如何检测 802.11 g/n 网络上的未经授权的访问？

Question 1

如果您的网络相对较小，并且您知道在任何给定时间应该有多少用户/设备在使用，则可以检查无线路由器的客户端列表。这因型号和固件而异，并且对于第三方（例如 dd-wrt）可能完全不同。例如，我的基于 dd-wrt 的 Linksys 路由器具有：

替代文本

两个客户端已连接。我知道总共可能有 4 个客户端，而且我知道图片中两个设备的最后两个八位字节 :-)。当然，如果您有很多用户/设备，这可能行不通，而且 MAC 当然可以被欺骗。您应该将加密切换为 WPA2，因为 WEP 无论如何都很容易被破解，这将有助于防止未经授权的人访问您的网络。

根据你正在使用的环境，你可能还需要研究类似的工具鼾声。SNORT 是一种入侵检测系统，非常适合网络监控。对于超级用户来说，这可能是一个有趣且有用的家庭项目，如果是为了工作，那么在公司中使用 SNORT 的理由有很多。

如果你了解 SNORT，你也许会对以下内容感兴趣斯吉尔，一个用于查看 SNORT 数据的漂亮 GUI 前端。

（我与 SNORT 或 sguil 没有任何关系，可能存在其他更适合您使用情况的工具，但这些是我使用过的）

Answer

如果您的网络相对较小，并且您知道在任何给定时间应该有多少用户/设备在使用，则可以检查无线路由器的客户端列表。这因型号和固件而异，并且对于第三方（例如 dd-wrt）可能完全不同。例如，我的基于 dd-wrt 的 Linksys 路由器具有：

替代文本

两个客户端已连接。我知道总共可能有 4 个客户端，而且我知道图片中两个设备的最后两个八位字节 :-)。当然，如果您有很多用户/设备，这可能行不通，而且 MAC 当然可以被欺骗。您应该将加密切换为 WPA2，因为 WEP 无论如何都很容易被破解，这将有助于防止未经授权的人访问您的网络。

根据你正在使用的环境，你可能还需要研究类似的工具鼾声。SNORT 是一种入侵检测系统，非常适合网络监控。对于超级用户来说，这可能是一个有趣且有用的家庭项目，如果是为了工作，那么在公司中使用 SNORT 的理由有很多。

如果你了解 SNORT，你也许会对以下内容感兴趣斯吉尔，一个用于查看 SNORT 数据的漂亮 GUI 前端。

（我与 SNORT 或 sguil 没有任何关系，可能存在其他更适合您使用情况的工具，但这些是我使用过的）

Question 2

那么，“通过我的接入点连接”可能意味着两件不同的事情：（1）恶意用户是否已经与我的接入点建立了连接，或者（2）用户是否正在做我不希望他们做的事情？

检测 #1 的存在，可以说，很困难。你可以监控已连接用户的 MAC 地址（或者更可能是 DHCP 日志，记录谁租用了 IP 地址），但要欺骗一个 MAC 地址，使得恶意用户看起来好像正在使用“您的”硬件。

有检测 #2 的工具，具体取决于您的路由器。许多路由器都有某种日志记录功能，例如，您可以关闭所有“您的”设备并监控网络是否有任何使用情况。

当然，这在很大程度上是学术性的，因为问题的真正答案是购买支持WPA2。最近几年生产的任何接入点都支持开箱即用的 WPA2，这更难以规避。

Answer

那么，“通过我的接入点连接”可能意味着两件不同的事情：（1）恶意用户是否已经与我的接入点建立了连接，或者（2）用户是否正在做我不希望他们做的事情？

检测 #1 的存在，可以说，很困难。你可以监控已连接用户的 MAC 地址（或者更可能是 DHCP 日志，记录谁租用了 IP 地址），但要欺骗一个 MAC 地址，使得恶意用户看起来好像正在使用“您的”硬件。

有检测 #2 的工具，具体取决于您的路由器。许多路由器都有某种日志记录功能，例如，您可以关闭所有“您的”设备并监控网络是否有任何使用情况。

当然，这在很大程度上是学术性的，因为问题的真正答案是购买支持WPA2。最近几年生产的任何接入点都支持开箱即用的 WPA2，这更难以规避。

相关内容