快速排查，清除非法AP

黑客为了入侵和破坏无线网络，会使用各种各样的手段。除了正面破解密码，侵入内网进行嗅探入侵等常规方法外，黑客还会采用搭建伪造的AP接入点，执行另类的无线攻击。

例如，黑客会将非法AP伪装成正常的工作基站，诱使合法的用户连接到该非法AP上，这样黑客就可以毫不费力的截获侦听用户通讯。此外，通过搭建大量的虚假AP基站，对正常的无线通讯进行干扰，造成用户无法正常通讯。在一些安全性较高的单位，通常严格执行内外网隔离措施，一旦有内部不法用户在其中连接AP设备，就可以轻松对内网进行渗透等等。

例如，很多无线网卡都提供了软AP功能，即允许使用无线网卡管理软件（或者利用Windows 7等自带的功能），只要该网卡处于上网状态，通过网络共享的手段就可以将无线客户端变成为无线接入点，黑客甚至可以为其配置外接天线，对其无线信号进行放大，扩大其信号覆盖范围。为了达到欺骗用户的目的，黑客往往将该AP接入点的SSID标识符进行更改，使其和周围合法的SSID标识符相同，这种鱼目混珠的方法很容易造成正常用户的搜索无线热点时，认为该非法AP是可以正常连接的。

当用户上当后，在发送和接收数据时，就会处于黑客的全面的监听之下。如果涉及到机密信息，就会在几乎毫不知情的情况下泄露给黑客。因为很多无线网卡的连接程序可以自动探测和连接找到的可用AP，这就大大增加了黑客进行欺骗或的隐蔽性。如果黑客利用该方法搭建功率较大的AP基站，就会在较大的范围内欺骗无线客户端用户，造成的危害和影响是不言而喻的。如果黑客攻击的重点是干扰正常的无线通讯，就会通过创建大量非法AP接入点的手段来实现。例如其可以在BackTrack Linux环境下中使用MDK2等工具，驱动专用的无线网卡，针对特定的无线网络频道，发送伪造的大量干扰信号，或者发送针对特定SSID标识符的无线数据流信号，对合法的AP进行攻击，造成连接到该AP的客户端用户无法正常通讯。

现在很多单位为了抗击黑客攻击，往往采取内外网隔离的方式，不允许内网随意连接Internet上，这的确可以将黑客拒之门外。不过，堡垒往往很容易从内部攻破。如果有内部员工未经允许，自行在内网中连接AP设备，就会给内网安全带了很大的隐患。现在的无线路由器等设备体积越来越小，功能越来越强大，发射功率可调，使用起来极为便利，内网用户可以毫不费力的将其接入有线网络。这样的话，就等于在原本严密的防护网上悄悄开了缺口，让非法用户可以轻松穿墙连接内网。如果无线密码简单的话，就很容易被黑客破解。

面对复杂的安全形势，网管员就需要提高责任意识，定期对网络设备，各种线路和接口进行安全维护和检测，如果在机房等关键位置发现来历不明的接入设备，就应该及时拆除，避免其危害网络安全。对于中大型网络来说，网络配置往往比较复杂，涉及到的机器设备很多，手工进行排查的话，难度是比较大的。利用网络扫描的方法，可以有效提高搜索效率。因为很多AP和无线路由器都提供了Web远程管理功能，其80端口处于开启状态。使用扫描器对特定网段的80端口进行扫描，如果目标设备不是提供正常Web服务的主机，那么只能说明其是非法的无线设备。例如，使用Nmap扫描器就可以实现上述功能。执行“nmap–vv –sS 192.168.0.0/24–p 80”命令，可以对指定的网段进行扫描，检测所有开启80端口的设备。其中的“-vv”参数表示显示详细信息，“-sS”参数使用 SYN扫描方式，可以避开防火墙的拦截，得到精确的探测信息，“-p”参数指定目标端口。

当发现可疑的设备后，可以对其进行进一步的识别。例如探测到IP为192.168.0.190设备比较可疑，可以执行“nmap –vv–aV 192.168.0.190” 命令，对其身份进行判别。其中的“-sV”参数对目标IP的端口信息进行探测。如果该设备是非法连入的无线路由器的话，根据探测信息，可以识别器具体的型号、版本号、MAC地址等信息。也可以在浏览器中直接访问其管理界面，进一步了解其信息。在无线网卡，AP等设备中，都提供了唯一的长度为48位MAC地址信息。利用MAC地址，进一步查询其相关信息。例如打开网址“https://regauth.standards.ieee.org/standards-ra-web/pub/view.html#registries”，在其中的先选择搜索类型。例如“All MAC”， 在“Search Results”栏中输入可疑设备的MAC地址信息，点击查询按钮，可以得到其厂商信息、设备类型等资料。

仅仅搜索到了可疑的AP是不够的，还需要将其找到并清除。不管是内部员工有意或者无意将无线设备连接到内网中，还是不法分子故意所为，都会带来泄露公司数据的危险。因此，必须采取各种方法，准确找到处于隐藏状态的恶意AP接入点。例如，使用带有PCMCIA无线网卡的笔记本电脑，配合检测无线网络强度信号的软件，就可以很方便的探测非法AP的位置。

当然，也可以使用NetStumbler等第三方工具来实现更加强大的检测分析功能。例如在NetStrumbler主界面左侧点击“信道”项，在其下显示不同的信号节点，根据检测到的可疑AP的MAC地址，选择对应信道中的AP项目，在右侧会显示其信号强度信息。也可以使用专用的手持式RF检测仪器来探测非法AP的位置，这类仪器专为搜索非法AP设计，使用起来效率更高。