WLAN WLANIDS簡 WLANIDS涉及的常用術(shù) 檢測IDS.................................................................................................................................... iWLANWLANIDS簡服務(wù)型等；Rogue設(shè)備對于企業(yè)來說更是一個很嚴重的。WIDS（WirelessIntrusionDetectionSystem）可以對有的用戶和行為進行早期檢測，保護企業(yè)網(wǎng)絡(luò)和用戶不被無線網(wǎng)絡(luò)上的設(shè)備。WIDS可以在不影響網(wǎng)絡(luò)性能的情況下對無線網(wǎng)絡(luò)進行監(jiān)測，從而提供對各種的實時WLANIDSRogueAP：網(wǎng)絡(luò)中或者有的AP，它可以是私自接入到網(wǎng)絡(luò)中的AP、未配置的AP、鄰居AP或者者操作的AP。如果在這些AP上存在安全，就有機會危害無線。RogueClient：客戶端，網(wǎng)絡(luò)中或者有的客戶端，類似RogueAPRogueAPAPMonitorAP，也可以只做MonitorAP。Ad-hocmodeAd-hoc模式，Ad-hoc終端設(shè)備檢測規(guī)則，可以對整個WLAN網(wǎng)絡(luò)中的異常設(shè)備進行監(jiān)視。APRogue無線網(wǎng)橋，Ad-hoc終端等等。根據(jù)實際的無線環(huán)境，可以通過設(shè)定不同的模式來對Rogue設(shè)備進行檢測。幀，檢測無線網(wǎng)絡(luò)中的設(shè)備，但不能提供無線接入服務(wù)。L2Monitor

AP AP

Rogue

Rogue圖1Rogue設(shè)備進行檢測（Monitor模式L2 Rogue Rogue圖2Rogue設(shè)備進行檢測（Hybrid模式在檢測到Rogue設(shè)備后，根據(jù)選用不同的模式，MonitorAP從AC列L2Monitor

AP AP

Rogue

圖3Rogue

Rogue

志信息的方式通知網(wǎng)絡(luò)管理者目前設(shè)備支持的IDS檢測主要包括802.11報文泛洪檢測、APSpoof檢測以及WeakIV檢測。泛洪檢泛洪（Flooding）是指WLAN設(shè)備會在短時間內(nèi)接收了大量的同種類型的報文。此時WLAN設(shè)備會被泛洪的報文淹沒而無法處理真正的無線終端的報文。IDS檢測通過持續(xù)的每臺設(shè)備的流量大小來預(yù)防這種泛洪。當(dāng)流量超出可的上限時，該設(shè)備將被認為要在網(wǎng)絡(luò)內(nèi)泛洪從而被鎖定，此時如果使能了動態(tài)，檢查到的設(shè)備將被加入動態(tài)。認證請求/解除認證請求（AuthenticationDe-關(guān)聯(lián)請求解除關(guān)聯(lián)請求重新關(guān)聯(lián)請求（Association/Disassociation/探查請求（ProbeWeakIV檢在使用WEP加密的時候，對于每一個報會使用初始化向量（IV，InitializationVector），IVKey一起作為輸入來生成KeyStream，使相同密鑰產(chǎn)生不同加密結(jié)果。當(dāng)一個WEP報文被發(fā)送時，用于加密報文的IV也作為報文頭的一部分被發(fā)送。如果客戶端使用不安全的方法生成IV，例如始終使用固定的IV，就可能會共享的密鑰，如果潛在的者獲得了共享的密鑰，者將能夠控制網(wǎng)絡(luò)資源。檢測IDS可以通過識別每個WEP報文的IV來預(yù)防這種，當(dāng)一個有弱初始Spoofing檢這種的潛在者將以其他設(shè)備的名義發(fā)送報文。例如：一個的解除認證的報文會導(dǎo)致無線客戶端下線。Spoofing檢測也支持對廣播解除認證和廣WLAN，則只有白中指定的無線用戶可以接入到WLAN網(wǎng)絡(luò)中，其他的無線用戶的所有報文將被AP直接丟棄。靜態(tài)列表：該列表包含接入的無線客戶端的MAC地址動態(tài)列表：當(dāng)WLAN檢測到來自某一設(shè)備的時，可以選擇將圖4圖4所示有三個AP連接到AC。在AC上配置白列表和列表，白列表和列表將被發(fā)送到所有與之相連的無線接入點上（AP1、A