【企業(yè)局域網(wǎng)安全防范技術(shù)分析8500字（論文）】

企業(yè)局域網(wǎng)安全防范技術(shù)分析目錄TOC\o"1-2"\h\z\u3464一、引言 129103（一）局域網(wǎng)攻擊及其防范的研究背景 13466（二）局域網(wǎng)的現(xiàn)狀及發(fā)展趨勢 1439二、局域網(wǎng)安全性分析 511234（一）局域網(wǎng)與有線網(wǎng)絡(luò)的區(qū)別分析 516246（二）局域網(wǎng)安全機制 57149（三）無線網(wǎng)安全威脅 66307三、局域網(wǎng)的攻擊分析 79507（一）局域網(wǎng)欺騙攻擊 73303（二）無線拒絕服務(wù)的攻擊 711836（三）WPA的破解 832527四、局域網(wǎng)的防范分析 929203（一）提高網(wǎng)絡(luò)使用者的安全意識 97354（二）應(yīng)用網(wǎng)絡(luò)加密技術(shù)建立用戶認(rèn)證連接模式 913599（三）合理安裝無線設(shè)備 930868（四）針對破解WPA加密攻擊的防范 918234（五）MAC地址過濾技術(shù) 104963（六）針對局域網(wǎng)安全問題的一些建議 1015625五、總結(jié)與展望 1112903參考文獻(xiàn) 13企業(yè)局域網(wǎng)安全防范技術(shù)分析一、引言（一）局域網(wǎng)攻擊及其防范的研究背景無線局域網(wǎng)（WLAN）作為無線高速數(shù)據(jù)通信的主流技術(shù)，局域網(wǎng)具有移動性，不用布線，易于維護(hù)，成本低等特點，受到越來越多人的青睞，被廣泛地應(yīng)用在各類室內(nèi)場景中。隨著信息化建設(shè)和信息化工程的發(fā)展，辦公信息化、網(wǎng)絡(luò)化程度的提高，移動辦公的需求增長迅速，WLAN使筆記本電腦、平板電腦、手機等都成為常用的辦公工具，使用無線網(wǎng)的終端迅速增加[1]。2018年10月，802.11ax被正式定義為新一代的WLAN標(biāo)準(zhǔn)即Wi-Fi6，相較于前代。在局域網(wǎng)中，所有終端的流量都是集中通過路由器發(fā)出的，路由器是不同網(wǎng)絡(luò)之間相互連接的樞紐，同時路由器可以對網(wǎng)絡(luò)進(jìn)行管理，所有連接的終端都是通過路由器進(jìn)行連接，正因為作為紐扣，出現(xiàn)問題將影響整個網(wǎng)絡(luò)，無法上網(wǎng)，信息泄露等等，這僅僅只是局域網(wǎng)問題中的一個小部分。局域網(wǎng)的無邊界化、信號開放問題雖然給用戶帶來了極大的方便，但是同樣也讓無線局域網(wǎng)遭受更多的安全威脅，有內(nèi)部的也有外部的。因此對于無線局域網(wǎng)的安全接入和管理，需要有效的無線安全解決方案提供保障。（二）局域網(wǎng)的現(xiàn)狀及發(fā)展趨勢1.局域網(wǎng)工作原理移動互聯(lián)網(wǎng)時代，局域網(wǎng)已經(jīng)發(fā)展成為了人們?nèi)粘Ｉ钪胁豢苫蛉钡牟糠?，AP(AccessPoint)，即無線訪問的接入點，俗稱"熱點"，它是指當(dāng)今人們在使用無線設(shè)備(例如手機、平板、筆記本電腦等無線設(shè)備)時直接進(jìn)入有線設(shè)備的一種接入點，主要應(yīng)用范圍包括家庭內(nèi)部、建筑內(nèi)部、校園內(nèi)部、對于園區(qū)內(nèi)部和倉庫、企業(yè)工廠等所有必須進(jìn)行無線覆蓋的場所，有效地覆蓋了從幾十米到數(shù)百米，主要的技術(shù)是ieee802.11系列。偽AP釣魚攻擊主要是通過模擬器仿照正常AP來搭建一個真實的偽AP，然后再通過對合法AP客戶端進(jìn)行拒絕服務(wù)的攻擊或者是提供一種比合法AP更強的信號來迫使無線客戶端與假AP相連，這樣就有機會完全受到無線客戶端與網(wǎng)絡(luò)的連接，并且能夠發(fā)起任何進(jìn)一步的攻擊。那么，偽AP是如何進(jìn)行攻擊的呢?要先從無線設(shè)備連接上網(wǎng)說起。無線設(shè)備終端在連接Wi-Fi，通過AP進(jìn)行數(shù)據(jù)傳輸前，都得先建立連接，沒有連接，沒法傳遞數(shù)據(jù)，主要經(jīng)過三個階段：分別是掃描、認(rèn)證和關(guān)聯(lián)階段。圖1-1無線設(shè)備終端建立連接流程圖（1）掃描階段:當(dāng)在STA中找到與其他每個AP的點具有相同信號SSID的每個AP，在與相同SSID的點進(jìn)行信號匹配的每個AP中，根據(jù)每個接收器得到的每個AP及其信號強度，選擇一個點或是該點中信號最強的一個AP，然后進(jìn)入認(rèn)證階段。（2）認(rèn)證階段:首先確定網(wǎng)絡(luò)密鑰安全認(rèn)證的使用方式主要包括開放型和網(wǎng)絡(luò)共享式密鑰安全認(rèn)證。當(dāng)AP向STA返回一個認(rèn)證階段響應(yīng)相關(guān)信息，身份驗證系統(tǒng)獲取響應(yīng)通過后，就會自動進(jìn)入相互之間關(guān)聯(lián)的階段。（3）關(guān)聯(lián)階段:首先STA向AP系統(tǒng)發(fā)送一個關(guān)聯(lián)的請求;然后AP向STA輸出并返回一個關(guān)聯(lián)響應(yīng)。至此，接入的過程才基本完成，STA的初始化已經(jīng)進(jìn)行了完畢，就能夠從一個端口開始給AP傳輸數(shù)據(jù)幀。2.局域網(wǎng)的未來發(fā)展趨勢發(fā)展趨勢一：極致移動體驗，產(chǎn)品正常生產(chǎn)及使用穩(wěn)定是第一要務(wù)"。局域網(wǎng)具備了良好的連續(xù)漫游和數(shù)據(jù)處理機制和對網(wǎng)絡(luò)中冗余的保障。并且，隨著AR/VR/視頻的使用對局域網(wǎng)帶寬的需求越來越高，而且持續(xù)增加，Wifi技術(shù)的逐步普及基本可以滿足當(dāng)前人們的帶寬需求。有些科技公司并不非常愿意將自己的移動設(shè)備或個人計算機直接移動到無線上，最大的內(nèi)心憂慮之一可能就是無線設(shè)備的時間拖延性和功能遺失，這通常被人們認(rèn)為可能是由于無線干擾而丟失導(dǎo)致。特別多的是現(xiàn)在Wifi5和6在Wifi6下，當(dāng)我們使用80mhz乃至160mhz的無線頻寬時，更加不可避免地也就會容易出現(xiàn)相互間的干擾。除此之外，增加一個Wifi的居民可用廣播頻段也勢在必行，美國政府fcc已經(jīng)成功制定了一項計劃向每個Wifi開放6ghz的可用頻段可以供Wifi居民使用，這將進(jìn)一步擴大促使美國人們不斷增強對使用Wifi的基本認(rèn)識和使用信心。發(fā)展趨勢二：局域網(wǎng)安全威脅1.射頻安全因為其網(wǎng)絡(luò)具有高度開放性，局域網(wǎng)射頻最容易被黑客攻擊，攻擊者經(jīng)由dos信號攻擊后就不再會直接誘導(dǎo)造成一個網(wǎng)絡(luò)連接失效;而是通過仿冒企業(yè)AP公司發(fā)射一個與企業(yè)同樣的SSID信號發(fā)射來直接誘導(dǎo)一個客戶與其進(jìn)行網(wǎng)絡(luò)連接，從而同時得到一個客戶的手機帳號密碼信息。2.終端安全為了保證用戶能夠直接接入到一個企業(yè)互聯(lián)網(wǎng)絡(luò)的設(shè)備是一個企業(yè)授權(quán)的設(shè)備，企業(yè)的筆記本可以采用加入域的形式授權(quán)，移動終端則可以采用BYOD的數(shù)字認(rèn)證書形式來對用戶進(jìn)行授權(quán)。3.網(wǎng)絡(luò)準(zhǔn)入安全企業(yè)里一般都會使用具有相當(dāng)高度和安全性的802.1x質(zhì)量認(rèn)證，以確保安全和準(zhǔn)入;酒店/機場/咖啡廳等各種公共場所一般都會采用簡單的portal密碼認(rèn)證的方式，或者簡單的PSK密碼認(rèn)證方式，甚至可以選擇沒有密碼的open認(rèn)證方式;而對于傳統(tǒng)的物聯(lián)網(wǎng)設(shè)備，通用的認(rèn)證方式主要是直接采用MAC進(jìn)行認(rèn)證。4.數(shù)據(jù)安全一般都是通過對數(shù)據(jù)進(jìn)行加密以確保其所傳輸?shù)臄?shù)據(jù)信息的安全。所以，加密算法的復(fù)雜度及對于密鑰的保護(hù)是提高數(shù)據(jù)安全可靠性的重要保障。發(fā)展趨勢三：網(wǎng)絡(luò)自動化任何一種競爭都應(yīng)該從基本的軟硬件開始，然后再逐步地過渡到一個更高端的軟硬件方面，因此未來Wifi在市場上的競爭中會不僅減少了圍繞軟硬件，而是逐步轉(zhuǎn)向了管理的平臺，利用人工智能和機器學(xué)習(xí)的技術(shù)來預(yù)測互聯(lián)網(wǎng)上的行為和自動化地執(zhí)行其他方面更多的任務(wù)。自動化(automation)本身就是一種泛指設(shè)備或者系統(tǒng)能夠在沒有任何一個人或者比較少一個人的直接參加下，可以依據(jù)其他一個人的需要，經(jīng)過大量的自動檢測、信息處理、分析和判斷、操縱和控制，來實現(xiàn)所預(yù)期目標(biāo)的一種技術(shù)過程。網(wǎng)絡(luò)運維的自動化主要是一種泛指企業(yè)對網(wǎng)絡(luò)從開始實施、最終優(yōu)化到運維管理的全過程，基本上是自動地完成，不必要或者只需要非常少的一些人工干預(yù)。1.自動化部署由于目前傳統(tǒng)的信息網(wǎng)絡(luò)業(yè)務(wù)部署管理模式使其效能相對較差，嚴(yán)重程度阻礙了中小企業(yè)向傳統(tǒng)數(shù)字化的模式轉(zhuǎn)型和面向業(yè)務(wù)端的拓展。一個個橫跨不同區(qū)域的大城市或者甚至是其他多個國家的私營公司在一個企業(yè)內(nèi)部想要部署一個屬于企業(yè)的內(nèi)部局域網(wǎng)，就可能需要一個IT的管理人員親自去到各個區(qū)的子公司或者分支機構(gòu)單獨進(jìn)行安裝和管理配置所有公司部署的無線設(shè)備，手工和重復(fù)的安裝工作量大，配置繁瑣。自動化的設(shè)備部署主要是通過云SDNAPI或者云數(shù)據(jù)管理的一種方式使用來自動實現(xiàn)對整個網(wǎng)絡(luò)上的設(shè)備進(jìn)行即時隨插就走使用、全網(wǎng)統(tǒng)一進(jìn)行安裝和自動配置。2.自動優(yōu)化Ai-Ops將是全球互聯(lián)網(wǎng)系統(tǒng)運維未來幾年發(fā)展的重大趨勢。局域網(wǎng)和有線通信網(wǎng)絡(luò)的一個主要不同之處就就在于它們分別需要根據(jù)現(xiàn)場的工作環(huán)境和網(wǎng)絡(luò)使用者實際體驗而共同進(jìn)行高可持續(xù)性的系統(tǒng)優(yōu)化，以往都認(rèn)為只能由IT專業(yè)網(wǎng)絡(luò)技術(shù)人員通過依靠其在現(xiàn)場的實踐經(jīng)驗或者根據(jù)使用者的體驗反饋這種方式使用來對其實施進(jìn)行系統(tǒng)優(yōu)化和保障管理，很難真正做到理想的系統(tǒng)優(yōu)化和保障管理工作效果。網(wǎng)絡(luò)運行優(yōu)化管理自動化系統(tǒng)利用天網(wǎng)AI及大規(guī)模數(shù)據(jù)分析系統(tǒng)實時跟蹤采取和自動搜索現(xiàn)場移動網(wǎng)絡(luò)的相關(guān)運行優(yōu)化信息，自動地定制生成現(xiàn)場網(wǎng)絡(luò)運行調(diào)優(yōu)管理策略，自動地定制完成現(xiàn)場網(wǎng)絡(luò)運行優(yōu)化的系統(tǒng)配置，甚至您還能夠根據(jù)每一個網(wǎng)絡(luò)人的現(xiàn)場網(wǎng)絡(luò)使用行為習(xí)慣，定制設(shè)計出各種適合個人網(wǎng)絡(luò)特點的現(xiàn)場網(wǎng)絡(luò)運行優(yōu)化。3.自動故障處理以往的各種網(wǎng)絡(luò)故障的發(fā)現(xiàn)和處理均只有事后回復(fù)，當(dāng)網(wǎng)管系統(tǒng)或者用戶向IT服務(wù)器報告了網(wǎng)絡(luò)故障之后，IT服務(wù)器人員才能夠得到正確的信息，對其進(jìn)行了分析和處理。網(wǎng)絡(luò)自動故障預(yù)警技術(shù)借助AI大數(shù)據(jù)對互聯(lián)網(wǎng)絡(luò)的關(guān)鍵性指標(biāo)信息進(jìn)行了分析和監(jiān)控，基于網(wǎng)絡(luò)歷史與實時數(shù)據(jù)的動態(tài)優(yōu)化基線，進(jìn)行了網(wǎng)絡(luò)異常預(yù)測，將互聯(lián)網(wǎng)內(nèi)部潛在的故障早日地消滅到了萌芽狀態(tài)。

二、局域網(wǎng)安全性分析（一）局域網(wǎng)與有線網(wǎng)絡(luò)的區(qū)別分析無線路由器和有線路由器區(qū)別是：物質(zhì)形態(tài)不同、網(wǎng)速不同、主體不同、功能不同1、物質(zhì)形態(tài)不同。無線路由器是通過電磁波，它是不能被人體所感知的。有線路由器則是通過實體設(shè)備，能被人類日常所使用。2、網(wǎng)速不同。由于傳播介質(zhì)不同，受到的干擾自然不同，無線是開放的，是電磁信號，是分布于空間中的，在傳播的過程中也不是一往無前的，無線信號在傳播的過程中容易受到其他電磁信號以及建筑物（尤其是墻體）的干擾，信號損失較大。有線路由器使用網(wǎng)線傳輸數(shù)據(jù)，并且內(nèi)部線路之間有絕緣措施，網(wǎng)線不易受干擾，運行穩(wěn)定，網(wǎng)絡(luò)傳輸信號也就更穩(wěn)定。3、主體不同。有線電子路由器主要用途是用于提供各種類型數(shù)字?jǐn)?shù)碼電子和微型號的數(shù)碼電子通信網(wǎng)絡(luò)設(shè)備，個人平板電腦、游戲機、mp3播放器、智能手機、平板筆記電腦、打印機、筆記本電腦以及其他各種用戶可以通過無線連接上網(wǎng)到國際互聯(lián)網(wǎng)的各種周邊電子通信網(wǎng)絡(luò)設(shè)備。無線路由器是將Wi－Fi信號釋放出來供人們使用，以及用來組建網(wǎng)絡(luò)，它的主體是人。4、功能不同。有線路由器是可以簡單的理解為無線上網(wǎng)，是現(xiàn)如今使用的最為廣泛的一種局域網(wǎng)傳輸?shù)募夹g(shù)。無線路由器主要是一種專門用來進(jìn)行轉(zhuǎn)化和釋放無線信號，路由器本身就是一種具有自動判斷網(wǎng)絡(luò)的地址及其選擇IP路徑的技術(shù)，它使路由器可以在多個網(wǎng)絡(luò)的相互連接中，建立起比較靈活的鏈接，可以不同的數(shù)據(jù)分組和媒體介質(zhì)訪問的方法來連接各種不同類的子網(wǎng)。（二）局域網(wǎng)安全機制我們在局域網(wǎng)中所需要面對的安全方面的問題都需要與其一一對應(yīng)的安全機制來保證它的安全。利用數(shù)據(jù)加密的技術(shù)來解決與保密性有關(guān)的問題，利用訪問控制解決身份認(rèn)證的問題，最后利用消息認(rèn)證機制解決其完整性，這里我們重點講解加密機制和身份認(rèn)證機制。1.加密機制加密技術(shù)實現(xiàn)的是保密性方面的業(yè)務(wù)也是最最基本的一種安全機制。當(dāng)加密密鑰和解密密鑰不相等的時候，則系統(tǒng)中每一個用戶都會擁有兩個密鑰(公密鑰和秘密鑰)，我們稱其為非對稱密碼系統(tǒng)或者公鑰密碼系統(tǒng)?；旧先魏我粋€人都可以利用一個用戶的公開密鑰把該信息加密后傳給這位用戶，只有該用戶用其秘密密鑰進(jìn)行解密并查看，

其他人則因為不知道秘密密鑰而不能解密進(jìn)行查看。公鑰密碼算法極其的復(fù)雜，

因而不適合資源受限的無線通信設(shè)備，

其不需要通信的雙方共享任何一個秘密，

因此其在密鑰管理這些方面有著巨大的優(yōu)勢。2.身份認(rèn)證機制身份認(rèn)證技術(shù)是提供通信的雙方身份認(rèn)證，

為防止有假冒的身份。它通過檢測來證明一方擁有什么和知道什么來確認(rèn)證明另外一方的身份是不是合法的。密碼學(xué)中的身份認(rèn)證最主要是基于驗證明的一方是否知道秘密

，

基于共享秘密的身份認(rèn)證的方法建立在運算簡單的單密鑰密碼算法上，

適合無線通信網(wǎng)絡(luò)中的身份認(rèn)證。（三）無線網(wǎng)安全威脅局域網(wǎng)安全有許許多多種威脅有信息重放、wep破解、網(wǎng)絡(luò)竊聽、假冒攻擊、MAC地址欺騙、拒絕服務(wù)等。在生活的方方面面影響著我們，下一章我們就欺騙攻擊、拒絕服務(wù)攻擊、破解wep加密重點講解讓大家對其有所了解。三、局域網(wǎng)的攻擊分析（一）局域網(wǎng)欺騙攻擊欺騙攻擊中最常見的攻擊手段包括會話劫持攻擊和中間人攻擊。由于無線局域網(wǎng)絡(luò)認(rèn)證協(xié)議主要是基于端口的認(rèn)證協(xié)議，當(dāng)受害者認(rèn)證成功后就能夠與用戶的接入點進(jìn)行正常的通信，會話受害者劫持了遭到攻擊的無線設(shè)備，而且也能夠在無線設(shè)備已成功進(jìn)行認(rèn)證之后再次劫持其他合法的會話，假裝自己為了受害者而惡意地偽裝或盜竊。繼續(xù)使用網(wǎng)絡(luò)流并按被劫持的設(shè)備方式發(fā)送數(shù)據(jù)幀。而對于中間人的網(wǎng)絡(luò)攻擊方式主要如下下圖3-1所示，通過將它假扮偽裝成成為一個合法的中繼接入點，假扮偽裝為一個合法中繼接入點的主要目標(biāo)是用來直接攻擊欺騙這個網(wǎng)站上的所有用戶和其他網(wǎng)絡(luò)接入點，使他們無法能夠通過未經(jīng)官方認(rèn)證的網(wǎng)絡(luò)設(shè)備向其他網(wǎng)站用戶發(fā)送數(shù)據(jù)，最終實現(xiàn)對被攻擊者的偵聽、數(shù)據(jù)收集或數(shù)據(jù)操縱。偽造的無線接入點被稱作流氓無線接入點(AP)，由于IEEE802.11標(biāo)準(zhǔn)采用網(wǎng)絡(luò)名稱(SSID)和MAC地址(BSSID)作為無線接入點的唯一標(biāo)識，加之無線局域網(wǎng)組網(wǎng)簡單、易于擴展，對無線局域網(wǎng)設(shè)備的監(jiān)管較為困難，因此仿造欺騙性的流氓AP并不困難。即使用戶使用了SSL等加密技術(shù)，已有的免費工具可以去除SSL加密并動態(tài)創(chuàng)建偽造的證書，從而實現(xiàn)對加密流量的中間人攻擊和會話劫持。圖3-1無線局域網(wǎng)中間人攻擊原理（二）無線拒絕服務(wù)的攻擊2020年9月國家網(wǎng)絡(luò)安全周的內(nèi)容是"Wi-Fi安全"，在信息安全教育案例中提到最多的是釣魚Wi-Fi以及在公共場合使用的"公共Wi-Fi"竊密事件，此類事件的竊密原理均是對原有無線局域網(wǎng)Wi-Fi熱點進(jìn)行破壞攻擊，再誘導(dǎo)用戶使用相同或類似的熱點，進(jìn)而竊取用戶信息圖3-2DOS攻擊原理示意圖拒絕服務(wù)(DOS)攻擊是常見的破壞攻擊技術(shù)，拒絕服務(wù)攻擊通過使用各種方法干擾網(wǎng)絡(luò)的正常工作，達(dá)到使網(wǎng)絡(luò)無法提供服務(wù)的目的。由于目前的安全協(xié)議都著重于保證數(shù)據(jù)的安全性，對如何保證無線局域網(wǎng)能夠正常使用沒有涉及，這導(dǎo)致了無線局域網(wǎng)對DoS攻擊基本沒有防范能力，因此我們更應(yīng)該著重于研究針對DOS攻擊采取什么樣的措施。無線局域網(wǎng)中可能遭受兩種拒絕服務(wù)攻擊：物理層DoS攻擊以及MAC層DoS攻擊。物理層的DoS攻擊主要采用的是信號干擾的方式，MAC層DoS攻擊可以分為四種類型，第一種通過偽造大量的關(guān)聯(lián)幀或認(rèn)證幀，使AP內(nèi)存耗盡從而無法對合法的請求做出響應(yīng)；第二種是通過持續(xù)發(fā)送去關(guān)聯(lián)幀或去認(rèn)證幀，使STA與AP無法建立連接；第三種攻擊類型通過攻擊802.11標(biāo)準(zhǔn)的電源管理協(xié)議，使休眠的結(jié)點永遠(yuǎn)不能喚醒或丟失數(shù)據(jù)；第四種DoS攻擊通過攻擊MAC層的協(xié)議，可以直接以SIFS（ShortInterframeSpace）間隔發(fā)送數(shù)據(jù)包，從而使得范圍內(nèi)其他結(jié)點沒機會發(fā)送數(shù)據(jù)，或者在RTS/CTS幀的duration域中偽造持續(xù)時間，從而使得按標(biāo)準(zhǔn)工作的結(jié)點不會發(fā)送數(shù)據(jù)。我們在如何應(yīng)對被黑客拒絕的數(shù)據(jù)服務(wù)端口進(jìn)行黑客攻擊時也一定是都應(yīng)該事先想好一些相應(yīng)的網(wǎng)絡(luò)防范措施，因此在這些措施方面，我們首先一定應(yīng)該在整個網(wǎng)絡(luò)的核心骨干各個節(jié)點之間分別配置一個網(wǎng)絡(luò)防火墻，用于有一臺數(shù)量足夠的網(wǎng)絡(luò)計算機用來承擔(dān)著一起防御黑客攻擊，過濾不必要的數(shù)據(jù)服務(wù)和網(wǎng)絡(luò)端口，限制如ssyn/icmp等等數(shù)據(jù)庫的流量等一系列多功能方面的防范措施，我相信只要對此用點心。這都能夠解決的。（三）WPA的破解WPA有WPA、WPA2、WPA3三個不同的標(biāo)準(zhǔn)，它是一種保護(hù)局域網(wǎng)安全的系統(tǒng)。對于WPA的攻擊其實可以分為兩類，一類是對身份認(rèn)證的攻擊，另外一類是加密的攻擊。這里面對于身份認(rèn)證的攻擊是大家最常見的，它是直接針對所訪問的局域網(wǎng)的攻擊。由于WPA不存在之前WEP的哪些弱點，WEP需要收集大量的IV數(shù)據(jù)，WPA則僅僅只需要抓取四次握手信息就可以了。因此，WPA只能利用暴力破解。但是，如果字典文件中沒有密碼那是不可能破解出來的。破解WPA、WPA2不一定能成功，此時黑客也會想另外一種辦法，比如創(chuàng)建和目標(biāo)AP具有同樣SSID的軟AP，用戶可以對其進(jìn)行連接，緊接著會彈出一個虛假的認(rèn)證頁面誘導(dǎo)用戶進(jìn)行輸入密碼連接。這樣我們就可以獲取其密碼了。四、局域網(wǎng)的防范分析（一）提高網(wǎng)絡(luò)使用者的安全意識使用公共WLAN時，應(yīng)盡量使用有密碼保護(hù)的公共網(wǎng)絡(luò)，且盡量不要在公共Wi-Fi網(wǎng)絡(luò)中使用網(wǎng)絡(luò)銀行、信用卡服務(wù)、登錄網(wǎng)絡(luò)游戲、電子郵箱、訪問企業(yè)VPN等服務(wù)。搭建無線局域網(wǎng)接入點應(yīng)該特別注意通過關(guān)閉局域網(wǎng)的SSID廣播以及增加網(wǎng)絡(luò)與網(wǎng)路相互連接的安全性和系數(shù)，并且要采用較復(fù)雜的密碼，在完全保證其使用能力的前提下盡量減少無線路由器無線傳送的功率，使得無線信號所涵蓋的范圍逐漸變小，減少惡意攻擊的發(fā)生風(fēng)險。（二）應(yīng)用網(wǎng)絡(luò)加密技術(shù)建立用戶認(rèn)證連接模式面對各種新興的各類網(wǎng)絡(luò)安全襲擊，管理員首先認(rèn)為應(yīng)該將自己的個人信息安全保護(hù)好，然后才希望能夠在整個網(wǎng)絡(luò)中自動進(jìn)行用戶身份驗證。身份驗證通常是被泛指用戶通過向一臺基于客戶端的一臺電腦"注冊"或者通過登錄連接到整個互聯(lián)網(wǎng)中以及其他更高層次的安全隱私保護(hù)措施而可以獲得的一般來說，這個“注冊”過程包含被身份驗證服務(wù)器處理的證書、標(biāo)記和手動輸入的密碼(也叫做Pre-Shared-Key)組成。對于那些具有較為豐富使用經(jīng)驗的局域網(wǎng)技術(shù)工作者來說，另一個良好的是TinyPEAP，它在整個系統(tǒng)中重新添加了一個小型的支持基于一個PEAP的身份認(rèn)證的固件RADIUS網(wǎng)絡(luò)服務(wù)器的提供商來給用戶Linksyswrt54g和GS局域網(wǎng)路由器中，注意由于Linksys并沒有正式地發(fā)布支持這個系統(tǒng)固件，因此用戶需要在整個系統(tǒng)中重新安裝一個現(xiàn)在TinyPEAP時候會出現(xiàn)的一些問題我們認(rèn)為可以說成就是用戶需要自行對其承擔(dān)責(zé)任。（三）合理安裝無線設(shè)備無線局域網(wǎng)環(huán)境下數(shù)據(jù)幀可以通過使用監(jiān)控裝置進(jìn)行分析得到，無線局域網(wǎng)設(shè)備監(jiān)控就是將數(shù)據(jù)幀捕獲裝置作為監(jiān)控器的數(shù)據(jù)幀分析采集地點。采集點的特征和性能直接影響到對無線環(huán)境中的信息采集精準(zhǔn)度，所以采集點的分布量和密度直接影響其覆蓋率及信息的完整性。通過監(jiān)測捕獲無線環(huán)境中的數(shù)據(jù)幀，獲取各種無線接入點和無線終端設(shè)備的工作狀態(tài)等相關(guān)信息，分析設(shè)備之間的連接關(guān)系得到無線局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)，檢測出釣魚接入點、Ad-hoc連接模式以及違規(guī)外聯(lián)的終端，進(jìn)而評估整個無線局域網(wǎng)環(huán)境下的設(shè)備安全狀況，此外對于設(shè)備嚴(yán)格管控的場所還可通過黑白名單的方式進(jìn)行實時非授權(quán)設(shè)備告警。（四）針對破解WPA加密攻擊的防范現(xiàn)在對于應(yīng)對WPA密碼破解的方法并沒有具體的方法進(jìn)行防范，WPA2與之前發(fā)布的無線局域網(wǎng)接入認(rèn)證協(xié)議已經(jīng)被破解，因此必須使用保護(hù)性更強的接入認(rèn)證即WPA3，WPA3使用的“受保護(hù)的管理幀(ProtectedManagementFrames，PMF)”技術(shù)解決了去關(guān)聯(lián)去認(rèn)證幀帶來的惡意攻擊問題。2009年IEEE組織在802.11i的框架上制定了802.11w。802.11w主要規(guī)定了PMF功能，通過保護(hù)局域網(wǎng)“管理幀”的過程來改善安全性，802.11w保護(hù)的管理幀，包括去認(rèn)證幀、去關(guān)聯(lián)幀等，802.11w提出在RSN(RobustSecurITyNetwork)信息元素的RSNcAPabilITiesMFPR（ManagementFrameProtectionRequired）和MFPC(ManagementFrameProtectionCAPable)用來協(xié)商保護(hù)管理幀的能力，WLAN熱點啟用該功能后，攻擊者將無法通過發(fā)送去關(guān)聯(lián)去認(rèn)證幀來破壞連接，受護(hù)的管理幀可以有效的抵御認(rèn)證/關(guān)聯(lián)幀造成的攻擊行為，為無線局域網(wǎng)安全接入，強身份認(rèn)證提供了可靠的技術(shù)支撐。（五）MAC地址過濾技術(shù)每一臺計算機都帶有其唯一的物理地址，也就是我們常說的MAC地址，它是可以在網(wǎng)絡(luò)上被識別出來的。按常理來說，只要知道適當(dāng)?shù)拿艽a短語，路由器是可以讓任何設(shè)備對其進(jìn)行連接的。通過MAC地址過濾，路由器需要先把MAC地址和批準(zhǔn)的MAC地址列表相比較，讓其在設(shè)備的MAC地址得到批準(zhǔn)，這樣的話才得以使設(shè)備進(jìn)入WI-FI網(wǎng)絡(luò)。許多人總有一個誤區(qū)，總覺得WIFI設(shè)置了MAC過濾就萬事大吉了，這種想法其實是錯誤的，其實對于一臺電腦來說，它想要繞過MAC過濾是特別輕而易舉的事，比破解還要簡單，所以在這里我建議大家還是設(shè)置多于16位密碼以后，再加上MAC地址過濾，這樣才更能體現(xiàn)出它的作用，更加靠譜。（六）針對局域網(wǎng)安全問題的一些建議首先，我個人認(rèn)為，當(dāng)你再公共場所時建議最好還是使用自己的移動數(shù)據(jù)套餐，切記不要隨意的去連接一些公開的局域網(wǎng)，如果在特殊情況下確實需要使用公開局域網(wǎng)的，一定要保持VPN連接，使自己網(wǎng)絡(luò)流量得以加密，保護(hù)自己的網(wǎng)絡(luò)活動不被竊取。其次，如果我們再面對一些已經(jīng)來不及補救的一些威脅時，我們要先分析網(wǎng)絡(luò)體系結(jié)構(gòu)、業(yè)務(wù)構(gòu)成、攻擊網(wǎng)絡(luò)的敵手模型，最后總結(jié)歸納確定安全體系和方案以應(yīng)對局域網(wǎng)產(chǎn)生的安全問題。具體流程如4-6圖示圖4-1局域網(wǎng)安全體系建立示意圖

五、總結(jié)與展望在撰寫本文時，通過一些文獻(xiàn)的了解和書本上的查閱。個人有了一些對局域網(wǎng)安全的理解。為了增加局域網(wǎng)的安全性問題，最少都應(yīng)該需要提供認(rèn)證和加密兩個最基礎(chǔ)的安全機制，這兩個是一定必不可少的。在文章的撰寫過程中也經(jīng)歷了許許多多的事。讓我感受到老師和朋友對我的關(guān)心。終于使得這篇論文