[发明专利]防无线网络攻击的方法、终端和无线接入点

说明书

技术领域

本发明涉及无线网络技术领域，特别涉及防无线网络攻击的方法、终端和无线接入点。

背景技术

为了防止宽带资源被他人占用，用户通常对其拥有的无线接入点进行加密，现有技术中对无线接入点最常用的加密方式是WPA(Wi-Fi Protected Access，保护无线电脑网络安全系统)。

在实现本发明的过程中，发明人发现至少存在如下问题：终端在连接无线接入点(AP，英文全称为WirelessAccessPoint)阶段时WPA的密钥有被破解的概率。当终端连接无线接入点的次数越多，相同密钥的无线接入点适配次数越多，其密钥被破解的概率越大。其中，破解无线接入点密钥最常见的攻击方式为Deauth攻击。

Deauth攻击，英文全称为De-authentication Flood Attack，译为去身份验证洪水攻击或去验证阻断洪水攻击，通常被简称为Deauth攻击，是无线网络拒绝服务攻击(DOS攻击，英文全称为Denial of Service)的一种形式，它旨在通过欺骗从无线接入点到客户端单播地址的去身份验证帧来将客户端转为未关联的/未认证的状态。

Deauth攻击的方式如下：向终端的MAC地址发送一个伪造数据包，让终端去连接，从而使得终端与无线接入点断开，此时终端会自动尝试与无线接入点重新连接，在重新连接的过程中,数据通信就产生了。这样，当攻击方不停地向终端发送伪造数据包，从而强制让终端与无线接入点不停的断开连接、重新连接。由于终端与无线接入点每次重新连接都需要握手验证，因此在终端与无线接入点每次重新连接的握手验证的过程中,攻击方利用airodump-ng捕获无线接入点与终端4次握手的数据包。然后再利用字典进行暴力破解,从而攻破无线接入点的密钥。

发明内容

本发明的目的是提供能够无线接入点遭到Deauth时，及时发现并提醒用户的防无线网络攻击的方法、终端和无线接入点。

根据本发明实施例的一个方面，提供了一种基于终端的防无线网络攻击的方法，包括：记录当前终端与无线接入点的断开次数；将断开次数与阈值进行比较；如果断开次数达到阈值，则对每个接收的数据包判断其是否为Deauth攻击数据包；如果是Deauth攻击数据包，则发出报警提示。

进一步，对每个接收的数据包判断其是否为Deauth攻击数据包的步骤包括：对断开次数达到阈值后接收的每个数据包提取数据特征；将数据特征与预存的Deauth攻击特征码进行匹配；如果匹配成功，则判定当前数据包为Deauth攻击数据包。

根据本发明实施例的另一个方面，提供了一种终端，包括：至少一个处理器，以及，与至少一个处理器通信连接的存储器；其中，存储器存储有可被一个处理器执行的指令，指令被至少一个处理器执行，以使得至少一个处理器能够实现前述任一种基于终端的防无线网络攻击的方法。

根据本发明实施例的又一方面，提供了一种防无线网络攻击的终端，包括：记录模块，用于记录当前终端与无线接入点的断开次数；比较模块，用于将断开次数与阈值进行比较；判断模块，用于在断开次数达到阈值时，对每个接收的数据包判断其是否为Deauth攻击数据包；报警模块，用于在判断出Deauth攻击数据包时，发出报警提示。

进一步，判断模块包括：第一特征提取单元，用于对断开次数达到阈值后接收的每个数据包提取数据特征；第一匹配单元，用于将数据特征与存储器中预存的Deauth攻击特征码进行匹配；第一判定单元，用于在匹配成功时，判定当前数据包为Deauth攻击数据包。

根据本发明实施例的又一方面，提供了一种基于无线接入点的防无线网络攻击的方法，包括：接收数据包；判断数据包是否为Deauth攻击数据包；如果是，则发出报警提示。

进一步，判断数据包是否为Deauth攻击数据包包括：对数据包提取数据特征；将数据特征与预存的Deauth攻击特征码进行匹配；如果匹配成功，则判定当前数据包为Deauth攻击数据包。

进一步，在发出报警提示之前还包括：获取Deauth攻击数据包的源MAC地址；判断Deauth攻击数据包的源MAC地址和当前无线接入点的MAC地址是否相同；如果相同，则发出报警提示。

根据本发明实施例的又一方面，提供了防无线网络攻击的无线接入点，包括：接收模块，用于接收数据包；攻击判断模块，用于判断数据包是否为Deauth攻击数据包；警示模块，用于在判断出Deauth攻击数据包时，发出报警提示。