我正在使用无线网络,我想确保没有未经授权的用户通过我的接入点进行连接。我使用的是设备支持的标准加密。我知道有人扫描我的网络并破解加密密钥然后连接是小事一桩。有什么工具可以发现恶意用户吗?
答案1
如果您的网络相对较小,并且您知道在任何给定时间应该有多少用户/设备在使用,则可以检查无线路由器的客户端列表。这因型号和固件而异,并且对于第三方(例如 dd-wrt)可能完全不同。例如,我的基于 dd-wrt 的 Linksys 路由器具有:
两个客户端已连接。我知道总共可能有 4 个客户端,而且我知道图片中两个设备的最后两个八位字节 :-)。当然,如果您有很多用户/设备,这可能行不通,而且 MAC 当然可以被欺骗。您应该将加密切换为 WPA2,因为 WEP 无论如何都很容易被破解,这将有助于防止未经授权的人访问您的网络。
根据你正在使用的环境,你可能还需要研究类似的工具鼾声。SNORT 是一种入侵检测系统,非常适合网络监控。对于超级用户来说,这可能是一个有趣且有用的家庭项目,如果是为了工作,那么在公司中使用 SNORT 的理由有很多。
如果你了解 SNORT,你也许会对以下内容感兴趣斯吉尔,一个用于查看 SNORT 数据的漂亮 GUI 前端。
(我与 SNORT 或 sguil 没有任何关系,可能存在其他更适合您使用情况的工具,但这些是我使用过的)
答案2
那么,“通过我的接入点连接”可能意味着两件不同的事情:(1)恶意用户是否已经与我的接入点建立了连接,或者(2)用户是否正在做我不希望他们做的事情?
检测 #1 的存在,可以说,很困难。你可以监控已连接用户的 MAC 地址(或者更可能是 DHCP 日志,记录谁租用了 IP 地址),但要欺骗一个 MAC 地址,使得恶意用户看起来好像正在使用“您的”硬件。
有检测 #2 的工具,具体取决于您的路由器。许多路由器都有某种日志记录功能,例如,您可以关闭所有“您的”设备并监控网络是否有任何使用情况。
当然,这在很大程度上是学术性的,因为问题的真正答案是购买支持WPA2。最近几年生产的任何接入点都支持开箱即用的 WPA2,这更难以规避。