无线局域网论文范文

导语：怎么才干写好一篇无线局域网论文，这就需求搜集收拾更多的材料和文献，欢迎阅览由好用生活网收拾的十篇范文，供你学习。

篇1

上面简略描绘了WLAN的技能开展及安全现状。本文首要介绍侵略检测技能及其运用于WLAN时的特别关键，给出两种运用于不同架构WLAN的侵略检测模型及其实用价值。需求阐明的是，本文研讨的侵略检测首要针对选用射频传输的IEEE802.11a/b/gWLAN，对其他类型的WLAN相同具有参阅含义。

1、WLAN概述

1.1WLAN的分类及其国内外开展现状

关于WLAN，可以用不同的规范进行分类。依据选用的传达媒质，可分为光WLAN和射频WLAN。光WLAN选用红外线传输，不受其他通讯信号的搅扰，不会被穿透墙面偷听，而早发射器的功耗十分低；但其掩盖规模小，漫射办法掩盖16m，仅适用于室内环境，最大传输速率只需4Mbit/s，一般不能令用户满足。因为光WLAN传送间隔和传送速率方面的约束，现在简直一切的WLAN都选用另一种传输信号——射频载波。射频载波运用无线电波进行数据传输，IEEE802.11选用2.4GHz频段发送数据，一般以两种办法进行信号扩展，一种是跳频扩频,FHSS办法，另一种是直接序列扩频,DSSS办法。最高带宽前者为3Mbit/s，后者为11Mbit/s，简直一切的WLAN厂商都选用DSSS作为网络的传输技能。依据WLAN的布局规划，一般分为根底结构形式WLAN和移动自组网形式WLAN两种。前者亦称合接入点,AP形式，后者可称无接入点形式。别离如图1和图2所示。

图1根底结构形式WLAN

图2移动自组网形式WLAN

1.2WLAN中的安全问题WLAN的盛行首要是因为它为运用者带来便利，可是正是这种便利性引出了有线网络中不存在的安全问题。比方，进犯者无须物理连线就可以衔接网络，而且任何人都可以运用设备偷听到射频载波传输的播送数据包。因而，侧重考虑的安全问题首要有：

a针对IEEE802.11网络选用的有线等效保密协议,WEP存在的缝隙，进行破解进犯。

b歹意的媒体拜访控制,MAC地址假装，这种进犯在有线网中相同存在。

C关于含AP形式，进犯者只需接入非授权的冒充AP，就可登录诈骗合法用户。

d进犯者或许对AP进行泛洪进犯，使AP拒绝服务，这是一种结果严峻的进犯办法。此外，对移动自组网形式内的某个节点进行进犯，让它不停地供给服务或进行数据包转发，使其动力耗尽而不能持续作业，一般称为动力消耗进犯。

e在移动自组网形式的局域网内，或许存在歹意节点，歹意节点的存在对网络功用的影响很大。

2、侵略检测技能及其在WLAN中的运用

IDS可分为依据主机的侵略检修体系,HIDS和依据网络的侵略检测体系,NIDS。HIDS选用主机上的文件,特别是日志文件或主机收发的网络数据包作为数据源。HIDS最早呈现于20世纪80年代初期，其时网络拓扑简略，侵略适当罕见，因而侧重于对进犯的过后剖析。现在的HIDS依然首要经过记载验证，只不过主动化程度进步，且能做到准确检测和快速呼应，并融入文件体系保护和监听端口等技能。与HIDS不同，NIDS选用原始的网络数据包作为数据源，从中发现侵略痕迹。它能在不影响运用功用的情况下检测侵略事情，并对侵略事情进行呼应。散布式网络IDS则把多个检测探针散布至多个网段，最终经过对各探针发回的信息进行归纳剖析来检测侵略，这种结构的长处是办理起来简略便利，单个探针失效不会导致整个体系失效，但装备进程杂乱。根底结构形式侵略检测模型将选用这种散布式网络检测办法，而关于移动自组网形式内的侵略检测模型将选用依据主机的侵略检测模型。

当时，对WLAN的侵略检测大都处于实验阶段，比方开源侵略检测体系Snort的Snort－wire－less测试版，增加了Wifi协议字段和选项关键字，选用规矩匹配的办法进行侵略检测，其AP由办理员手艺装备，因而能很好地辨认非授权的冒充AP，在扩展AP时亦需从头装备。可是，因为其规矩文件无有用的规矩界说，使检测功用有限，而且不能很好地检测MAC地址假装和泛洪拒绝服务进犯。2003年下半年，IBM提出WLAN侵略检测计划，选用无线感应器进行监测，该计划需求联入有线网络，运用规模有限而且体系本钱贵重，要真实市场化、实用化需求时日。此外，作为概念模型规划的WIDZ体系完成了AP监控和泛洪拒绝服务检测，但它没有一个较好的体系架构，存在约束性。

在上述根底上，咱们提出一种依据散布式感应器的网络检测模型结构，对含AP形式的WLAN进行保护。关于移动自组网形式的WLAN，则因为网络中主机既要收发本机的数据，又要转发数据,这些都是加密数据，文献提出了选用反常检测法对路由表更新反常和其他层活动反常进行检测，但只供给了模型，没有完成。此外，咱们剖析了移动自组网形式中歹意节点对网络功用的影响，并提出一种依据名誉点评机制的安全协议，以检测歹意节点并尽量避开歹意节点进行路由挑选，其间歹意节点的检测思维值得学习。Snort－wireless可以作为依据主机的侵略检测，咱们以此为根底提出一种运用于移动自组网侵略检测的依据主机的侵略检测模型架构。

3、WLAN中的侵略检测模型架构

在含AP形式中，可以将多个WLAN根本服务集,BSS扩展成扩展服务集,ESS，乃至可以组成一个大型的WLAN。这种网络需求一种散布式的检测结构，由中心控制台和监测组成，如图3所示。

图3含AP形式的散布式侵略检测体系结构

网络办理员中心控制台装备检测和阅读检测成果，并进行相关剖析。监测的作用是监听无线数据包、运用检测引擎进行检测、记载正告信息，并将正告信息发送至中心控制台。

由此可见，监测是整个体系的中心部分，依据网络布线与否，监测可以选用两种形式：一种是运用1张无线网卡再加1张以大网卡，无线网卡设置成“杂凑”形式，监听一切无线数据包，以太网卡则用于与中心服务器通讯；另一种形式是运用2张无线网卡，其间一张网卡设置成“杂凑”形式，另一张则与中心服务器通讯。

分组捕获完成后，将信息送至检测引擎进行检测，现在最常用的IDS首要选用的检测办法是特征匹配，即把网络包数据进行匹配，看是否有预先写在规矩中的“进犯内容”或特征。虽然大都IDS的匹配算法没有揭露，但一般都与闻名的开源侵略检测体系Snort的多模检测算法相似。另一些IDS还选用反常检测办法,如Spade检测引擎等，一般作为一种弥补办法。无线网络传输的是加密数据，因而，该体系需求要点完成的部分由非授权AP的检测。一般发现侵略之后，监测会记载进犯特征，并经过安全通道,选用必定强度的加密算法加密，有线网络一般选用安全套接层,SSL协议，无线网络一般选用无线加密协议,WEP将告警信息发给中心控制台进行显现和相关剖析等，并由控制台主动呼应,告警和搅扰等，或由网络办理员采纳相应办法。

在移动自组网形式中，每个节点既要收发自身数据，又要转发其他节点的数据，而且各个节点的传输规模遭到约束，假如在该网络中存在或参加歹意节点，网络功用将遭到严峻影响。歹意节点的进犯办法可以分为主动性进犯和自私性进犯。主动性进犯是指节点经过发送过错的路由信息、假造或修正路由信息等办法，对网络形成搅扰；自私性进犯是指网络中的部分节点或许因资源能量和核算能量等原因，不肯承当其他节点的转发使命所发生的搅扰。因而，对歹意节点的检测并在相应的路由挑选中避开歹意节点，也是该类型WLAN需求研讨的问题。

咱们的检测模型树立在HIDS上，乃至可以完成路由协议中的部分安全机制，如图4所示。

图4移动自组网形式中的侵略检测架构

当数据包抵达主机后，假如归于本机数据，数据包将被解密，在将它递交给上层之前，先送至依据主机的误用检测引擎进行检测，依据检测成果，对正常数据包放行，对进犯数据包则进行记载，并依据呼应战略进行呼应。此外，还可以在误用检测模型的根底上辅以反常检测引擎，依据以往的研讨成果，可以在网络层或运用层上进行，也可以将其做入路由协议中，以便进步检测速度和检测功率。

篇2

关键字：WLAN，WEP，SSID，DHCP，安全办法

1、导言

WLAN是WirelessLAN的简称，即无线局域网。所谓无线网络，望文生义便是运用无线电波作为传输前言而构成的信息网络，因为WLAN产品不需求铺设通讯电缆，可以灵活机动地敷衍各种网络环境的设置改动。WIAN技能为用户供给更好的移动性、灵活性和扩展性，在难以从头布线的区域供给快速而经济有用的局域网接入，无线网桥可用于为长途站点和用户供给局域网接入。可是，当用户对WLAN的希望日益升高时，其安全问题跟着运用的深化表露无遗，并成为约束WLAN开展的首要瓶颈。[1]

2、要挟无线局域网的要素

首要应该被考虑的问题是，因为WLAN是以无线电波作为上网的传输前言，因而无线网络存在着难以约束网络资源的物理拜访，无线网络信号可以传达到预期的方位以外的地域，具体情况要依据建筑材料和环境而定，这样就使得在网络掩盖规模内都成为了WLAN的接入点，给侵略者有隙可乘，可以在预期规模以外的当地拜访WLAN，偷听网络中的数据，有时机侵略WLAN运用各种进犯手法对无线网络进行进犯，当然是在侵略者具有了网络拜访权今后。

其次，因为WLAN仍是契合一切网络协议的核算机网络，所以核算机病毒一类的网络要挟要素相同也要挟着一切WLAN内的核算机，乃至会发生比一般网络愈加严峻的结果。

因而，WLAN中存在的安全要挟要素首要是：偷听、截取或许修正传输数据、相信进犯、拒绝服务等等。

IEEE802.1x认证协议发明者VipinJain承受媒体采访时表明：“谈到无线网络，企业的IT经理人最忧虑两件事：首要，市面上的规范与安全处理计划太多，使得用户莫衷一是；第二，怎么避免网络遭到侵略或进犯？无线媒体是一个同享的前言，不会受限于建筑物实体界限，因而有人要侵略网络可以说十分简略。”[1]因而WLAN的安全办法仍是任重而道远。

3、无线局域网的安全办法

3.1选用无线加密协议避免未授权用户

保护无线网络安全的最根本手法是加密，经过简略的设置AP和无线网卡等设备，就可以启用WEP加密。无线加密协议(WEP)是对无线网络上的流量进行加密的一种规范办法。许多无线设备商为了便利装置产品，交给设备时封闭了WEP功用。但一旦选用这种做法，黑客就能运用无线嗅探器直接读取数据。主张常常对WEP密钥进行替换，有条件的情况下启用独立的认证服务为WEP主动分配密钥。别的一个有必要留意问题便是用于标识每个无线网络的服务者身份(SSID)，在布置无线网络的时分必定要将出厂时的缺省SSID替换为自界说的SSID。现在的AP大部分都支撑屏蔽SSID播送，除非有特别理由，不然应该禁用SSID播送，这样可以削减无线网络被发现的或许。[2]

可是现在IEEE802.11规范中的WEP安全处理计划，在15分钟内就可被攻破，已被广泛证明不安全。所以假如选用支撑128位的WEP，破解128位的WEP的是适当困难的，一同也要定时的更改WEP，确保无线局域网的安全。假如设备供给了动态WEP功用，最好运用动态WEP，值得咱们幸亏的，WindowsXP自身就供给了这种支撑，您可以选中WEP选项“主动为我供给这个密钥”。一同，应该运用IPSec，VPN，SSH或其他

WEP的代替办法。不要仅运用WEP来保护数据。

3.2改动服务集标识符而且制止SSID播送

SSID是无线接人的身份标识符，用户用它来树立与接入点之间的衔接。这个身份标识符是由通讯设备制造商设置的，而且每个厂商都用自己的缺省值。例如，3COM的设备都用“101”。因而，知道这些标识符的黑客可以很简略不经过授权就享用你的无线服务。你需求给你的每个无线接入点设置一个仅有而且难以估测的SSID。假如或许的话。还应该制止你的SSID向外播送。这样，你的无线网络就不可以经过播送的办法来吸纳更多用户．当然这并不是说你的网络不可用．仅仅它不会呈现在可运用网络的名单中。[3]

3.3静态IP与MAC地址绑定

无线路由器或AP在分配IP地址时，一般是默许运用DHCP即动态IP地址分配，这对无线网络来说是有安全隐患的，“不法”分子只需找到了无线网络，很简略就可以经过DHCP而得到一个合法的IP地址，由此就进入了局域网络中。因而，主张封闭DHCP服务，为家里的每台电脑分配固定的静态IP地址，然后再把这个IP地址与该电脑网卡的MAC地址进行绑定，这样就能大大提高网络的安全性。“不法”分子不易得到合法的IP地址，即便得到了，因为还要验证绑定的MAC地址，适当于两重关卡。[4]设置办法如下：

首要，在无线路由器或AP的设置中封闭“DHCP服务器”。然后激活“固定DHCP”功用，把各电脑的“称号”(即Windows体系属陆里的“核算机描绘”)，今后要固定运用的IP地址，其网卡的MAC地址都照实填写好，最终点“履行”就可以了。

3.4VPN技能在无线网络中的运用

关于高安全要求或大型的无线网络，VPN计划是一个更好的挑选。因为在大型无线网络中保护作业站和AP的WEP加密密钥、AP的MAC地址列表都是十分艰巨的办理使命。

关于无线商用网络，依据VPN的处理计划是当今WEP机制和MAC地址过滤机制的最佳代替者。VPN计划现已广泛运用于Internet长途用户的安全接入。在长途用户接入的运用中，VPN在不可信的网络(Internet)上供给一条安全、专用的通道或许地道。各种地道协议，包含点对点的地道协议和第二层地道协议都可以与规范的、会集的认证协议一同运用。相同，VPN技能可以运用在无线的安全接入上，在这个运用中，不可信的网络是无线网络。AP可以被界说成无WEP机制的敞开式接入(各AP仍应界说成选用SSID机制把无线网络分割成多个无线服务子网)，可是无线接入网络VLAN(AP和VPN服务器之问的线路)从局域网现已被VPN服务器和内部网络阻隔出来。VPN服务器供给网络的认征和加密，并允当局域网网络内部。与WEP机制和MAC地址过滤接入不同，VPN计划具有较强的扩大、晋级功用，可运用于大规模的无线网络。

3.5无线侵略检测体系

无线侵略检测体系同传统的侵略检测体系相似，但无线侵略检测体系增加了无线局域网的检测和对损坏体系反响的特性。侵入保密检测软件关于阻挠双面恶魔进犯来说，是有必要采纳的一种办法。现在侵略检测体系已用于无线局域网。来监督剖析用户的活动，判别侵略事情的类型，检测不合法的网络行为，对反常的网络流量进行报警。无线侵略检测体系不但能找出侵略者，还能加强战略。经过运用强有力的战略，会使无线局域网更安全。无线侵略检测体系还能检测到MAC地址诈骗。他是经过一种次序剖析，找出那些假装WAP的无线上网用户无线侵略检测体系可以经过供给商来购买，为了发挥无线侵略检测体系的优秀的功用，他们一同还供给无线侵略检测体系的处理计划。[1]

3.6选用身份验证和授权

当进犯者了解网络的SSID、网络的MAC地址或乃至WEP密钥等信息时，他们可以测验树立与AP相关。现在，有3种办法在用户树立与无线网络的相关前对他们进行身份验证。敞开身份验证一般意味着您只需求向AP供给SSID或运用正确的WEP密钥。敞开身份验证的问题在于，假如您没有其他的保护或身份验证机制，那么您的无线网络将是彻底敞开的，就像其称号所表明的。同享秘要身份验证机制相似于“口令一呼应”身份验证体系。在STA与AP同享同一个WEP密钥时运用这一机制。STA向AP发送请求，然后AP发回口令。接着，STA运用口令和加密的呼应进行回复。这种办法的缝隙在于口令是经过明文传输给STA的，因而假如有人可以一同截取口令和呼应，那么他们就或许找到用于加密的密钥。选用其他的身份验证／授权机制。运用802.1x，VPN或证书对无线网络用户进行身份验证和授权。运用客户端证书可以使进犯者简直无法取得拜访权限。

[5]

3.7其他安全办法

除了以上叙说的安全办法手法以外咱们还要可以采纳一些其他的技能，例如设置附加的第三方数据加密计划，即便信号被盗听也难以了解其间的内容；加强企业内部办理等等的办法来加强WLAN的安全性。

4、定论

无线网络运用越来越广泛，可是随之而来的网络安全问题也越来越杰出，在文中剖析了WLAN的不安全要素，针对不安全要素给出了处理的安全办法，有用的防备偷听、截取或许修正传输数据、相信进犯、拒绝服务等等的进犯手法，可是因为现在各个无线网络设备出产厂商出产的设备的功用不一样，所以现在在本文中介绍的一些安全办法或许在不同的设备上会有些不一样，可是安全办法的思路是正确的，可以确保无线网络内的用户的信息和传输音讯的安全性和保密性，有用地保护无线局域网的安全。

参阅文献

[1]李园,王燕鸿,张钺伟,顾伟伟.无线网络安全性要挟及应对办法[J].现代电子技能.2007,(5):91-94.

[2]王秋华,章坚武.浅析无线网络施行的安全办法[J].我国科技信息.2005,(17):18.

[3]边锋.不得不说无线网络安全六种简略技巧[J].核算机与网络.2006,(20):6.