查找企業網中非法接入的WIFI設備

1、企業網絡安全管理面臨的新問題

如今計算機和移動智能設備愈來愈普及，有一些企業網用戶再也不知足於只讓實名登記的、有實際辦公用途的計算機上網，他們把家中的筆記本、智能手機、平板電腦帶到單位，經過非法架設SOHO路由器、隨身WIFI、安裝免費WIFI軟件等，繞過網絡管理員的檢測，實現非法接入企業網，而後就能夠經過他們本身的設備實現一些移動平臺的網絡應用。這些SOHO路由器、隨身WIFI的一個大賣點：「就是能夠繞過檢測，隱匿接入」，由於這些設備均可以關閉信號的廣播發送，經過信號檢測的方法也搜不到。

非法接入問題困繞了各個企業網的管理員，互聯網論壇也隨處可見各類討論貼，可是都沒有很好的解決辦法。用戶的非法接入行爲給整個企業網絡帶來三個方面的嚴重影響：

一、最堅固的堡壘，每每都是從內部被攻破的，架設這些接入點的用戶，他的本意可能不是破壞網絡，可是他卻爲網絡的安全留下了缺口。隨處可見的接入點，讓一個進入企業區域內的陌生人均可以接入到企業網絡中，各級昂貴的網絡邊界設備都被繞過。衆多非法接入點的存在，從某種意義上說，讓企業網的一些區域變成了開放的網絡，若是有人真想在網絡內部搞點***行爲是很是容易的。

二、大量合法的網絡用戶抱怨「帶寬都去哪兒了」，非法接入的計算機和移動設備佔用了大量的帶寬，讓整個企業網的運行效率下降。

三、破壞了網絡管理的嚴肅性，讓用戶認爲：「不被發現的，就是可作的」，爲後繼破壞網絡的行爲開了一個很差的先例。

2、幾種常見的非法接入企業網方法

筆者從事網絡管理工做多年，對用戶的非法接入網絡的方法十分了解，現詳細介紹一下，這幾種方法利用的都是IP-MAC地址綁定這個漏洞，IEEE規定每臺計算機的網卡MAC地址是全球惟一的，因此在企業網的聯網設備管理中基本上都是經過MAC地址加IP地址來識別1臺聯網設備，但這種管理辦法如今已經面臨挑戰。

一、 SOHO路由器接入(分無線和有線)方法

SOHO路由器接入是一種「傳統」的非法接入方法，最先是家庭寬帶用戶，經過這種方法把家裏多臺上網設備連網、多個家庭共享一條寬帶等等，早年間，中國電信也是被此設備深深困擾。在家庭寬帶中各用戶都是PLAN隔離的，家庭用戶這麼去用，在安全方面對電信部門沒有影響，頂多用點流量，可是在企業網中這種接入對安全影響很大，因企業網的用戶之間是不多作安全隔離的。

這種非法接入方法，步驟分爲4步：

(1)張三經過合法的流程從網絡管理部門申請一個IP地址並要求聯網。

(2)當網絡管理員實地查看用戶的計算機後，給其聯網並完成IP地址實名制登記、IP-MAC綁定，因爲IEEE規定MAC地址是全球「惟一」的，因此經過MAC地址和IP地址的綁定來識別張三的這臺計算機，原則上「沒有什麼問題」。至此正常聯網流程結束，張三能夠上網了，如圖1所示：

 

 

(3)張三私自購買並安裝SOHO路由器，這種路由器的一大特色是能夠克隆MAC地址，也就是說路由器的接口MAC地址能夠改爲和張三計算機網卡 MAC地址如出一轍的，這樣網絡管理員看到的仍是張三的計算機，其實那個MAC地址已經變成了路由器，路由器下面能夠連N多的計算機，SOHO路由器克隆 MAC界面如圖2所示。

 

 

圖2：SOHO路由器能夠隨心所謂的改MAC地址

(4)SOHO路由器私接成功後，張三掌握了一個企業網接入點，他能夠把本身的、同事的上網設備連上企業網，若是他把路由器接入密碼保存的好，可能接入的用戶範圍很小，若是他大公無私的把密碼公開，在他的那個範圍內，誰均可以連入企業網，張三私接SOHO路由器後，連網拓撲如圖3所示。

 

 

圖3：私接SOHO路由器後，張三連網拓撲

二、隨身WIFI接入方法

自從2013年6月360公司首先推出19.9元的360WIFI以後，小米公司和百度公司也推出了小米WIFI和小度WIFI，隨身WIFI開始在企業網內氾濫，這些產品一方面確實象他們公司宣傳的那樣「無需培訓、即插即用、小巧玲瓏、價格低廉、安裝方便，是居家旅行必備良品」，它極大的簡化了無線智能設備接入網絡，但另外一方面，WIFI熱點在企業網內的泛濫，對網絡管理員來講倒是一場噩夢，企業網可隨處可見的安全性極低的接入點，嚴重的威脅着企業網絡的安全、企業的各類信息也處於不安全的狀態，因此重點要杜絕這種隨身WIFI的泛濫。

爲了更好的研究這種產品，筆者購買了360WIFI、小米WIFI、小度WIFI，並進行了測試，現以360WIFI爲例，講解用戶非法接入過程，分爲3步。

(1)企業網用戶李四擁有一臺合法上網的計算機，網管員也作了IP-MAC綁定。

(2)李四把360WIFI插入計算機的USB口，那麼一切的安裝工做基本上都是自動的，很快安裝完成了，就會彈出圖4所示畫面。

 

 

圖4: 360WIFI安裝完成後的界面

(3) 李四的計算機具備了WIFI熱點功能，如今大約30米範圍內的各種無線設備均可以搜索無線信號，輸入WIFI密碼，就能夠進行上網了。李四計算機的接入網絡的拓撲變成了圖5所示。

 

 

圖5：安裝360WIFI的計算機變成了一臺AP設備

三、「免費WIFI」接入方法

這也是一種比較流行的方法，其實它是一種軟件，它的實現方法很簡單，就是要求聯網計算機上安裝一個USB無線網卡。企業網中對無線的使用限制很是嚴格，單位的筆記本電腦通常是經過有線連入網絡的，這樣筆記本電腦的無線網卡就空閒下來了，能夠經過安裝「免費WIFI」軟件，把無線網卡變成一個無線 AP。臺式電腦也能夠經過加裝一塊USB無線網卡，再安裝「免費WIFI」軟件，實現同樣的功能。「免費WIFI」軟件很是多，常見的有「360免費 WIFI」,「WIFI共享精靈」等等，安裝以後的效果和隨身WIFI基本相同，在這裏就不在詳細介紹了。免費WIFI軟件位置如圖6所示。

 

 

圖6：「免費WIFI」軟件的位置

四、幾種隱匿性不強，較少人使用的方法

還有ICS(Internet鏈接共享)、Proxy代理服務器、window開啓路由服務等等，這些方法隱匿性較低，設置也略顯繁瑣，因此在企業網內用的人比較少，在這裏就不作過多的介紹了。有網絡評測說隨身WIFI用的也是ICS模式，筆者通過深層次測試，能夠確定的說360隨身WIFI及 360免費WIFI用的不是ICS方法。

3、非法接入企業網方法的技術原理分析

若是想識別出非法接入點，就得了解對方使用的技術，瞭解它才能找到針對性的解決辦法，現把幾種接入方法的技術原理作個介紹。

一、SOHO路由器接入原理

路由器有位於網絡中心的核心路由器、鏈接企業級網絡的企業路由器以及把家庭或小單位用戶接入網絡的SOHO路由器。SOHO路由器可以實現自動配置和基本數據包路由、過濾功能。從嚴格意義上來說，SOHO路由器並不能徹底稱之爲路由器，它只實現部分傳統路由器的功能。SOHO路由器採用 NAPT(Network Address Port Translation)轉換技術，把內部多個私用有IP地址轉換成一個合法的公網IP地址，使私有網絡中多臺主機共享一個合法的IP地址訪問因特網。綜上所述，能夠肯定的是SOHO路由器使用了NAPT技術。

二、隨身WIFI接入原理

隨身WIFI如今流行的有三個品牌：360WIFI、小米WIFI、小度WIFI，它們所用的共享上網的方法其實並不同，經測試代表，360WIFI技術領先，它就是爲隱匿而設計的，我來介紹一下：

(1)360WIFI

當360WIFI在2013年推出的時候，因其低廉的價格、良好的性能、簡便的操做很快引發轟動，衆多的硬件評測網站，如：中關村在線、天極網等對其進行評測，如今這些評測文章在網上也比比皆是，其中都說360wifi使用了windows系統自帶的ICS功能，以後評測就得出結論：「360wifi這類產品，技術含量低、可用性並不高、就是ICS+虛擬AP技術。」，通過筆者的測試證實，360公司剛開始是用了ICS技術，可是很快就用了他們本身公司開發的NAPT技術，他們在產品內部把這種NAT叫作QHNAT、360WIFINAT，功能強大、隱匿性極強。因此 360WIFI也使用了NAPT技術。

(2)小米WIFI、小度WIFI

這兩個產品是在360WIFI後面推出的，多是受到360WIFI評測的影響，兩款產品都是使用了ICS技術，因此相比較360WIFI，這兩款產品隱匿性差一些、性能也不高。其實說白了ICS就是NAT的簡化版，ICS在共享鏈接的時候主機和子機都要有相同的服務支持，用7層模型來看的話 ICS是發生在高層，而NAT是發生在3,4層，是中間層次的轉換，ICS比NAT效率低，隱匿性差。小米WIFI、小度WIFI使用了簡化的NAPT技術(ICS)。

三、「免費WIFI」 接入原理

和隨身WIFI同樣，所謂的「免費WIFI」其實就是把USB無線網卡，裝上隨身WIFI軟件，實現了隨身WIFI的主要功能，只是在一些專有的細節方面不如隨身WIFI。他們所使用的技術，無非也是NAPT技術。

四、什麼是NAPT技術?

能夠看出非法接入企業網的方法不少，可是歸根到底都是使用了NAPT技術，什麼是NAPT技術呢?NAPT廣泛應用於接入設備中，它能夠將中小型的網絡隱藏在一個合法的IP地址後面，它將內部鏈接映射到外部網絡中的一個單獨的IP地址上，同時在該地址上加上一個由NAT設備選定的TCP端口號，也就是採用「端口複用」技術，將幾個私有IP經過映射到一個合法的企業網IP上，實現私接設備網絡通訊。

4、從原理入手探討識別方法

RFC3022文檔中說NAPT工做在IP層，經過NAPT把內部地址翻譯成合法的IP地址，在企業網中使用，具體的作法是把IP包內的私有IP地址+端口用合法的IP地址+端口來替換。NAPT設備維護一個狀態表，用來把非法的IP地址映射到合法的IP地址上去，每一個IP包經過NAPT設備時，拆解後進行從新組裝，新的IP包發往企業網，所以接入到企業網中的一個IP地址可能被NAPT設備後面的無數個用戶使用。

能夠簡單的理解，合法上網計算機和非法接入計算機之間在通訊上的區別是：合法接入計算機把IP包直接發送到了網絡，非法接入上網設備的IP數據包通過了私接的NAPT設備或軟件。咱們須要找出這些私接的NAPT設備或軟件在IP包通過他們的時候，對IP包作了什麼樣修改，若是能找出修改點，咱們也就能識別非法接入設備了。

實現互聯網通訊的標準協議是TCP/IP協議，不管是哪一種設備要實現互聯網通訊的話，就必定要運行TCP/IP協議，而且要有一個IP地址。同理，NAPT設備要實現網絡通訊的話也須要經過TCP/IP協議。IP協議是TCP/IP協議族中最爲核心的協議，全部上層協議如：TCP，UDP,ICMP,IGMP包括應用層的HTTP、FTP、DNS等應用，都要以IP數據包格式傳輸，IP數據包格式如圖7所示：

 

 

圖7: IP包格式

普通的IP頭部長爲20個字節，幾個重要的數據段以下：

(1) Source IP Address (源IP地址),代表發送方。

(2) Destination IP Address (目的IP地址)，代表接收方。

(3) Time to live(生存時間)，代表IP包容許在網絡中存活的時間。

(4) Identification(標識)，用於標識來源自同一IP地址使用相同協議的報文，該值對同一<源IP，目標IP，協議>在生存期間是惟一的。

如今瞭解了IP數據包的關鍵數據段，把識別方法介紹以下：

一、經過IP包中的TTL數據段來識別非法接入的上網設備

TTL(Time To Live)生存時間字段設置了IP數據報可以通過的最大的路由器數，TTL字段是由發送端初始設置的，每一個處理該數據報的路由器都須要將其TTL值減1，當路由器收到一個TTL值爲0的數據報時，路由器會將其丟棄，TTL字段的目的是防止數據報在選路時無休止地在網絡中流動。TTL值的變化如圖8所示。

 

 

圖8：通過標準的NAPT設備TTL變化狀況

一臺標準的NAPT路由軟件或設備，會把經他發出的IP包中的TTL值減1。這裏說的是標準的，也有不標準的，若是都是標準的，很是接入的識別問題就很簡單了。

二、經過IP包中的Identification字段來識別非法接入的上網設備

在IP協議中Identification字段用於標識不一樣的IP包，爲保證服務的正常，網絡中必須確保來自同一IP地址使用相同協議的IP包應當有其惟一的Identification標識。在正常的狀況下，同一臺計算機在一個時間段內發來的發出的IP包中的ID號是連續。如圖9所示：

 

 

圖9：一臺計算機在一個時間段內IP包中的ID值變化

因NAPT設備後面鏈接了多臺上網設備，這些上網設備發出的IP包中的值是不相同的， NAPT設備也沒有改變這些IP包的ID值，這種狀況下，多臺設備經NAPT上網時，NAPT的企業網IP那一端，發出的IP包ID是不連續，當檢測到多個不一樣連續ID軌跡便可判斷出是否用了NAPT設備。如圖10所示：

 

 

圖10：NAPT設備一個時間段內IP包中的ID值變化

在圖9和圖10能夠看出，137.12.36.2是一臺正常上網的計算機，而137.12.36.1是一臺NAPT設備，其後連了兩臺上網設備，由於他的ID字段實際上是分爲兩段序列，每一段都表明了一臺設備。並且他的TTL值也是63，說明IP包經137.12.36.1發出來前就通過了一臺路由器。

三、應用特徵識別

有了TTL值和ID值的識別，好像能夠檢測到全部的非法接入設備了，實際上卻不行，爲何呢?前文中已經說了不少公司，如一些SOHO路由器廠商以及360公司他們開發了本身的NAPT軟件，可是他們卻有意的作了一些隱藏技術，通過他們的NAPT設備轉換的IP包TTL並不減1.

 

 

圖11: 一臺非標準的NAPT設備，通過它的包，TTL值並不減1

137.12.36.19是一臺SOHO路由器，它發的IP包TTL是一個標準的windowsXP系統發出的IP包，TTL值並不象咱們指望的那樣減了1，因此TTL的檢測手段對其無效。再看一個360隨身WIFI的例子，如圖12所示。

 

 

圖12: 一臺加裝了360WIFI的計算機，通過它的包，TTL值並不減1

圖12表達的，是一臺加裝了360wifi的計算機，可是通過了NAPT，IP包的TTL值也沒有減1，從他的ID值的非連續性能夠看出有兩臺設備上網。因此前文中說道了360WIFI的技術在隨身WIFI中是領先的，小米和小度WIFI的TTL值就很容易檢測出來。因此用TTL的方法檢測非法接入，並不全面，有不少是檢測不出來的。

那麼用ID標識的方式是否是就很精確呢?實際狀況也不是這樣，由於若是知道這個IP地址對應的是一臺NAPT設備的話，有針對性對這個IP地址進行檢測，是能夠驗證這臺計算機是否非法接入設備。可是企業網內有成千上萬臺計算機，首先不可能對每個地址都進行單獨檢測，第二IP包中的ID標識絕大多數狀況下是隨線性分佈，可是也有特殊狀況，如使用到RSTP協議的一臺設備、發送方的TCP/IP協議棧初始化了等等，這樣ID表現就不是連續的，如圖13 所示。

 

 

圖13： 一臺使用RTSP協議的計算機，ID值變化大

在現有的硬件條件下，很難對企業網中成千上萬臺計算機發出的大量IP包中的ID標識作連續性的分析，這難度太大，也不現實。所以就須要使用第三種識別方法，應用特徵識別：從行爲學的角度來看，企業網用戶私接NAPT設備的目的有一個，那就是讓移動設備上網，若是上不了網，誰也不會去花錢冒風險去私接設備，若是上網的話就會用到一個最經常使用的HTTP協議。HTTP協議是用於從WWW服務器傳輸超文本到本地瀏覽器的傳送協議，通俗的講就是你不管用什麼設備打開網頁就會用到HTTP協議。

HTTP協議有一個特色，在使用HTTP協議進行請求時，HTTP協議頭部會添加User-Agent，該信息能夠標識請求者的一些信息，如什麼瀏覽器類型和版本、操做系統，使用語言等信息。移動設備平臺所用的系統和臺式電腦是不同的，若是在HTTP協議的頭部發現User-Agent發現移動平臺的標識，那麼就能夠肯定，用戶私接了NAPT設備。

 

 

圖14： 協議特徵碼識別

如圖14所示，137.12.37.168這臺計算機私接了一個360WIFI，正讓他的iPhone手機上網。有人可能會想了，若是我連了一臺設備，我不打開網頁，只是上QQ、微信、遊戲，不就檢測不到了嗎?其實否則，這些軟件好像都沒有打開網頁，沒有用到HTTP協議，其實他們都或多或少的用到了HTTP協議，如QQ、微信中的頁面，彈出的廣告，要求你輸入的一些信息，都是用HTTP協議通訊的形式。因此，只要能識別HTTP協議中的請求包中的 User-Agent字段中的設備信息就能夠發現私接的設備。

四、隨身WIFI和「免費WIFI」留下的後門

通過筆者屢次測試，每當用戶把隨身WIFI插上電腦準備上網的時候，其實這些設備作的第一件事，不是讓你的設備上網，而是把你的設備信息發到他們公司的服務器，讓他們作用戶統計(我的信息安全很重要呀!!!)。

(1)以360WIFI爲例

當用戶插上360WIFI的時候，360WIFI就會發送一個HTTP請求包到s.360.cn網站：/360wifi/freewifi_fail.htm……。

(2)以小米WIFI爲例

當用戶插上小米WIFI的時候，小米WIFI就會發送一個請求包到xiaomi.net網站：grayupgarde?......。

(3)以小度WIFI爲例

當用戶插上小度WIFI的時候，就會發一個請求包到xdu.baidu.com網站:getupdateinfo……。

其它的各類隨身WIFI、免費WIFI產品都是如此，筆者也不在贅述了。

五、總結一下識別方法：

(1)能夠用IP包的TTL字段檢測標準的NAPT設備。

(2)用IP包的ID標識來進一步確認用戶的私接行爲及確認用戶私接的設備臺數。

(3)用HTTP協議中的User-Agent字段來檢測私接上網的移動設備，從而確認用戶私接了NAPT設備。

(4)用幾種隨身WIFI和免費WIFI的後門，來識別用戶非法接入行爲。

5、根據識別理論，開發識別系統

如今咱們己經在理論上知道如何識別非法接入的SOHO路由器及WIFI熱點，如今要作的是把這些理論用一個軟件系統表達出來。

一、開發工具選用

筆者選用的開發工具是Microsoft Visual Studio 2012，開發語言選用了C#，報文組件選用了WinPcap+SharpPcap。Vs2012是windows平臺上最強的IDE開發工具，沒有之一，C#是最適用於.Net FrameWorks架構的開發語言，WinPcap是Win32/64環境下用於捕獲網絡數據包並進行處理的開源庫，SharpPcap是用C#語言對 WinPcap進行封裝使之適用於C#語言面向對象的特性的開源庫。

安裝WinPcap4.1.三、安裝VS2012旗艦版，創建解決方案和項目，在項目中引用SharpPcap4.2，調試好開發環境。

二、設計思路及系統功能

此軟件使用了不少C#高級編程，如協議分析、委託、線程等，涉及不少的TCP/IP底層數據包的知識，光一個數據包的拆解封裝類可能就要寫上幾頁內容、一個符合WinPcap過濾引擎語法的過濾字符串可能就要寫上一頁。因爲源代碼太長，不方便貼出，另外我也不想把這個寫成VS20十二、C#、 WinPcap的使用說明，如需源代碼，請聯繫筆者。

首先我來談談設計思路：系統的設計思路是設置WinPcap過濾器把須要分析的網段數據包經過SPAN技術，發到一個鏡象接口，鏡象接口鏈接的開啓混雜模式的網卡會捕獲這些數據包，軟件中包到達線程不停把數據包放在一個隊列中，後臺處理線程不停的把數據包取出拆解，分析其中是否有非法接入特徵，若是有就交顯示線程顯示出來，若是沒有就丟棄。

根據軟件的使用界面來介紹一下系統功能。

 

 

圖15：識別系統功能區域

(1)選擇要分析包的網卡

一臺計算機可能會有多塊網卡，有物理網卡、有虛擬網卡，此組合框讓用戶選擇須要捕獲包的網卡。

(2)開始按鈕

當點擊開始按鈕後，而且用戶選擇了須要捕獲網卡，首先就要開始對選中的網卡進行設置：在包到達事件中註冊處理方法、在包中止事件中註冊處理方法、設置過濾器、開始界面刷新線程、把網卡工做設置在混雜模式、開始包捕獲線程，軟件開始工做。

(3)結束按鈕

當點擊結束按鈕後：終止包捕獲線程、關閉網卡捕獲、注消包到達處理方法、注消包中止方法、同步結束界面刷新線程。

(4)存儲捕獲包功能

可讓用戶選擇是否存儲捕獲的數據包，由於軟件關閉後，軟件界面顯示的數據包將清空，若是非法接入的用戶拆了私接的設備後不認可他的非法接入行爲，就能夠調出存儲的數據包，再現捕獲時用戶非法接入的行爲數據。存儲的數據包符合 WinPcap標準，世界上最經常使用的協議分析軟件Sniffer、WireShark、Omnipeek等均可以打開。

(5)導出非法IP

能夠把識別爲非法接入的用戶IP地址導出到一個單獨的export.txt文件中，方便用戶查看。

(6)定義分析網段

一個企業網內部有不少的IP地址段，能夠本身定義，這個功能主要是增長軟件的通用性，也就是說，拷貝出去拿到哪裏均可以用，因要防範盜版，此軟件的定義分析網段功能被筆者鎖定，不能更改，只能在淮南礦業集團內部使用。

(7)數據包識別窗口

此窗口由一個後臺線程負責刷新，它和捕獲包線程協同工做，捕獲包線程不停的包到達的包存放到一個queue中，它的功能是把數據包從queue中取出來，拆開數據包查看是否有前面的章節中咱們分析非法接入特徵，若是有把此數據包的關鍵屬×××給顯示線程，顯示在識別窗口。

(8)識別結果窗口

此窗口也是由後臺線程刷新，當出現一個新的符合非法接入特徵的IP地址時，把這個IP地址和緣由，顯示在識別窗口。

(9)協議分析窗口

此窗口中的數據由數據包識別窗口中的用戶選擇來觸發，當用戶須要查到一個數據包的詳細頭部信息時，就能夠點擊具體的條目，此窗口就會列出數據包的Ethernet頭部、IP頭部、TCP頭部/UDP頭部信息供用戶分析。

(10)數據包內容顯示窗口

此窗口的數據和「協議分析窗口」中的數據同步，「協議分析窗口」是顯示數據包的頭部信息，而它是顯示數據包的負載信息。

(11)包捕獲狀態統計

同步刷新顯示，識別了多少包、其中IP包有多少、TCP包有多少等等。

6、非法接入識別系統如何部署

首先咱們來看下簡化的企業網的邏輯結構：

 

 

圖16：簡化的企業網邏輯結構圖

從圖16中能夠看出，XXXX的全部電腦上網都要通過一個企業網匯聚交換機(也就是XXXX的核心交換機)。以一臺企業網用戶電腦爲例，標準的 TTL值有不少種，不一樣的操做系統，發出的IP包的TTL標準值不相同，標準值有：TTL=25五、TTL=12八、TTL=6四、TTL=32等等。假設這臺電腦IP包的TTL=64，若是下級沒有路由設備的話，到達匯聚層交換機時TTL依然是64。

以XXXX網絡爲例，其它各礦以及上一級的管理員均可以用一樣的方法。

 

 

圖17：識別系統部署位置

在礦核心交換機上使用SPAN技術，這種技術主要是用來監控交換機上的數據流，利用SPAN技術咱們能夠把交換機上某些想要被監控端口(如下簡稱受控端口)的數據流COPY或MIRROR一份，發送給鏈接在監控端口上的裝了識別系統的計算機。

步驟以下：

(1)設置SPAN

在礦核心交換機上設置

XZK-C4506#show run | in monitor

monitor session 1 source vlan 2 – 4094 //所有 vlan的數據包

monitor session 1 destination interface Gi6/29 //mirror一份到gi6/29口

(2)把安裝了非法接入識別系統的計算機鏈接到 gi6/29接口。

(3)雙擊打開「非法接入識別系統」,選擇好網卡，並點擊開始按鈕

7、實際應用效果

經過各類精心的準備，識別非法接入系統己經開始運行了，如今看看效果。

 

 

圖18：實際應用效果圖

識別系統開始運行後，識別的結果讓網絡管理人員感到吃驚，除了合法登記的，有十幾個用戶私接了設備進行上網，在沒有識別系統的狀況下，根本就不可能發現他們，由於他們都用了MAC克隆技術，關閉了無線信號發送，使用傳統的方法就在網絡管理員的眼皮底下也不可能發現，有了識別系統以後，企業網絡非法接入問題獲得瞭解決。

8、總結

企業網用戶非法接入問題，原來一直困擾着企業網的管理人員，也包括筆者本身，互聯網各大技術論壇上也處處是尋求解決問題的求助貼，一些標榜能夠識別的系統經筆者測試，效果不好，如國內一個賣的很好的軟件，宣稱能夠識別非法接入，經測試，發現它居然是經過MAC地址的前24位來識別，MAC地址由48 位的二進制數構成，前24位爲廠商段，標識的是生產廠商，也就是說只要是這個廠商生產的，軟件它就認爲是路由器，這種識別方法是不合理的，非法接入就是克隆MAC地址來繞過檢測的，再用MAC來當成識別非法接入的依據，那是不會成功的，並且能夠確定的是，無協議分析能力的識別系統是不可能識別出來非法接入的。