如何使用艾尔麦WiFi Analyzer发现隐藏(未广播)的SSID
2011-03-08    安恒公司 技术部   
打印自: 安恒公司
地址: HTTP://dtx.anheng.com.cn/news/article.php?articleid=2284
如何使用艾尔麦WiFi Analyzer发现隐藏(未广播)的SSID

作为网络管理员,安全问题是最不能忽视和回避的,有线网防火墙、IDS、IPS,无线网全都使用安全级别很高的802.1x认证方式,但是如果公司内部人员私自接入一个AP,用于实时的向外界泄露机密文件,或者别有用心的人在公司闲置的网络接口安放非法AP窃取敏感信息,看似固若金汤的网络安全很可能就会因这个“蚁穴”而全盘崩溃。
我们在使用无线网前,都会需要知道当前无线网络的SSID,才可以关联到AP上,SSID是寻找wifi服务的一个重要步骤。

那么什么是SSID?SSID(Service Set Identifier),它是用来区分不同的网络,简单说,SSID就是一个局域网的ID,SSID只不过是一个标识,它能和“安全”扯上什么关系呢?让我先看一下连接AP的过程,点击右下角的图标,选择要连接的SSID,如果需要认证,填写两遍密码,这样就完成了无线网的连接。

为什么我能看到SSID?那是因为AP在设置的时候打开了广播SSID(Broadcast SSID)选项,目的是方便User的连接,如果黑客们想通过安放非法的Rogue AP在网络内来窃取机密数据,相信它不会傻到打开广播,告诉管理员你的网络内有一个“信号质量非常好”的AP存在吧?我们可以大胆的假设,凡是我们见到的不认识的SSID都可能是非法的,凡是我们看不到的隐藏的SSID肯定是非法的!也许现在您的网络内就存在这样一颗罪恶的小AP!

使用艾尔麦WiFi Analyzer 这款专业的无线网测试软件,能够快速准确的获得我们需要的信息,而且告诉我们它原本是不广播SSID的,禁用SSID广播这种小伎俩根本隐瞒不过它的法眼,只需查看搜索设备的详细信息,找到“Annouced SSID(通告SSID):NO和SSID:test_lab”内容,即可看到当前设备SSID广播状态(如右图示)。此外,我们可以借助定向天线,定位这样的非法设备,将这些隐藏AP找到。

我们来看一下AP是如何将SSID广播出去的。AP只要接通电源就会发送Beacon frame(信标帧)广播,BI(信标帧的发送间隔)为100毫秒,也就是说每秒钟发送10个信标,信标中包括最基本的信号强度,所在的Channel(信道),当然还有SSID等等。如果AP广播SSID,那么信标帧中会包含SSID的信息就会被添加到中广播出去,这样在PC“查看无线网络”的时候就能看到有这么一个SSID的存在。如不广播SSID的Beacon帧里不再包含SSID信息。“隐身术”就是这么实现的。艾尔麦WiFi Analyzer可以捕捉这一过程,只需要查看AP设备的详细信息,即可看到隐藏的AP(如右图所示)。

另一方面,很多企业出于安全考虑,都关闭了AP的SSID广播。但是禁用了SSID广播,仍然可以通过侦听无线数据包“透视”无线网络查找SSID。黑客们可以通过其他手段捕获PC关联过程,获取隐藏的SSID信息,从而进一步渗透你的网络。

一个庞大复杂的网络对于网络管理员来说,需要快速准确的获得网络内的信息,通过借助高效专业的测试工具,帮助其解决面临的各类无线网络安全问题。

艾尔麦WiFi Analyzer无疑是首选的无线网络管理软件,它可以快速的实现对当前无线网络的完全透视,查找当前无线网内存在性能与安全问题,通过强大的内置专家分析引擎,为用户提供分析、判断、定位、解决所面临的所有无线网络问题。

综上所述,我们不要被XP系统显示的“区域中找不到无线网络”所迷惑,认为网络内根本不存在无线网络设备,俗话说眼见为实,使用专业的无线网测试软件进行周期性测试,才能确保万无一失。安恒公司的无线网测试工程师在现场测试的过程中发现了大量隐藏的非发AP,使用WiFi Analyzer不但可以查找存在的非法AP更能定位非法设备的物理位置。

 

责任编辑: admin