无线AP信息,包含SSID(Service SetIdentifier,服务集标识)、BSSID(Basic Service Set Identifier,基本服务集标识)、设备厂商、认证方式、加密方式、信道、信号强度、以及当前连接的无线终端数目;无线终端的信息,包含MAC、设备厂商、认证方式、加密方式、信道、信号强度、当前连接的SSID、以及当前连接的BSSID。黑名单包含以下三种类型:第一种是无线信道黑名单,表示该信道上提供无线热点服务的无线AP以及该信道上接入无线AP的无线终端都会被阻断。第二种是AP黑名单,表示不允许提供无线热点服务的无线基本服务集,所述无线基本服务集是指该无线基本服务集下的所有无线终端都会被阻断。第三种是无线终端黑名单,表示不允许接入无线网络的无线终端,所述无线终端指任何被加入无线终端黑名单的对应硬件地址(Media Access Control,以下简称为MAC)的无线终端,无论该无线终端连接至任何AP,该无线终端都会被阻断。其中,策略匹配模块中的黑名单可以是预先设置,也可以根据网络流量和无线AP下的可疑无线终端的判断实现动态添加。
WiFi信号阻断单元150,具有多个阻断线程(分别为阻断线程1、阻断线程2、......、阻断线程n),根据数据包处理单元130发送的需要阻断的无线AP及无线终端的信息,对需要阻断的无线AP(又称为:非法无线AP),发送广播的解除身份验证(Deauthentication,以下直接描述为Deauthentication)数据包,对需要阻断的无线终端(又称为:非法无线终端)发送单播的Deauthentication数据包。
具体来说,WiFi信号阻断单元150的每个阻断线程实时从阻断队列中提取待阻断的队列数据,如果是AP阻断,设置所述Deauthentication数据包的源地址为AP的BSSID,BSSID值为AP的BSSID,目的地址为广播(0XFFFFFFFFFFFF)的MAC地址。如果是无线终端阻断,对于无线终端属于基础型网络,设置所述Deauthentication数据包的源地址和BSSID值为AP的BSSID,目的地址为无线终端的MAC地址,Reason Code(原因码)的值设置为5表示无线接入点拒绝接入;如果是无线终端阻断,对于无线终端属于点对点模式(以下称为:Ad-Hoc)网络,设置Deauthentication数据包的目的地址为属于这个网络中其它无线终端的MAC地址,源地址设置为需要被阻断的无线终端的MAC地址,Reason Code(原因码)的值设置为3,表示需要被阻断的无线终端主动退出;如果是信道阻断,则分别构建AP阻断的Deauthentication数据包和无线终端阻断的Deauthentication数据包进行发送。其中,将Deauthentication数据包的Duration(持续时间)值设置为0,这样做,可以减少访问媒介的时间限制,避免对不需要被阻断的无线网络的通信造成影响。另外,在Deauthentication数据包的发送周期内,可以发送信道锁定指令给数据包处理单元的信道管理模块,以保证Deauthentication数据包的正确发送出去。
如图1所描述的WiFi信号阻断***100从无线数据包的采集、分析到WiFi信号的阻断全部采用并行处理,数据包采集时绑定内核CPU,多线程进行数据包分析,多线程进行阻断数据包发送,充分发挥了多网卡,多核,多线程的性能。
另外,图1所描述的WiFi信号阻断***100仅为本发明的一个较佳实施例,本领域技术人员在以上描述的基础上应当知晓,于不同的实际需求下,WiFi信号阻断***也可以被设计为多网卡单核多线程、单网卡多核多线程、非一一对应式的多网卡多核多线程(例如:每个CPU绑定多块无线网卡或多个CPU绑定一块无线网卡)的结构,图1中所描述的CPU与网卡一一对应的结构并不能用以限制本发明。基于一块或多块的无线网卡,本发明的WiFi信号阻断***可以实现一种全信道覆盖的动态切换技术,通过相同信道上数据包同时收发,达到覆盖范围的信道快速检测并实时阻断。
图2为本发明一实施方式提供的WiFi信号阻断***中数据包采集单元的详细结构示意图。如图2所示,数据包采集单元120包括:无线收发接口模块121以及信道管理模块122。
无线收发接口模块121将无线网卡(又称:无线网络接口)一一对应的绑定在处理器单元110中的CPU上,以并行采集无线网络环境中传输的数据包。信道管理模块122将2.4G和5.8G信道依次轮询设置到每块无线网卡(无线网络接口)上,周期性的进行信道切换,对全信道进行数据采集,并将每块无线网卡的当前信道值、占用标志位都保存下来。
无线收发接口模块121包括数据包接收模块1211、数据包发送模块1212、无线网络接口模块1213,其中,无线网络接口模块1213中包括:无线网络接口1、无线网络接口2、......、无线网络接口n。数据包接收模块1211用于在指定工作信道上多线程接收无线数据包。数据包发送模块1212用于在指定工作信道上多线程发送无线数据包。
信道管理模块122包括:全信道工作池1221,当前信道工作池1222,信道锁定及释放模块1223。全信道工作池列表1221是***初始化或下一个当前信道切换周期内使用的信道切换列表。当前信道工作池列表1222是***工作过程中统计出来的当前所有无线AP和无线终端正在使用的信道列表,提供给下一个信道切换周期使用。信道锁定及释放模块1223于发送阻断数据包之前,获取与当前需要被阻断的无线AP或无线终端相同信道的无线网络接口,并锁定该无线网络接口,于阻断数据包发送完成后,释放该无线网络接口。
图3为本发明一实施方式提供的WiFi信号阻断***中数据包处理单元的详细结构示意图。数据包处理单元130具有多个数据队列(分别为数据队列1、数据队列2、......、数据队列n)并行处理数据包采集单元120发送过来的无线网络数据包。如图3所示:数据包处理单元130包含无线信息分析模块131、策略匹配模块132,无线信息分析模块131对原始数据报文进行分析,并建立无线网络拓扑结构信息,其中无线网络拓扑结构信息包括:无线接入点(AccessPoint,以下简称为AP)信息、无线终端信息、以及无线AP和无线终端之间的关联关系信息等。策略匹配模块132此对无线网络拓扑结构信息与黑名单,判断无线AP或无线终端是否需要被阻断,并将需要阻断的无线AP及无线终端加入WiFi信号阻断单元150中对应的阻断队列。
数据队列1、数据队列2、......、数据队列n,用于存储数据包采集单元120发送过来的待处理的无线网络数据。
无线信息分析模块131分析以上数据队列中无线网络数据包得到无线AP信息、无线终端信息、以及无线AP及无线终端之间的关联关系信息。其中,无线AP信息包含:SSID,BSSID,设备厂商,认证方式,加密方式,信道,信号强度,当前连接的无线终端数量。无线终端信息包含:MAC,设备厂商,认证方式,加密方式,信道,信号强度,当前连接的SSID,当前连接的BSSID。无线网络拓扑结构是通过无线AP及无线终端之间的关联关系信息得到的。当一个无线AP连接多个无线终端时,可以认定此无线网络拓扑结构为基础型无线网络。无线AP及无线终端之间是点对点连接时,可以认定此无线网络拓扑结构为基于Ad-Hoc的无线网络。
策略匹配模块132包括:信道黑名单判断模块1321、无线AP黑名单判断模块1322、以及无线终端黑名单判断模块1323。信道黑名单判断模块1321将无线AP或无线终端的工作信道与信道黑名单中记录的信道进行此对,判断无线AP或无线终端的工作信道是否在信道黑名单中,如果在信道黑名单中,则将无线AP或无线终端加入到WiFi信号阻断单元150中对应的阻断队列。无线AP黑名单判断模块1322将无线AP的BSSID与无线AP黑名单中记录的BSSID进行比对,判断无线AP是否在无线AP黑名单中,如果在无线AP黑名单中,则将无线AP添加到WiFi信号阻断单元150中对应的阻断队列中。无线终端黑名单判断模块1323将无线终端的MAC与无线终端黑名单中记录的MAC进行此对,判断无线终端是否在无线终端黑名单中,如果在无线终端黑名单中,则将无线终端添加到WiFi信号阻断单元150中对应的阻断队列中。
图4为本发明一实施方式提供的WiFi信号阻断***中WiFi信号阻断单元的详细结构示意图。如图4所示:WiFi信号阻断单元150,具有多个阻断线程,分别为阻断线程1、阻断线程2、......、阻断线程n。WiFi信号阻断单元150包括阻断指令获取模块151,Deauthentication数据包生成模块152,Deauthentication数据包发送模块153。
阻断线程1、阻断线程2、......、阻断线程n并行处理数据包处理单元130发送过来的阻断任务列表。阻断指令获取模块151实时从阻断线程的阻断任务列表获取一条阻断任务指令,此时,对应的阻断线程中的任务列表任务减一。Deauthentication数据包生成模块152,根据阻断指令获取模块151获取的阻断任务指令中的阻断类型以及当前的无线网络拓扑结构的类型,生成Deauthentication数据包(即:阻断数据包)。Deauthentication数据包发送模块153,锁定发送Deauthentication数据包需要的无线网络接口,发送Deauthentication(解除身份验证)数据包,发送完成后释放无线网络接口。
阻断指令获取模块151实时从阻断队列中提取待阻断的任务列表数据。Deauthentication数据包生成模块152根据阻断类型以及当前的无线网络拓扑结构的类型生成阻断数据包,具体来说,如果是AP阻断,设置所述Deauthentication数据包的源地址为AP的BSSID,BSSID值为AP的BSSID,目的地址为广播(0XFFFFFFFFFFFF)的MAC地址。如果是无线终端阻断,对于无线终端属于基础型网络,设置所述Deauthentication数据包的源地址和BSSID值为AP的BSSID,目的地址为无线终端的MAC地址,Reason Code(原因码)的值设置为5表示无线接入点拒绝接入;如果是无线终端阻断,对于无线终端属于Ad-Hoc网络,设置Deauthentication数据包的目的地址为属于这个网络中其它无线终端的MAC地址,源地址设置为需要被阻断的无线终端的MAC地址,ReasonCode(原因码)的值设置为3,表示需要被阻断的无线终端主动退出;如果是信道阻断,则分别构建AP阻断的Deauthentication数据包和无线终端阻断的Deauthentication数据包进行发送。其中,将Deauthentication数据包的Duration(持续时间)值设置为0,这样做,可以减少访问媒介的时间限制,避免对不需要被阻断的无线网络的通信造成影响。另外,在Deauthentication数据包的发送周期内,可以发送信道锁定指令给数据包处理单元的信道管理模块,以保证Deauthentication数据包的正确发送出去。
本发明以上实施例所描述的WiFi信号阻断***从无线数据包采集、分析、阻断全部采用并行处理,数据包采集时绑定内核CPU,多线程进行数据包分析,多线程进行阻断数据包发送,充分发挥了WiFi信号阻断***多网卡,多核,多线程的性能。通过信道黑名单判断模块以及无线AP黑名单判断模块的对此判断,***能够自动分析出需要被阻断的无线AP以及无线终端,精确地发送阻断数据包实现非法AP和非法无线终端的精确阻断,保障了网络安全,同时也避免了无线网络中合法的无线AP和无线终端被阻断;通过信道黑名单判断模块的对此判断,可以快速净化无线网络环境,保障了合法工作信道上的无线AP和无线终端的正常服务。通过将用于阻断无线AP和无线终端的Deauthentication数据包中的Duration(持续时间)值设置为0,减少了访问媒介的时间限制,即减少了对信道的占用时间,保证了不需要被阻断的合法移动终端与无线AP之间的正常通信。另外,WiFi信号阻断单元在针对无线终端进行阻断时,能够根据无线信息分析模块识别出的无线网络拓扑结构类型,采取不同的阻断方式,有效阻断了非法无线终端和无线AP,保证了无线网络的安全,同时又不会对正常的通信造成任何影响。
图5为本发明一实施方式提供的WiFi信号阻断方法的流程图。如图5所示,WiFi信号阻断方法500包括:
步骤S501:获取无线网络中传输的无线数据包。无线数据包包含管理帧、数据帧,采集的频率范围为2412MHz~2484MHz以及5180MHz~5825MHz。无线数据采集采用了信道动态切换技术,使用全信道工作池及当前信道工作池。全信道工作池包含了2.4GHz,5.8GHz所有允许使用的频段,***在初始化时默认使用全信道工作池对本范围内的无线网络进行扫描,采集无线网络数据包。在***运行一段时间后,对本范围内的无线网络进行了充分的扫描后,统计出当前无线网络环境中所有的工作信道加入当前信道工作池。对于以上两种信道池,***采用定时器策略,每种信道池分配一定的工作周期,在工作周期内***把信道依次轮询的方式设置到无线网络接口。在步骤S501中,无线数据包的采集是并行处理,通过多块无线网卡,多块CPU多线程来处理,每块无线网卡绑定一个CPU,利用无线网卡的双通道特性,可以实现数据包的同时收发操作。每块无线网卡采集到的无线数据经过过滤后直接送给数据队列。数据包的采集是采用零拷贝技术直接从无线网卡驱动中获取无线数据包。
步骤S503:对数据队列中的无线数据包进行并行分析,得到无线AP信息、无线终端信息、无线AP和无线终端的关联关系信息,并构建无线网络拓扑结构。其中,无线AP信息包含SSID、BSSID、设备厂商、认证方式、加密方式、信道、信号强度、以及当前连接的无线终端数目;无线终端信息包含MAC、设备厂商、认证方式、加密方式、信道、信号强度、当前连接的SSID、以及当前连接的BSSID。
步骤S505:判定需要阻断的无线AP及无线终端,将需要阻断的无线AP及无线终端的信息发送至阻断队列中。具体来说,将无线AP或无线终端的工作信道与信道黑名单中记录的信道进行此对,如果无线AP或无线终端的工作信道在信道黑名单中,则立即向阻断线程发送阻断指令,将需要阻断的无线AP及无线终端的信息发送至阻断队列中。将无线AP的BSSID与无线AP黑名单中记录的BSSID进行此对,如果在AP黑名单中,则立即向阻断线程发送阻断指令,将需要阻断的无线AP信息发送至阻断队列中。将无线终端的MAC与无线终端黑名单中记录的MAC进行此对,如果在无线终端黑名单中,则立即向阻断线程发送阻断指令,将需要阻断的无线终端的信息发送至阻断队列中。
步骤S507:根据阻断指令的类型、无线网络拓扑结构的类型,生成Deauthentication(解除身份验证)数据包,并锁定相同信道的无线网络接口将生成的Deauthentication数据包发送出去。具体来说,每个阻断线程实时从阻断队列中提取待阻断的队列信息,如果是无线AP阻断,则将所述Deauthentication数据包的源地址和BSSID值都设置为为无线AP的BSSID、目的地址设置为广播(0XFFFFFFFFFFFF)的MAC地址;如果是无线终端阻断,且无线终端属于基础型网络拓扑结构,则将所述Deauthentication数据包的源地址和BSSID值都设置为无线AP的BSSID、目的地址设置为无线终端的MAC地址、原因码的值设置为5,表示无线AP拒绝接入;如果是无线终端阻断,且无线终端属于Ad-Hoc网络,则将Deauthentication数据包的目的地址设置为属于这个网络中其它无线终端的MAC地址、源地址设置为需要被阻断的无线终端的MAC地址、原因码的值设置为3,表示需要被阻断的无线终端主动退出;如果是信道阻断,则分别构建无线AP阻断的Deauthentication数据包和无线终端阻断的Deauthentication数据包进行发送。另外,将Deauthentication数据包的Duration(持续时间)值设置为0,以减少访问媒介的时间限制,避免对不需要被阻断的无线网络的通信造成影响。
本发明以上实施例所描述的WiFi信号阻断方法从无线数据包采集、分析、阻断全部采用并行处理,数据包采集时绑定内核CPU,多线程进行数据包分析,多线程进行阻断数据包发送,充分发挥了WiFi信号阻断***多网卡,多核,多线程的性能。通过对比判断自动分析出需要被阻断的无线AP以及无线终端,并发送阻断数据包实现非法AP和非法无线终端的精确阻断,保障了网络安全,同时也避免了无线网络中合法的无线AP和无线终端被阻断;通过将用于阻断无线AP和无线终端的Deauthentication数据包中的Duration值设置为0,减少了访问媒介的时间限制,即减少了对信道的占用时间,保证了不需要被阻断的合法移动终端与无线AP之间的正常通信。另外,在针对无线终端进行阻断时,能够根据无线网络拓扑结构类型,采取不同的阻断方式,有效阻断了非法无线终端和无线AP,保证了无线网络的安全,同时又不会对正常的通信造成任何影响。
以上所述的WiFi信号阻断***及其方法仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (12)
1.一种WiFi信号阻断***,其特征在于,所述WiFi信号阻断***包括:
数据包采集单元,具有多个无线网络接口,并行采集无线网络环境中传输的数据包;
数据包处理单元,具有多个数据队列,并行处理所述数据包采集单元发送的无线网络数据,判定需要阻断的无线AP及无线终端,将需要阻断的所述无线AP及所述无线终端的信息发送至WiFi信号阻断单元;以及
所述WiFi信号阻断单元,具有多个阻断线程,根据所述数据包处理单元发送的需要阻断的所述无线AP及所述无线终端的信息,对需要阻断的所述无线AP及所述无线终端发送解除身份验证数据包。
2.如权利要求1所述的WiFi信号阻断***,其特征在于:
所述WiFi信号阻断单元,根据所述数据包处理单元发送的需要阻断的所述无线AP及所述无线终端的信息,对需要阻断的所述无线AP发送广播的解除身份验证数据包,对需要阻断的所述无线终端发送单播的解除身份验证数据包。
3.如权利要求1所述的WiFi信号阻断***,其特征在于,所述数据包采集单元进一步包括:
无线收发接口模块,用于将所述无线网络接口分别绑定到不同的CPU上,以并行采集无线网络环境中传输的所述数据包;以及
信道管理模块,将2.4GHz和5.8GHz信道依次轮询设置到所述无线网络接口中的每个无线网络接口上,周期性的进行信道切换,以对所述2.4GHz和5.8GHz信道的数据进行采集。
4.如权利要求3所述的WiFi信号阻断***,其特征在于:所述无线网络接口中的每个无线网络接口与所述CPU是一一对应的关系。
5.如权利要求3所述的WiFi信号阻断***,其特征在于,所述信道管理模块进一步包括:
信道锁定及释放模块,于发送阻断数据包之前,获取与当前需要被阻断的所述无线AP或所述无线终端相同信道的第一无线网络接口,并锁定所述第一无线网络接口,于所述阻断数据包发送完成后,释放所述第一无线网络接口。
6.如权利要求1所述的WiFi信号阻断***,其特征在于,所述数据包处理单元进一步包括:
无线信息分析模块,对所述数据包采集单元发送的所述无线网络数据进行分析,并建立无线网络拓扑结构信息,其中,无线网络拓扑结构信息包括:无线AP信息、无线终端信息、以及无线AP和无线终端之间的关联关系信息;以及
策略匹配模块,判断所述无线AP或所述无线终端是否需要被阻断,将需要阻断的所述无线AP及所述无线终端加入所述WiFi信号阻断单元中对应的阻断队列。
7.如权利要求6所述的WiFi信号阻断***,其特征在于,所述策略匹配模块进一步包括:
信道黑名单判断模块,将所述无线AP或所述无线终端的工作信道与信道黑名单中记录的信道进行比对,以判断所述无线AP或所述无线终端的工作信道是否在所述信道黑名单中,如果是,则将所述无线AP或所述无线终端加入到所述WiFi信号阻断单元中对应的阻断队列;
无线AP黑名单判断模块,将所述无线AP的BSSID与所述无线AP黑名单中记录的BSSID进行比对,判断所述无线AP是否在所述无线AP黑名单中,如果是,则将所述无线AP添加到所述WiFi信号阻断单元中对应的阻断队列;以及
无线终端黑名单判断模块,将所述无线终端的MAC与所述无线终端黑名单中记录的MAC进行比对,判断所述无线终端是否在所述无线终端黑名单中,如果是,则将所述无线终端添加到所述WiFi信号阻断单元中对应的阻断队列。
8.如权利要求1所述的WiFi信号阻断***,其特征在于,所述WiFi信号阻断单元包括:
阻断指令获取模块,实时从所述阻断线程的阻断任务列表中获取阻断任务指令;
解除身份验证数据包生成模块,根据所述阻断指令获取模块获取的所述阻断任务指令中的阻断类型以及当前的无线网络拓扑结构的类型,生成解除身份验证数据包;以及
解除身份验证数据包发送模块,锁定发送所述解除身份验证数据包需要的第二无线网络接口,发送所述解除身份验证数据包,发送完成后释放所述第二无线网络接口。
9.一种WiFi信号阻断方法,其特征在于,所述WiFi信号阻断方法包括:
获取无线网络中传输的无线数据包的步骤;
对所述无线数据包进行并行分析,得到无线AP信息、无线终端信息、无线AP和无线终端的关联关系信息,并构建无线网络拓扑结构的步骤;
判定需要阻断的无线AP及无线终端,向阻断线程发送阻断指令,将需要阻断的所述无线AP及所述无线终端的信息发送至阻断队列中的步骤;以及
根据阻断指令的类型、无线网络拓扑结构的类型,生成解除身份验证数据包,并锁定相同信道的无线网络接口,发送所述解除身份验证数据包的步骤。
10.如权利要求9所述的WiFi信号阻断方法,其特征在于,所述判定需要阻断的无线AP及无线终端,向阻断线程发送阻断指令,将需要阻断的所述无线AP及所述无线终端的信息发送至阻断队列中的步骤进一步包括:
将所述无线AP或所述无线终端的工作信道与信道黑名单中记录的信道进行比对,如果所述无线AP或所述无线终端的所述工作信道在所述信道黑名单中,则立即向所述阻断线程发送所述阻断指令,将需要阻断的所述无线AP及所述无线终端的信息发送至所述阻断队列中的步骤;
将所述无线AP的BSSID与无线AP黑名单中记录的BSSID进行比对,如果在所述无线AP黑名单中,则立即向所述阻断线程发送所述阻断指令,将需要阻断的所述无线AP信息发送至所述阻断队列中的步骤;
将所述无线终端的MAC与无线终端黑名单中记录的MAC进行比对,如果在所述无线终端黑名单中,则立即向所述阻断线程发送所述阻断指令,将需要阻断的所述无线终端的信息发送至所述阻断队列中的步骤。
11.如权利要求9所述的WiFi信号阻断方法,其特征在于,所述根据阻断指令的类型、无线网络拓扑结构的类型,生成解除身份验证数据包,并锁定相同信道的无线网络接口,发送所述解除身份验证数据包的步骤进一步包括:
所述阻断线程实时从所述阻断队列中提取待阻断的队列信息的步骤;
如果是无线AP阻断,则将所述解除身份验证数据包的源地址和BSSID值都设置为为所述无线AP的BSSID、目的地址设置为广播0XFFFFFFFFFFFF的MAC地址的步骤;
如果是无线终端阻断,且所述无线终端属于基础型网络拓扑结构,则将所述解除身份验证数据包的源地址和BSSID值都设置为所述无线AP的BSSID、目的地址设置为所述无线终端的MAC地址、原因码的值设置为5的步骤;
如果是所述无线终端阻断,且所述无线终端属于Ad-Hoc网络拓扑结构,则将所述解除身份验证数据包的目的地址设置为属于这个网络中其它无线终端的MAC地址、源地址设置为需要被阻断的所述无线终端的MAC地址、原因码的值设置为3的步骤;以及
如果是信道阻断,则分别生成所述无线AP阻断的解除身份验证数据包和所述无线终端阻断的解除身份验证数据包的步骤。
12.如权利要求11所述的WiFi信号阻断方法,其特征在于,所述根据阻断指令的类型、无线网络拓扑结构的类型,生成解除身份验证数据包,并锁定相同信道的无线网络接口,发送所述解除身份验证数据包的步骤进一步包括:
将所述解除身份验证数据包的持续时间值设置为0的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410603623.8A CN104320782A (zh) | 2014-10-27 | 2014-10-27 | WiFi信号阻断***及其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410603623.8A CN104320782A (zh) | 2014-10-27 | 2014-10-27 | WiFi信号阻断***及其方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104320782A true CN104320782A (zh) | 2015-01-28 |
Family
ID=52375935
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410603623.8A Pending CN104320782A (zh) | 2014-10-27 | 2014-10-27 | WiFi信号阻断***及其方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104320782A (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105188062A (zh) * | 2015-08-28 | 2015-12-23 | 深圳市信锐网科技术有限公司 | 泄密防护方法和装置 |
| CN105635185A (zh) * | 2016-03-25 | 2016-06-01 | 珠海网博信息科技股份有限公司 | 一种wifi环境下防止监听的方法和装置 |
| CN106028356A (zh) * | 2016-07-05 | 2016-10-12 | 上海斐讯数据通信技术有限公司 | 无线接入设备处理方法及*** |
| CN106376030A (zh) * | 2016-08-31 | 2017-02-01 | 成都科来软件有限公司 | 一种WiFi信道的监听方法 |
| CN106921460A (zh) * | 2017-02-23 | 2017-07-04 | 武汉虹旭信息技术有限责任公司 | 基于无线网络的信号屏蔽***及其方法 |
| CN107094295A (zh) * | 2017-04-28 | 2017-08-25 | 杭州亚古科技有限公司 | WiFi模块的阻断方法和装置 |
| CN107222538A (zh) * | 2017-06-01 | 2017-09-29 | 深圳市科迈爱康科技有限公司 | 远程无线数据传输方法、装置及计算可读存储介质 |
| CN107241734A (zh) * | 2017-06-26 | 2017-10-10 | 南京物联传感技术有限公司 | 一种Zigbee通信动态阻断***及其阻断方法 |
| WO2017201828A1 (zh) * | 2016-05-24 | 2017-11-30 | 中兴通讯股份有限公司 | 一种无线设备的安全接入方法及装置 |
| CN109362118A (zh) * | 2018-12-03 | 2019-02-19 | 武汉奥浦信息技术有限公司 | 一种基于便携式设备的wifi压制拦截方法 |
| CN111163018A (zh) * | 2019-12-02 | 2020-05-15 | 华为技术有限公司 | 网络设备及其降低传输时延的方法 |
| CN113473471A (zh) * | 2021-06-21 | 2021-10-01 | 杭州网银互联科技股份有限公司 | 一种阻断无线移动终端接入非法ap的方法 |
| CN115515140A (zh) * | 2022-09-19 | 2022-12-23 | 西安紫光展锐科技有限公司 | 预防无线网络攻击的方法、装置、设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102361513A (zh) * | 2003-02-25 | 2012-02-22 | 西门子公司 | 用于驱动移动无线电通信***的终端设备的方法 |
| CN103037373A (zh) * | 2012-12-21 | 2013-04-10 | 成都科来软件有限公司 | 一种无线节点阻断*** |
| CN103067916A (zh) * | 2012-12-21 | 2013-04-24 | 成都科来软件有限公司 | 一种无线移动终端阻断***及方法 |
-
2014
- 2014-10-27 CN CN201410603623.8A patent/CN104320782A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102361513A (zh) * | 2003-02-25 | 2012-02-22 | 西门子公司 | 用于驱动移动无线电通信***的终端设备的方法 |
| CN103037373A (zh) * | 2012-12-21 | 2013-04-10 | 成都科来软件有限公司 | 一种无线节点阻断*** |
| CN103067916A (zh) * | 2012-12-21 | 2013-04-24 | 成都科来软件有限公司 | 一种无线移动终端阻断***及方法 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105188062A (zh) * | 2015-08-28 | 2015-12-23 | 深圳市信锐网科技术有限公司 | 泄密防护方法和装置 |
| CN105188062B (zh) * | 2015-08-28 | 2018-12-14 | 深圳市信锐网科技术有限公司 | 泄密防护方法和装置 |
| CN105635185A (zh) * | 2016-03-25 | 2016-06-01 | 珠海网博信息科技股份有限公司 | 一种wifi环境下防止监听的方法和装置 |
| WO2017201828A1 (zh) * | 2016-05-24 | 2017-11-30 | 中兴通讯股份有限公司 | 一种无线设备的安全接入方法及装置 |
| CN107426730A (zh) * | 2016-05-24 | 2017-12-01 | 中兴通讯股份有限公司 | 一种无线设备的安全接入方法及装置 |
| CN106028356A (zh) * | 2016-07-05 | 2016-10-12 | 上海斐讯数据通信技术有限公司 | 无线接入设备处理方法及*** |
| CN106376030A (zh) * | 2016-08-31 | 2017-02-01 | 成都科来软件有限公司 | 一种WiFi信道的监听方法 |
| CN106921460A (zh) * | 2017-02-23 | 2017-07-04 | 武汉虹旭信息技术有限责任公司 | 基于无线网络的信号屏蔽***及其方法 |
| CN107094295A (zh) * | 2017-04-28 | 2017-08-25 | 杭州亚古科技有限公司 | WiFi模块的阻断方法和装置 |
| CN107222538A (zh) * | 2017-06-01 | 2017-09-29 | 深圳市科迈爱康科技有限公司 | 远程无线数据传输方法、装置及计算可读存储介质 |
| CN107241734A (zh) * | 2017-06-26 | 2017-10-10 | 南京物联传感技术有限公司 | 一种Zigbee通信动态阻断***及其阻断方法 |
| CN109362118A (zh) * | 2018-12-03 | 2019-02-19 | 武汉奥浦信息技术有限公司 | 一种基于便携式设备的wifi压制拦截方法 |
| CN111163018A (zh) * | 2019-12-02 | 2020-05-15 | 华为技术有限公司 | 网络设备及其降低传输时延的方法 |
| CN113473471A (zh) * | 2021-06-21 | 2021-10-01 | 杭州网银互联科技股份有限公司 | 一种阻断无线移动终端接入非法ap的方法 |
| CN115515140A (zh) * | 2022-09-19 | 2022-12-23 | 西安紫光展锐科技有限公司 | 预防无线网络攻击的方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104320782A (zh) | WiFi信号阻断***及其方法 | |
| Hassan et al. | NB-IoT: Concepts, applications, and deployment challenges | |
| CN102090092B (zh) | 具有可信处理环境的移动无线电通信设备和用于处理其中的计算机程序的方法 | |
| KR102166619B1 (ko) | 스테이션의 안전하고 빠른 웨이크업을 위한 시스템 및 방법 | |
| US9832674B2 (en) | Cloud controller for self-optimized networks | |
| CN103118360B (zh) | 一种阻断无线移动终端的*** | |
| CN111148105B (zh) | 类别信息的确定方法及装置 | |
| Verma et al. | A network-aware Internet-wide scan for security maximization of IPV6-enabled WLAN IoT devices | |
| US20060165073A1 (en) | Method and a system for regulating, disrupting and preventing access to the wireless medium | |
| US20140130155A1 (en) | Method for tracking out attack device driving soft rogue access point and apparatus performing the method | |
| CN101990211B (zh) | 网络接入方法、装置和*** | |
| Mišić et al. | Capillary machine-to-machine communications: the road ahead | |
| Jover et al. | Connection-less communication of IoT devices over LTE mobile networks | |
| CN102017778A (zh) | 用于wlan网络的网络信道容量计划、测量以及分析的方法及*** | |
| Dujovne et al. | A taxonomy of IEEE 802.11 wireless parameters and open source measurement tools | |
| CN103067916B (zh) | 一种无线移动终端阻断***及方法 | |
| Könings et al. | Channel switch and quiet attack: New DoS attacks exploiting the 802.11 standard | |
| CN104869586A (zh) | 一种动态信道检测的处理方法、站点及接入点设备 | |
| CN104333858B (zh) | 一种基于去关联/去认证帧的信道资源控制方法 | |
| Gopinath et al. | An empirical analysis of heterogeneity in IEEE 802.11 MAC protocol implementations and its implications | |
| WO2022237778A1 (zh) | 异常检测的方法、通信装置及通信*** | |
| Ooko et al. | Security issues in IPv6 over Low-power wireless personal area networks (6LoWPAN): a review | |
| CN105979546A (zh) | 一种信道检测方法 | |
| CN104333859A (zh) | 一种无线局域网的通信管控方法 | |
| KR101448091B1 (ko) | 보안 공격 감지에 의한 무선 센서네트워크 보안 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150128 |
|
| RJ01 | Rejection of invention patent application after publication |