我的客户最近更改了他们的网络策略,因此现在所有 WIFI 路由器都无法接入网络。他们说他们会进行一些扫描,并能够在网络上找到“流氓”WIFI 路由器。
他们如何能够检测到这些 WIFI 路由器和接入点?它们位于 100 多个分支机构/公司办公室的远程位置,因此它肯定是一种网络工具,他们不会随身携带 WIFI 检测器或类似的东西。
只是好奇,因为我认为这很有趣。
答案1
如果他们现在实施该政策后,我的直觉告诉我,他们威胁进行扫描只是恐吓策略。但这只是我的怀疑态度……
有几种方法
- 如果设备是路由器而不仅仅是接入点,那么他们将能够在路由路径中看到它
- 网络基础设施设备制造商拥有大量分配给他们用于其产品的 MAC 地址块,因此通过设备的 MAC 地址确定制造商是相当可靠的。如果突然出现一些 LinkSys 或 D-Link,而管理员知道他们不使用这些设备……
- 他们可以在 DHCP 中查找。如果网络正在为客户端使用保留的 DHCP 地址,则这尤其容易。任何不在保留池中的地址都是可疑的。
答案2
许多专业接入点(例如思科提供的接入点)不仅可以检测恶意接入点通过它们所连接的管理引擎 - 它们实际上可以通过使用分离数据包等攻击来阻止任何人使用它们。当然,立即报告发现的恶意接入点,并且根据该区域有效接入点的数量 - 也进行一些有用的位置检测。
如果他们已经在使用受支持的无线解决方案,根据您提到的办公室数量,我猜他们会这样做 - 这只是打开选项的问题。
无线电监控功能使用 Cisco IOS AP 和 Cisco 客户端适配器上的无线电测量功能来发现任何正在传输信标的新 802.11 AP。客户端和 AP 都会定期扫描所有信道上的其他 802.11 信标帧。检测到的信标报告将返回到无线电管理器,无线电管理器会根据已知授权提供无线访问的 AP 列表验证这些信标。如果新发现的 AP 无法被识别为已知授权 AP,则会生成管理员警报。
答案3
我的猜测是,他们正在检查与无线接入点相关的 MAC 地址,正如该人的博客文章中所述。
答案4
在路由器/防火墙上查找 TTL 低于正常值的传出数据包。当数据包流经 WiFi 路由器时,路由器部分会降低数据包的 TTL 值。