專利名稱:拒絕服務(wù)攻擊防御方法、系統(tǒng)、無線接入點(diǎn)及無線控制器的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù),尤其涉及一種拒絕服務(wù)攻擊防御方法、系統(tǒng)、無線接入 點(diǎn)及無線控制器。
背景技術(shù):
無線局域網(wǎng)(Wireless Local Area Networks ;簡稱為WLAN)是指應(yīng)用無線通信 技術(shù)將計(jì)算機(jī)設(shè)備互聯(lián)起來,使客戶端可以隨時(shí)隨地接入寬帶網(wǎng)絡(luò)實(shí)現(xiàn)信息共享的一種網(wǎng) 絡(luò)。其中,無線客戶端(例如支持WLAN接入功能的筆記本電腦、個(gè)人數(shù)碼助理或無線網(wǎng) 卡)通過無線接入點(diǎn)(Access Point ;簡稱為AP)接入無線局域網(wǎng)。AP是連接有線網(wǎng)和無 線局域網(wǎng)的橋梁,其主要作用是將各個(gè)無線客戶端連接到一起,然后將無線網(wǎng)絡(luò)接入以太 網(wǎng)。
通常AP僅具有802. 11物理層的功能,即只能進(jìn)行無線射頻信號(hào)的發(fā)送和接收,需 要和一臺(tái)無線控制器(Access Controller ;簡稱為AC)連接,由AC集中控制和管理以接入 有線網(wǎng)絡(luò)。其中,AC負(fù)責(zé)數(shù)據(jù)交換和路由選擇,還進(jìn)行用戶認(rèn)證、安全策略管理、射頻信道 選擇和輸出功率調(diào)整等。
和有線網(wǎng)絡(luò)一樣,拒絕服務(wù)(Denial-Of-Service ;簡稱為D0S)攻擊也已經(jīng)成為 破壞WLAN通信安全的重要途徑。由于IEEE802. 11中未對管理報(bào)文提供保護(hù)機(jī)制,因此,即 使采用了高安全級(jí)別的WLAN,攻擊者也可以很容易的通過偽造管理報(bào)文來對AP進(jìn)行DOS攻 擊,例如偽造下線報(bào)文(解認(rèn)證報(bào)文或解關(guān)聯(lián)報(bào)文)導(dǎo)致無線接入服務(wù)中斷、設(shè)備過載等情 況。針對上述情況,IEEE工作組提出一種IEEE802. Ilw標(biāo)準(zhǔn),主要是通過對客戶端關(guān)聯(lián)成功 后的管理報(bào)文進(jìn)行合法性校驗(yàn),提供對管理報(bào)文的保護(hù)。在802. Ilw協(xié)議中,當(dāng)客戶端成功 關(guān)聯(lián)AP之后,首先會(huì)與AP協(xié)商密鑰,用于對管理報(bào)文進(jìn)行安全管理;當(dāng)AP下發(fā)解認(rèn)證報(bào)文 (Deauth)或解關(guān)聯(lián)報(bào)文(Disassoc)時(shí),會(huì)根據(jù)協(xié)商的密鑰產(chǎn)生信息完整性代碼(Message Integrity Code ;簡稱為MIC),并將MIC添加到解認(rèn)證報(bào)文或解關(guān)聯(lián)報(bào)文中一并發(fā)送給客 戶端;客戶端接收到解認(rèn)證報(bào)文或解關(guān)聯(lián)報(bào)文時(shí),會(huì)提取其中的MIC并用密鑰對該MIC進(jìn)行 驗(yàn)證;對于通過驗(yàn)證的合法報(bào)文才被客戶端接收,對于未通過驗(yàn)證的報(bào)文將被客戶端視為 攻擊報(bào)文并丟棄。
通過上述方式可以對管理報(bào)文提供一定的保護(hù)作用,但是,上述方法需要在客 戶端和AP之間完成密鑰協(xié)商之后,才能對管理報(bào)文進(jìn)行加密和認(rèn)證,而對于密鑰協(xié)商完 成之前的管理報(bào)文仍無法提供保護(hù),由于此時(shí)還沒有密鑰,因此,攻擊者還會(huì)利用上述這 點(diǎn)對管理報(bào)文進(jìn)行攻擊,使AP自行發(fā)送下線報(bào)文給客戶端,造成無線接入服務(wù)中斷。另 外,在802. Ilw網(wǎng)絡(luò)中,客戶端和AP關(guān)聯(lián)上并進(jìn)行數(shù)據(jù)傳輸后,若攻擊者發(fā)送一個(gè)偽造 的關(guān)聯(lián)請求(Assoc Request)報(bào)文或認(rèn)證請求報(bào)文,但客戶端的能力屬性(例如能力 (Capabilities)、基本速率配置(Basic Rate sets)等)不符合AP的要求,此時(shí),AP將會(huì) 返回一個(gè)攜帶合法MIC值的下線報(bào)文給客戶端,此時(shí),客戶端仍會(huì)被下線,導(dǎo)致無線接入服 務(wù)被中斷。
由上述分析可知目前802. Ilw無線網(wǎng)絡(luò)仍無法防御攻擊者通過一定手段迫使AP 自行向客戶端發(fā)送下線報(bào)文來中斷無線接入服務(wù)的DOS攻擊。發(fā)明內(nèi)容
本發(fā)明提供一種拒絕服務(wù)攻擊防御方法、系統(tǒng)、無線接入點(diǎn)及無線控制器,用以實(shí) 現(xiàn)對拒絕服務(wù)攻擊的防御,提高客戶端無線接入的服務(wù)質(zhì)量。
本發(fā)明提供一種拒絕服務(wù)攻擊防御方法,包括
無線控制器接收無線接入點(diǎn)轉(zhuǎn)發(fā)的客戶端的第一報(bào)文;
所述無線控制器根據(jù)所述無線接入點(diǎn)返回的所述客戶端對應(yīng)的接收信號(hào)強(qiáng)度指 示閾值,判斷所述第一報(bào)文是否為攻擊報(bào)文;
當(dāng)判斷出所述第一報(bào)文為攻擊報(bào)文時(shí),所述無線控制器直接丟棄所述第一報(bào)文。
本發(fā)明提供一種無線控制器,包括
第一接收模塊,用于接收無線接入點(diǎn)轉(zhuǎn)發(fā)的客戶端的第一報(bào)文;
判斷模塊,用于根據(jù)所述無線接入點(diǎn)返回的所述客戶端對應(yīng)的接收信號(hào)強(qiáng)度指示 閾值,判斷所述第一報(bào)文是否為攻擊報(bào)文;
丟棄模塊,用于在所述判斷模塊判斷出所述第一報(bào)文為攻擊報(bào)文時(shí),直接丟棄所 述第一報(bào)文。
本發(fā)明提供一種無線接入點(diǎn),包括
第二發(fā)送模塊,用于將客戶端發(fā)送的第一報(bào)文轉(zhuǎn)發(fā)給無線控制器;
第三發(fā)送模塊,用于將所述客戶端對應(yīng)的接收信號(hào)強(qiáng)度指示閾值發(fā)送給所述無線 控制器,以供所述無線控制器根據(jù)所述客戶端對應(yīng)的接收信號(hào)強(qiáng)度指示閾值,判斷所述第 一報(bào)文是否為攻擊報(bào)文。
本發(fā)明提供一種拒絕服務(wù)攻擊防御系統(tǒng),包括本發(fā)明提供的任一無線控制器和本 發(fā)明提供的任一無線接入點(diǎn)。
本發(fā)明提供的拒絕服務(wù)攻擊防御方法、系統(tǒng)、無線接入點(diǎn)及無線控制器,無線控制 器根據(jù)無線接入點(diǎn)返回的客戶端對應(yīng)的接收信號(hào)強(qiáng)度指示閾值,判斷由無線接入點(diǎn)轉(zhuǎn)發(fā)的 客戶端的第一報(bào)文是否為攻擊報(bào)文,當(dāng)判斷出第一報(bào)文為攻擊報(bào)文時(shí),直接丟棄第一報(bào)文, 實(shí)現(xiàn)對DOS攻擊的防御。與現(xiàn)有技術(shù)相比,本發(fā)明技術(shù)方案無需無線接入點(diǎn)和客戶端進(jìn)行 密鑰協(xié)商,因此,對任何時(shí)候客戶端發(fā)送的第一報(bào)文都可以進(jìn)行DOS攻擊防御,不受密鑰協(xié) 商的限制;另外,本發(fā)明技術(shù)方案基于接收信號(hào)強(qiáng)度指示閾值來判斷第一報(bào)文是否為攻擊 報(bào)文,并不像現(xiàn)有技術(shù)那樣根據(jù)客戶端的能力屬性來判斷是否為攻擊報(bào)文,因此,不會(huì)因 DOS攻擊報(bào)文而導(dǎo)致無線控制器通過無線接入點(diǎn)主動(dòng)向客戶端發(fā)送下線報(bào)文使客戶端下線 或中斷無線接入服務(wù),提高了客戶端無線接入的服務(wù)質(zhì)量。
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實(shí)施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作一簡單地介紹,顯而易見地,下面描述中的附圖是本發(fā) 明的一些實(shí)施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根 據(jù)這些附圖獲得其他的附圖。
圖1為本發(fā)明實(shí)施例一提供的DOS攻擊防御方法的流程圖2為本發(fā)明實(shí)施例二提供的DOS攻擊防御方法的流程圖3為本發(fā)明實(shí)施例三提供的DOS攻擊防御方法的流程圖4為本發(fā)明實(shí)施例四提供的AC的結(jié)構(gòu)示意圖5為本發(fā)明實(shí)施例五提供的AC的結(jié)構(gòu)示意圖6為本發(fā)明實(shí)施例六提供的AP的結(jié)構(gòu)示意圖7為本發(fā)明實(shí)施例七提供的AP的結(jié)構(gòu)示意圖8為本發(fā)明實(shí)施例八提供的DOS攻擊防御系統(tǒng)的結(jié)構(gòu)示意圖。
具體實(shí)施方式
為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合本發(fā)明實(shí)施例 中的附圖,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例是 本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員 在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
圖1為本發(fā)明實(shí)施例一提供的DOS攻擊防御方法的流程圖。如圖1所示,本實(shí)施 例的DOS攻擊防御方法包括
步驟11、AC接收AP轉(zhuǎn)發(fā)的客戶端的第一報(bào)文;
其中,客戶端通過與AP關(guān)聯(lián)接入有線網(wǎng)絡(luò),AP通過有線與AC連接,AC負(fù)責(zé)對AP 進(jìn)行控制和管理。在上述WLAN結(jié)構(gòu)中,客戶端首先會(huì)向AP發(fā)送認(rèn)證請求報(bào)文,以進(jìn)行身份 認(rèn)證;AP將認(rèn)證請求報(bào)文轉(zhuǎn)發(fā)給AC,以供AC對客戶端進(jìn)行身份認(rèn)證;AC將身份認(rèn)證結(jié)果通 過AP返回給客戶端。在認(rèn)證通過后,客戶端會(huì)向AP發(fā)送關(guān)聯(lián)請求報(bào)文;AP將關(guān)聯(lián)請求報(bào) 文轉(zhuǎn)發(fā)給AC,由AC負(fù)責(zé)對客戶端的能力屬性等進(jìn)行判斷,以確定是否允許客戶端通過與AP 關(guān)聯(lián)而接入WLAN。
在上述過程中,攻擊者可以構(gòu)造認(rèn)證請求報(bào)文或關(guān)聯(lián)請求報(bào)文進(jìn)行DOS攻擊,因 此,本實(shí)施例的第一報(bào)文可以為認(rèn)證請求報(bào)文或關(guān)聯(lián)請求報(bào)文,但并不限于此。
步驟12、AC根據(jù)AP返回的客戶端對應(yīng)的接收信號(hào)強(qiáng)度指示(ReceivedSignal Strength Indication ;簡稱為RSSI)閾值,判斷第一報(bào)文是否為攻擊報(bào)文;
通常,AP除了接收客戶端的認(rèn)證請求報(bào)文或關(guān)聯(lián)請求報(bào)文之外,還會(huì)接收客戶端 發(fā)送的其他報(bào)文,例如為了保持與客戶端的連接,AP會(huì)接收客戶端定時(shí)發(fā)出的探測請求 (Probe Request)信號(hào)。其中,只要客戶端處于開機(jī)狀態(tài),無論客戶端是否與AP關(guān)聯(lián),AP均 能獲取到客戶端的相關(guān)報(bào)文。AP基于獲取的客戶端的相關(guān)報(bào)文的RSSI,生成客戶端對應(yīng)的 RSSI閾值,并將該RSSI閾值提供給AC。其中,在本實(shí)施例中,將AP生成RSSI閾值所需的 客戶端的相關(guān)報(bào)文稱為第二報(bào)文,該第二報(bào)文通常為除關(guān)聯(lián)請求報(bào)文和認(rèn)證請求報(bào)文之外 的報(bào)文。其中,由于RSSI閾值是由AP根據(jù)客戶端的第二報(bào)文生成的,因此,表征著客戶端 的位置。
通常,攻擊者為了保證其安全性和隱蔽性,會(huì)與真正的客戶端之間保持一定距離。 而由于RSSI能夠反映客戶端的位置,因此,AC通過比較第一報(bào)文的RSSI和RSSI閾值,可 以判斷發(fā)送第一報(bào)文的終端位置是否與客戶端的位置一致,進(jìn)而判斷發(fā)送第一報(bào)文的終端 是否為客戶端;如果為客戶端,則可以判斷出第一報(bào)文為正常報(bào)文,反之,判斷出第一報(bào)文為攻擊報(bào)文。
步驟13、當(dāng)判斷出第一報(bào)文為攻擊報(bào)文時(shí),AC直接丟棄第一報(bào)文。
當(dāng)AC判斷出第一報(bào)文為攻擊報(bào)文時(shí),直接丟棄該第一報(bào)文,并不對第一報(bào)文做出 響應(yīng),即不會(huì)因?yàn)榈谝粓?bào)文而通過AP向客戶端發(fā)送下線報(bào)文;同時(shí),AC會(huì)通知AP將該第一 報(bào)文丟棄,由于AP沒有接收到AC的下線報(bào)文,因此不會(huì)向客戶端發(fā)送下線報(bào)文(例如解關(guān) 聯(lián)報(bào)文或解認(rèn)證報(bào)文),在識(shí)別DOS攻擊的基礎(chǔ)上,保證了客戶端不被下線,保證了客戶端 的無線接入不被中斷。
本實(shí)施例提供的DOS攻擊防御方法,AC根據(jù)AP返回的客戶端對應(yīng)的RSSI閾值來 判斷第一報(bào)文是否為DOS攻擊報(bào)文,并在判斷出第一報(bào)文為DOS攻擊報(bào)文時(shí),將第一報(bào)文丟 棄,不對第一報(bào)文進(jìn)行響應(yīng),實(shí)現(xiàn)了對DOS攻擊的識(shí)別,同時(shí)保證了客戶端不被下線,保證 了客戶端的無線接入服務(wù)不被中斷,提高了客戶端無線接入的服務(wù)質(zhì)量。與現(xiàn)有技術(shù)相比, 本實(shí)施例不需要客戶端和AP之間進(jìn)行密鑰協(xié)商,因此,不存在密鑰協(xié)商前無法對管理報(bào)文 進(jìn)行DOS攻擊防御的問題;同時(shí),由于本實(shí)施例基于RSSI閾值判斷是否為攻擊報(bào)文,而不是 基于客戶端的能力屬性進(jìn)行判斷,因此,不會(huì)像現(xiàn)有技術(shù)那樣在判斷出能力屬性不一致時(shí) AC通過AP主動(dòng)向客戶端下發(fā)下線報(bào)文,因此,可以在識(shí)別出DOS攻擊的情況下,保證客戶端 不被下線,保證客戶端的無線接入不被中斷,實(shí)現(xiàn)了對DOS攻擊的防御。
其中,AP可以根據(jù)獲取的客戶端的多個(gè)第二報(bào)文的RSSI進(jìn)行算術(shù)平均,將獲取的 平均值作為RSSI閾值;該實(shí)施方式易于實(shí)現(xiàn),但是其精度往往不高?;诖?,本實(shí)施例另外 提供一種AP生成RSSI閾值的實(shí)施方式,即AP對獲取的第二報(bào)文的RSSI進(jìn)行濾波處理,以 濾除影響第二報(bào)文的RSSI的雜波或干擾信號(hào),將濾波后的第二報(bào)文的RSSI作為客戶端對 應(yīng)的RSSI閾值。由于對第二報(bào)文的RSSI進(jìn)行濾波處理濾除了部分雜波或干擾信號(hào),因此, 獲取的客戶端對應(yīng)的RSSI閾值的精度較高,進(jìn)而可以提高基于該RSSI閾值進(jìn)行判斷的準(zhǔn) 確度。其中AP可以采用一階濾波、二階濾波或高階濾波等濾波方法對第二報(bào)文的RSSI進(jìn) 行濾波,具體采用哪種濾波方式可以結(jié)合當(dāng)前網(wǎng)絡(luò)狀態(tài),例如當(dāng)網(wǎng)絡(luò)中存在較多干擾源或 信號(hào)較差時(shí),可以采用二階濾波或高階濾波以盡可能提高RSSI閾值的精度;而當(dāng)網(wǎng)絡(luò)處于 常規(guī)狀態(tài)或正常狀態(tài)時(shí),可以采用簡單的一階濾波方法。
其中,一階濾波方法算法簡單且易于實(shí)現(xiàn),且基于目前的WLAN,對第二報(bào)文的 RSSI進(jìn)行一階濾波處理獲取的RSSI閾值通常滿足對RSSI閾值精度的要求,因此,在本實(shí)施 例以及以下各實(shí)施例中,AP均采用一階濾波方法對第二報(bào)文的RSSI進(jìn)行濾波處理來獲取 客戶端對應(yīng)的RSSI閾值。其中,AP對第二報(bào)文的RSSI進(jìn)行一階濾波處理的過程具體包括 AP獲取客戶端的第二報(bào)文;然后,根據(jù)公式(1),對第二報(bào)文的RSSI進(jìn)行一階濾波處理,將 該一階濾波結(jié)果作為客戶端對應(yīng)的RSSI閾值。
RIav = (l_a)*RI+a*RIav,(1)
其中,RIav表示客戶端對應(yīng)的RSSI閾值;Rlav’表示客戶端對應(yīng)的RSSI初始值, 根據(jù)一階濾波的原理Rlav’具體為上一次根據(jù)公式(1)計(jì)算生成的RSSI閾值;a表示濾波 因子,0 < a < 1 ;RI表示第二報(bào)文的RSSI。
進(jìn)一步,在本實(shí)施例中,AP會(huì)持續(xù)獲取客戶端的第二報(bào)文,AP每獲取一個(gè)第二報(bào) 文均根據(jù)公式(1)計(jì)算生成客戶端對應(yīng)的RSSI閾值,即AP獲取的客戶端對應(yīng)的RSSI閾值 是動(dòng)態(tài)變化的?;谏鲜?,RIav表示根據(jù)當(dāng)前獲取的第二報(bào)文生成的客戶端對應(yīng)的RSSI閾值;Rlav’表示根據(jù)前一個(gè)第二報(bào)文生成的客戶端對應(yīng)的RSSI閾值;a表示濾波因子;RI表 示當(dāng)前獲取的第二報(bào)文的RSSI。
上述獲取客戶端對應(yīng)的RSSI閾值的實(shí)施方式采用了一階滯后濾波算法,相對于 普通的算術(shù)平均算法,一階滯后濾波法算法對周期性干擾具有良好的抑制作用,適用于波 動(dòng)頻率較高的場合,并且可通過調(diào)整濾波因子a的取值來對濾波結(jié)果的靈敏度進(jìn)行調(diào)整, 濾波因子a的值越小,濾波結(jié)果越靈敏,因此,通過該實(shí)施方式獲取的RSSI閾值的精度較尚ο
基于上述實(shí)施例,AP具體可以采用以下方式向AC返回客戶端對應(yīng)的RSSI閾值。一 種方式為AP可以預(yù)設(shè)周期,定時(shí)向AC返回客戶端對應(yīng)的RSSI閾值;其中,在每個(gè)預(yù)設(shè)周 期內(nèi),AP可能會(huì)接收到客戶端的多個(gè)第二報(bào)文,因此,會(huì)生成客戶端對應(yīng)的多個(gè)RSSI閾值, 此時(shí),AP可以將多個(gè)RSSI閾值均返回給AC,以供AC選擇其中一個(gè)來作為比較使用的RSSI 閾值;另外,AP也可以只將最新的RSSI閾值返回給AC,使AC根據(jù)接收到的唯一的RSSI閾 值來判斷是否存在DOS攻擊。
另一種方式為AC主動(dòng)向AP發(fā)送獲取指示消息,該獲取指示消息表示要AP返回 客戶端對應(yīng)的最新的RSSI閾值。AP接收AC的獲取指示消息,根據(jù)獲取指示消息,向AC返 回客戶端對應(yīng)的RSSI閾值。其中,AP在接收到客戶端的每一個(gè)第二報(bào)文時(shí),均根據(jù)公式 (1)計(jì)算與每一個(gè)第二報(bào)文對應(yīng)的RSSI閾值,當(dāng)接收到AC的獲取指示消息時(shí),將當(dāng)前最新 的RSSI閾值發(fā)送給AC。
基于上述實(shí)施例,AC根據(jù)客戶端對應(yīng)的RSSI閾值,判斷第一報(bào)文是否為攻擊報(bào)文 的過程具體如下-M獲取第一報(bào)文的RSSI,并將第一報(bào)文的RSSI與客戶端對應(yīng)的RSSI閾 值做差,獲取第一報(bào)文的RSSI與客戶端對應(yīng)的RSSI閾值的差值;AC將獲取的差值與預(yù)設(shè) 門限值進(jìn)行比較;如果比較結(jié)果為差值大于預(yù)設(shè)門限值,則AC判定第一報(bào)文為攻擊報(bào)文; 如果差值小于或等于預(yù)設(shè)門限值,則AC判定第一報(bào)文為非攻擊報(bào)文,即正常報(bào)文,可以對 該第一報(bào)文做出響應(yīng)。
其中,當(dāng)客戶端固定在某個(gè)位置時(shí),濾波因子a取0. 9獲取的RSSI閾值能較準(zhǔn)確 的反映來自客戶端的無線信號(hào)的大小,此時(shí),接收到的每個(gè)第一報(bào)文的RSSI通常會(huì)在RSSI 閾值士5范圍內(nèi)進(jìn)行波動(dòng),因此,預(yù)設(shè)門限值可以為5。其中,本實(shí)施例的提供的濾波因子 a的取值以及預(yù)設(shè)門限值只是一種優(yōu)選值,但均不限于此,根據(jù)實(shí)際應(yīng)用情況可以做適應(yīng)性變化。
進(jìn)一步,結(jié)合WLAN網(wǎng)絡(luò)的實(shí)際情況,客戶端往往會(huì)發(fā)生移動(dòng),當(dāng)客戶端發(fā)生移動(dòng) 時(shí),通過上述實(shí)施例可能會(huì)出現(xiàn)誤判,為了進(jìn)一步提高判斷DOS攻擊的準(zhǔn)確性,本發(fā)明以下 實(shí)施例提供一種實(shí)施方式。
圖2為本發(fā)明實(shí)施例二提供的DOS攻擊防御方法的流程圖。本實(shí)施例基于上述實(shí) 施例實(shí)現(xiàn),如圖2所示,本實(shí)施例的DOS攻擊防御方法在AC判斷出第一報(bào)文為DOS攻擊報(bào) 文之后還包括
步驟14、AC向AP發(fā)送更新指示消息;該更新指示消息用于使AP對濾波因子a進(jìn) 行調(diào)整,以在后續(xù)判斷過程中進(jìn)一步提高判斷DOS攻擊的準(zhǔn)確性和精度。
步驟15、AP根據(jù)更新指示消息,向客戶端發(fā)送探測請求報(bào)文,并等待接收客戶端 返回的探測應(yīng)答報(bào)文,同時(shí)判斷是否接收到客戶端返回的探測應(yīng)答報(bào)文;如果接收到客戶10端返回的探測應(yīng)答報(bào)文,則執(zhí)行步驟16 ;反之,則執(zhí)行步驟17。其中,AP通過向客戶端發(fā)送 探測請求報(bào)文,以探測客戶端是否在線,通過該操作可以確認(rèn)AC的判斷是否正確。其中,若 客戶端在線,說明客戶端不受AC丟棄第一報(bào)文的影響,則客戶端在收到AP的探測請求報(bào)文 之后,會(huì)向AP返回探測應(yīng)答報(bào)文;若客戶端不在線,說明客戶端可能因?yàn)锳C丟棄第一報(bào)文 未能與AP成功關(guān)聯(lián),則將無法向AP返回探測應(yīng)答報(bào)文。因此,AP根據(jù)是否接收到探測應(yīng) 答報(bào)文即可判斷出AC做出的判斷是否正確。其中,AP通??梢栽O(shè)置一接收時(shí)間,在該接收 時(shí)間內(nèi)等待接收客戶端返回的探測應(yīng)答報(bào)文,如果接收時(shí)間結(jié)束,尚未接收到客戶端返回 的探測應(yīng)答報(bào)文,說明客戶端不在線,反之說明客戶端在線。
步驟16、AP根據(jù)預(yù)設(shè)第一更新步長增大濾波因子a,并重新根據(jù)公式(1),對第二 報(bào)文的RSSI進(jìn)行濾波處理,生成客戶端對應(yīng)的RSSI閾值,并執(zhí)行步驟18 ;
當(dāng)AP判斷得出AC判斷第一報(bào)文為DOS攻擊的結(jié)果正確時(shí),則根據(jù)預(yù)設(shè)更新步長, 例如0. 1,來增大濾波因子a,并根據(jù)公式(1)對后續(xù)接收到的第二報(bào)文的RSSI進(jìn)行濾波處 理,使得新生成的RSSI閾值更加平滑,提高體現(xiàn)客戶端的無線信號(hào)的強(qiáng)度的準(zhǔn)確度。其中, RSSI初始值仍為上一次濾波獲取的RSSI閾值。需要說明的是濾波因子a的上限值優(yōu)選為 0. 9。
步驟17、AP根據(jù)預(yù)設(shè)第二更新步長減小濾波因子a,并重新根據(jù)公式(1),對第二 報(bào)文的RSSI進(jìn)行濾波處理,生成客戶端對應(yīng)的RSSI閾值,并執(zhí)行步驟18 ;
當(dāng)AP判斷得出AC判斷第一報(bào)文為DOS攻擊的結(jié)果錯(cuò)誤時(shí),則根據(jù)預(yù)設(shè)更新步長, 例如0. 1,來減小濾波因子a,并根據(jù)公式(1)對后續(xù)接收到的第二報(bào)文的RSSI進(jìn)行濾波 處理,以提高RSSI閾值的靈敏度。其中,由于根據(jù)當(dāng)前RSSI閾值出現(xiàn)了誤判,說明此時(shí)的 RSSI閾值無法及時(shí)反映當(dāng)前WLAN的移動(dòng)特性,因此,本實(shí)施例將RSSI閾值清0并重新開始 計(jì)算,即此時(shí)的RSSI初始值為0。即將濾波因子a減小,將RSSI初始值清0,基于上述初始 條件利用公式(1)對后續(xù)接收到的第二報(bào)文進(jìn)行濾波處理,重新開始計(jì)算RSSI閾值,以提 高RSSI閾值的靈敏度。
在此需要說明,預(yù)設(shè)第一更新步長和第二更新步長可以相同,也可以不相同,優(yōu)選 為相同。
步驟18、AP將重新生成的RSSI閾值返回給AC,并轉(zhuǎn)去執(zhí)行步驟11,即AC根據(jù)該 重新生成的RSSI閾值,判斷后續(xù)接收到的第一報(bào)文是否為DOS攻擊報(bào)文。
當(dāng)AP重新生成新的RSSI閾值之后,可以定時(shí)將新生成的RSSI閾值發(fā)送給AC,也 可以根據(jù)AC的獲取指示消息,將新生成的RSSI閾值發(fā)送給AC。AC接收到新生成的RSSI 閾值之后,將根據(jù)該新生成的RSSI閾值對后續(xù)由AP轉(zhuǎn)發(fā)的客戶端的第一報(bào)文進(jìn)行是否為 DOS攻擊報(bào)文的判斷操作。
本實(shí)施例的DOS攻擊防御方法,通過AP向客戶端發(fā)送探測請求報(bào)文,并根據(jù)客戶 端是否返回探測應(yīng)答報(bào)文,對AC做出的判斷結(jié)果做進(jìn)一步判斷,進(jìn)一步提高了判斷是否為 DOS攻擊的準(zhǔn)確性。另外,通過上述實(shí)施方式,還可以根據(jù)判斷結(jié)果調(diào)整濾波因子,通過改變 濾波因子的取值來適應(yīng)性調(diào)整RSSI閾值的靈敏度或平滑度,提高了判斷是否為DOS攻擊的 準(zhǔn)確性。
在此說明,AP根據(jù)第一更新步長和第二更新步長調(diào)整濾波因子的方法與所采用的 濾波方法有關(guān),在上述實(shí)施例中AP根據(jù)第一更新步長增大濾波因子a和根據(jù)第二更新步長減小濾波因子a是在采用一階濾波方法時(shí)調(diào)整濾波因子的一種實(shí)施方式;當(dāng)AP采用不同的 濾波方法時(shí),對濾波因子的調(diào)整并不相同;其中,在結(jié)合本實(shí)施例提供對一階濾波方法中的 濾波因子的調(diào)整方式,本領(lǐng)域技術(shù)人員可以理解或推知在采用二階濾波方法或高階濾波方 法時(shí)調(diào)整濾波因子的具體實(shí)施方式
。
進(jìn)一步,考慮到某些攻擊者可能距離客戶端比較近,例如在距離客戶端!Μ范圍之 內(nèi),此時(shí),攻擊報(bào)文的RSSI可能會(huì)在RSSI閾值士預(yù)設(shè)門限值(例如幻范圍內(nèi),在這種情 況下有可能出現(xiàn)誤判,即將攻擊報(bào)文誤判為正常報(bào)文,為了解決上述問題,本發(fā)明以下實(shí)施 例提供一種解決方案。
圖3為本發(fā)明實(shí)施例三提供的DOS攻擊防御方法的流程圖。本實(shí)施例可基于上述 實(shí)施例實(shí)現(xiàn),如圖3所示,本實(shí)施例方法包括
步驟31、AC接收AP轉(zhuǎn)發(fā)的客戶端的第一報(bào)文;
步驟32、AC根據(jù)AP返回的客戶端對應(yīng)的RSSI閾值,判斷第一報(bào)文是否為攻擊報(bào) 文;若AC判斷出第一報(bào)文為攻擊報(bào)文,則執(zhí)行步驟33 ;反之,則執(zhí)行步驟39。
步驟33、AC直接丟棄第一報(bào)文,并轉(zhuǎn)去執(zhí)行步驟34。
步驟34、AC向AP發(fā)送更新指示消息;
步驟35、AP根據(jù)更新指示消息,向客戶端發(fā)送探測請求報(bào)文,并等待接收客戶端 返回的探測應(yīng)答報(bào)文,同時(shí)判斷是否接收到客戶端返回的探測應(yīng)答報(bào)文;如果接收到客戶 端返回的探測應(yīng)答報(bào)文,則執(zhí)行步驟36 ;反之,則執(zhí)行步驟37。
步驟36、AP根據(jù)預(yù)設(shè)第一更新步長增大濾波因子a,并重新根據(jù)公式(1),對第二 報(bào)文的RSSI進(jìn)行濾波處理,生成客戶端對應(yīng)的RSSI閾值,并執(zhí)行步驟38 ;
步驟37、AP根據(jù)預(yù)設(shè)第二更新步長減小濾波因子a,并重新根據(jù)公式(1),對第二 報(bào)文的RSSI進(jìn)行濾波處理,生成客戶端對應(yīng)的RSSI閾值,并執(zhí)行步驟38 ;
步驟38、AP將重新生成的RSSI閾值返回給AC,并轉(zhuǎn)去執(zhí)行步驟31,即AC根據(jù)該 重新生成的RSSI閾值,判斷后續(xù)接收到的第一報(bào)文是否為DOS攻擊報(bào)文。
步驟39、AC判斷第一報(bào)文為非攻擊報(bào)文,并通過AP向客戶端發(fā)送重發(fā)操作指示, 以供客戶端在重發(fā)操作指示中的等待時(shí)間結(jié)束后重新發(fā)送第一報(bào)文;其中,為了防止攻擊 者距離客戶端較近造成的誤判,在AC判斷出第一報(bào)文為非攻擊報(bào)文時(shí),要求客戶端在指定 的等待時(shí)間結(jié)束后重新發(fā)送第一報(bào)文,例如重新進(jìn)行關(guān)聯(lián)請求或認(rèn)證請求。
步驟40、AP根據(jù)重發(fā)操作指示,向客戶端發(fā)送探測請求報(bào)文,并等待接收客戶端 返回的探測應(yīng)答報(bào)文,同時(shí)判斷是否接收到客戶端返回的探測應(yīng)答報(bào)文;若接收到客戶端 返回的探測應(yīng)答報(bào)文,說明客戶端在線,則執(zhí)行步驟41 ;反之,執(zhí)行步驟42 ;
步驟41、AP向AC返回客戶端在線的探測結(jié)果,AC重新判定第一報(bào)文為攻擊報(bào)文, 并直接丟棄第一報(bào)文,且對下次接收到的該客戶端發(fā)送的第一報(bào)文,也不予以響應(yīng),此次 DOS攻擊判斷操作結(jié)束。由于客戶端處于在線狀態(tài)時(shí)是不會(huì)發(fā)送關(guān)聯(lián)請求報(bào)文或認(rèn)證請求 報(bào)文的,因此,AC在獲知客戶端在線時(shí),可以判斷出發(fā)生了誤判,之前被判斷為非攻擊報(bào)文 的第一報(bào)文實(shí)際上是DOS攻擊報(bào)文。
步驟42、AC接收AP轉(zhuǎn)發(fā)的客戶端在等待時(shí)間結(jié)束后發(fā)送的第一報(bào)文,并轉(zhuǎn)去執(zhí)行 步驟31,即AC判斷客戶端在等待時(shí)間結(jié)束后發(fā)送的第一報(bào)文是否為攻擊報(bào)文的操作。當(dāng) AC再次確定客戶端在指定的等待時(shí)間結(jié)束后重新發(fā)送的第一報(bào)文為非攻擊報(bào)文時(shí),可以通過AP對客戶端的報(bào)文進(jìn)行正常相應(yīng),例如允許客戶端通過與AP關(guān)聯(lián)而接入WLAN。
本實(shí)施例的DOS攻擊防御方法,在AC判斷出第一報(bào)文為非攻擊報(bào)文之后,為了防 止誤判,由AP向客戶端發(fā)送探測請求報(bào)文,并根據(jù)是否接收到客戶端返回的探測應(yīng)答報(bào) 文,來判斷客戶端是否在線,如果在線說明,客戶端不會(huì)發(fā)起第一報(bào)文,因此,重新判定第一 報(bào)文為攻擊報(bào)文。因此,通過本實(shí)施例技術(shù)方案可以有效防止發(fā)生誤判的幾率,提高了判斷 DOS攻擊的準(zhǔn)確性。
圖4為本發(fā)明實(shí)施例四提供的AC的結(jié)構(gòu)示意圖。如圖4所示,本實(shí)施例的AC包 括第一接收模塊51、判斷模塊52和丟棄模塊53。
其中,第一接收模塊51,與AP連接,用于接收AP轉(zhuǎn)發(fā)的客戶端的第一報(bào)文;第一 報(bào)文優(yōu)指關(guān)聯(lián)請求報(bào)文或認(rèn)證請求報(bào)文。判斷模塊52,與第一接收模塊51連接,用于根據(jù) AP返回的客戶端對應(yīng)的RSSI閾值,判斷第一報(bào)文是否為攻擊報(bào)文;丟棄模塊53,與判斷模 塊52連接,用于在判斷模塊52判斷出第一報(bào)文為攻擊報(bào)文時(shí),直接丟棄第一報(bào)文,并不對 第一報(bào)文做出響應(yīng),例如不會(huì)因?yàn)榈谝粓?bào)文而通過AP向客戶端發(fā)送下線報(bào)文等。
上述各功能模塊可用于執(zhí)行上述方法實(shí)施例提供的DOS攻擊防御方法的流程,其 具體工作原理詳見上述方法實(shí)施例的描述,在此不再贅述。
本實(shí)施例的AC,通過第一接收模塊、判斷模塊和丟棄模塊可以根據(jù)AP返回的客戶 端的RSSI閾值來判斷客戶端的第一報(bào)文是否為攻擊報(bào)文,并在判斷出第一報(bào)文為DOS攻擊 報(bào)文時(shí),將第一報(bào)文丟棄,不對第一報(bào)文進(jìn)行響應(yīng),實(shí)現(xiàn)了對DOS攻擊的識(shí)別,同時(shí)保證了 客戶端不被下線,保證了客戶端的無線接入服務(wù)不被中斷,提高了客戶端無線接入的服務(wù) 質(zhì)量。與現(xiàn)有技術(shù)相比,采用本實(shí)施例的AC可以使客戶端和AP無需進(jìn)行密鑰協(xié)商,因此, 不存在密鑰協(xié)商前無法對管理報(bào)文進(jìn)行DOS攻擊防御的問題;同時(shí),由于本實(shí)施例的AC是 基于RSSI閾值判斷是否為攻擊報(bào)文,而不是基于客戶端的能力屬性進(jìn)行判斷,因此,不會(huì) 像現(xiàn)有技術(shù)那樣在判斷出能力屬性不一致時(shí)通過AP主動(dòng)向客戶端下發(fā)下線報(bào)文,因此,可 以在識(shí)別出DOS攻擊的情況下,保證客戶端不被下線,保證客戶端的無線接入不被中斷,實(shí) 現(xiàn)了對DOS攻擊的防御。
圖5為本發(fā)明實(shí)施例五提供的AC的結(jié)構(gòu)示意圖。本實(shí)施例基于上述實(shí)施例實(shí)現(xiàn), 如圖5所示,本實(shí)施例的AC還包括第二接收模塊M。
第二接收模塊54,與AP連接,用于接收AP返回的客戶端對應(yīng)的RSSI閾值,并將接 收到的RSSI閾值提供給判斷模塊52。其中,RSSI閾值是由AP對獲取的客戶端的第二報(bào)文 進(jìn)行濾波處理生成的。優(yōu)選的,AP可以根據(jù)公式(1)對第二報(bào)文的RSSI進(jìn)行一階滯后濾 波處理,其中,關(guān)于公式(1)詳見上述描述,在此不再贅述。其中,相對于普通的算術(shù)平均算 法,采用一階滯后濾波法算法對周期性干擾具有良好的抑制作用,適用于波動(dòng)頻率較高的 場合,并且可通過調(diào)整濾波因子a的取值來對濾波結(jié)果的靈敏度進(jìn)行調(diào)整,濾波因子a的值 越小,濾波結(jié)果越靈敏,因此,通過該實(shí)施方式獲取的RSSI閾值的精度較高。
其中,第二接收模塊M具體可用于向AP發(fā)送獲取指示消息,并接收AP根據(jù)獲取 指示消息返回的客戶端對應(yīng)的RSSI閾值;或者具體用于接收AP根據(jù)預(yù)設(shè)周期,定時(shí)返回的 客戶端對應(yīng)的RSSI閾值。
其中,本實(shí)施例的AC可以通過第二接收模塊獲取AP通過濾波處理后的客戶端對 應(yīng)的RSSI閾值,提高了判斷第一報(bào)文是否為DOS攻擊報(bào)文的準(zhǔn)確性。
進(jìn)一步,本實(shí)施例的判斷模塊52包括獲取單元、比較單元和判定單元。具體的,獲 取單元,與第一接收模塊51和第二接收模塊M連接,用于獲取第一報(bào)文的RSSI和客戶端 對應(yīng)的RSSI閾值的差值;比較單元,與獲取單元連接,用于將差值與預(yù)設(shè)門限值進(jìn)行比較; 判定單元,與比較單元連接,用于在比較單元比較得出差值大于預(yù)設(shè)門限值時(shí),判定第一報(bào) 文為攻擊報(bào)文。
上述各功能單元可用于執(zhí)行上述方法實(shí)施例中AC具體判斷第一報(bào)文為攻擊報(bào)文 的方法流程,其具體工作原理詳見方法實(shí)施例的描述,在此不再贅述。
進(jìn)一步,本實(shí)施例的AC還包括重發(fā)指示模塊55、第三接收模塊56、判定模塊57、 第四接收模塊58和接收觸發(fā)模塊59。
具體的,重發(fā)指示模塊55,與AP和判斷模塊52連接,用于在判斷模塊52判斷出第 一報(bào)文為非攻擊報(bào)文時(shí),通過AP向客戶端發(fā)送重發(fā)操作指示,以供客戶端在重發(fā)操作指示 中的等待時(shí)間結(jié)束后重新發(fā)送第一報(bào)文;其中,重發(fā)操作指示中包括指定的等待時(shí)間。第三 接收模塊56,與AP連接,用于接收AP返回的客戶端在線的探測結(jié)果,所述客戶端在線的探 測結(jié)果是AP根據(jù)重發(fā)操作指示,向客戶端發(fā)送探測請求報(bào)文,并在接收到客戶端返回的探 測應(yīng)答報(bào)文時(shí)生成的;判定模塊57,與第三接收模塊56連接,用于根據(jù)客戶端在線的探測 結(jié)果,重新判定第一報(bào)文為攻擊報(bào)文,并直接丟棄第一報(bào)文;第四接收模塊58,與AP連接, 用于接收AP返回的客戶端不在線的探測結(jié)果,所述客戶端不在線的探測結(jié)果是由AP根據(jù) 重發(fā)操作指示,向客戶端發(fā)送探測應(yīng)答報(bào)文,并在未接收到客戶端返回的探測應(yīng)答報(bào)文時(shí) 生成的;接收觸發(fā)模塊59,與AP和判斷模塊52連接,用于接收AP轉(zhuǎn)發(fā)的客戶端在等待時(shí) 間結(jié)束后發(fā)送的第一報(bào)文,并觸發(fā)判斷模塊52執(zhí)行判斷客戶端在等待時(shí)間結(jié)束后發(fā)送的 第一報(bào)文是否為攻擊報(bào)文的操作。
上述各功能模塊可用于執(zhí)行上述方法實(shí)施例提供的DOS攻擊防御方法流程中AC 在判定第一報(bào)文為非攻擊報(bào)文之后進(jìn)一步判斷是否發(fā)生誤判的相應(yīng)流程,其具體工作原理 詳見方法實(shí)施例的描述,在此不再贅述。
本實(shí)施例的AC,通過上述模塊對判定為非攻擊報(bào)文的結(jié)果做進(jìn)一步判斷,降低了 發(fā)生誤判的幾率,對距離客戶端很近的攻擊者發(fā)起的攻擊具有很好的防御作用,進(jìn)一步提 高了客戶端無線接入的服務(wù)器質(zhì)量。
基于上述實(shí)施例,本實(shí)施例的AC還包括第一發(fā)送模塊60。其中,第一發(fā)送模塊 60,與AP和判斷模塊52連接,用于在判斷模塊52判斷出第一報(bào)文為攻擊報(bào)文時(shí),向AP發(fā) 送更新指示消息,以供AP根據(jù)更新指示消息,向客戶端發(fā)送探測請求報(bào)文,并等待接收客 戶端返回的探測應(yīng)答報(bào)文,以根據(jù)是否接收到客戶端返回的探測應(yīng)答報(bào)文調(diào)整濾波處理中 的濾波因子,并重新對后續(xù)接收的第二報(bào)文的RSSI進(jìn)行濾波處理,生成客戶端對應(yīng)的RSSI 閾值。其中,對公式(1)中的濾波因子a進(jìn)行調(diào)整,并在濾波因子a調(diào)整后根據(jù)公式(1)對 后續(xù)接收的第二報(bào)文的RSSI進(jìn)行濾波處理仍為一種優(yōu)選實(shí)施方式。
其中,第一發(fā)送模塊可用于執(zhí)行上述方法實(shí)施例提供的DOS攻擊防御方法的流程 中對濾波因子進(jìn)行調(diào)整的流程,具體工作原理詳見方法實(shí)施例的描述,在此不再贅述。
本實(shí)施例的AC,通過第一發(fā)送模塊在判斷出第一報(bào)文為攻擊報(bào)文時(shí),向AP發(fā)送更 新操作指示,以使AP根據(jù)更新操作指示對濾波因子進(jìn)行調(diào)整,在保證判斷第一報(bào)文是否為 攻擊報(bào)文準(zhǔn)確性的基礎(chǔ)上,還可以提高RSSI閾值的靈敏度或平滑度,以進(jìn)一步提高判斷是否為DOS攻擊的準(zhǔn)確性。
圖6為本發(fā)明實(shí)施例六提供的AP的結(jié)構(gòu)示意圖。如圖6所示,本實(shí)施例的AP包 括第二發(fā)送模塊61和第三發(fā)送模塊62。
其中,第二發(fā)送模塊61,與AC和客戶端連接,用于將客戶端發(fā)送的第一報(bào)文轉(zhuǎn)發(fā) 給AC ;第三發(fā)送模塊62,與AC連接,用于將客戶端對應(yīng)的RSSI閾值發(fā)送給AC,以供AC根 據(jù)客戶端對應(yīng)的RSSI閾值,判斷第一報(bào)文是否為攻擊報(bào)文。
本實(shí)施例的AP,可與上述實(shí)施例提供的AC相結(jié)合實(shí)施上述方法提供的DOS攻擊 防御方法的流程,通過第二發(fā)送模塊和第三發(fā)送模塊向AC提供客戶端對應(yīng)的RSSI閾值,可 使AC根據(jù)RSSI閾值判斷客戶端的第一報(bào)文是否為攻擊報(bào)文,在實(shí)現(xiàn)識(shí)別DOS攻擊的同時(shí), 保證了客戶端不被下線,保證了客戶端的無線接入服務(wù)不被中斷,提高了客戶端無線接入 的服務(wù)質(zhì)量。與現(xiàn)有技術(shù)相比,在進(jìn)行DOS攻擊防御的過程中,本實(shí)施例的AP不需要與客 戶端進(jìn)行密鑰協(xié)商,因此,不存在密鑰協(xié)商前無法對管理報(bào)文進(jìn)行DOS攻擊防御的問題;同 時(shí),由于本實(shí)施例的AP向AC提供客戶端對應(yīng)的RSSI,使得AC基于RSSI閾值判斷第一報(bào)文 是否為攻擊報(bào)文,而不是基于客戶端的能力屬性進(jìn)行判斷,因此,不會(huì)像現(xiàn)有技術(shù)那樣在判 斷出能力屬性不一致時(shí)AC通過AP主動(dòng)向客戶端下發(fā)下線報(bào)文,因此,采用本實(shí)施例的AP, 與AC相結(jié)合,可以在識(shí)別出DOS攻擊的情況下,保證客戶端不被下線,保證客戶端的無線接 入不被中斷,實(shí)現(xiàn)了對DOS攻擊的防御。
圖7為本發(fā)明實(shí)施例七提供的AP的結(jié)構(gòu)示意圖。本實(shí)施例基于上述實(shí)施例實(shí)現(xiàn), 如圖7所示,本實(shí)施例的AP還包括獲取模塊63和濾波生成模塊64。
具體的,獲取模塊63,與客戶端連接,用于獲取客戶端的第二報(bào)文;通常第二報(bào)文 是除關(guān)聯(lián)請求報(bào)文或認(rèn)證請求報(bào)文之外的報(bào)文。濾波生成模塊64,與獲取模塊63連接,用 于對第二報(bào)文的RSSI進(jìn)行濾波處理,生成客戶端對應(yīng)的RSSI閾值;其中,AP根據(jù)公式(1) 對第二報(bào)文的RSSI進(jìn)行一階滯后濾波處理,生成客戶端對應(yīng)的RSSI閾值為一種優(yōu)選實(shí)施 方式,關(guān)于公式(1)詳見上述方法實(shí)施例中的描述,在此不再贅述。
本實(shí)施例的AP,通過獲取模塊和濾波生成模塊可以對第二報(bào)文的RSSI進(jìn)行一階 滯后濾波處理生成客戶端的RSSI閾值;相對于普通的算術(shù)平均算法,采用一階滯后濾波法 算法對周期性干擾具有良好的抑制作用,適用于波動(dòng)頻率較高的場合,并且可通過調(diào)整濾 波因子a的取值來對濾波結(jié)果的靈敏度進(jìn)行調(diào)整,濾波因子a的值越小,濾波結(jié)果越靈敏, 因此,通過上述濾波方法獲取的RSSI閾值的精度較高。
進(jìn)一步,本實(shí)施例的AP還包括第四發(fā)送模塊65。具體的,第四發(fā)送模塊65,與 AC連接,用于接收AC發(fā)送的獲取指示消息,并根據(jù)獲取指示消息,向AC發(fā)送客戶端對應(yīng)的 RSSI閾值。
再進(jìn)一步,本實(shí)施例的AP還包括第五發(fā)送模塊66,與AC連接,用于根據(jù)預(yù)設(shè)周 期,定時(shí)向AC發(fā)送客戶端對應(yīng)的RSSI閾值。
其中,上述第四發(fā)送模塊65以及第五發(fā)送模塊66具體可用于向AC發(fā)送客戶端對 應(yīng)的RSSI閾值。AP可以同時(shí)包括上述功能模塊,也可以僅包括第四發(fā)送模塊65,或者第五 發(fā)送模塊66。
進(jìn)一步,本實(shí)施例的AP還包括接收轉(zhuǎn)發(fā)模塊67、第一探測發(fā)送模塊68、第六發(fā)送 模塊69和第七發(fā)送模塊70。
具體的,接收轉(zhuǎn)發(fā)模塊67,與AC連接,用于接收AC發(fā)送的重發(fā)操作指示,并將重發(fā) 操作指示轉(zhuǎn)發(fā)給客戶端,以供客戶端在重發(fā)操作指示中的等待時(shí)間結(jié)束后重新發(fā)送所述第 一報(bào)文;第一探測發(fā)送模塊68,與接收轉(zhuǎn)發(fā)模塊67和客戶端連接,用于根據(jù)重發(fā)操作指示, 向客戶端發(fā)送探測請求報(bào)文,并等待接收客戶端返回的探測應(yīng)答報(bào)文;第六發(fā)送模塊69, 與第一探測發(fā)送模塊68和AC連接,用于在接收到客戶端返回的探測應(yīng)答報(bào)文時(shí),向AC返 回客戶端在線的探測結(jié)果,以供AC根據(jù)客戶端在線的探測結(jié)果,重新判定第一報(bào)文為攻擊 報(bào)文,并直接丟棄第一報(bào)文;第七發(fā)送模塊70,與第一探測發(fā)送模塊68和AC連接,用于在 未接收到客戶端返回的探測應(yīng)答報(bào)文時(shí),向AC返回客戶端不在線的探測結(jié)果,以供AC根據(jù) 客戶端不在線的探測結(jié)果,接收第二發(fā)送模塊61轉(zhuǎn)發(fā)的客戶端在等待時(shí)間結(jié)束后發(fā)送的 第一報(bào)文。
上述各功能模塊可用于執(zhí)行上述方法實(shí)施例提供的DOS攻擊防御方法流程中進(jìn) 一步對AC判斷出第一報(bào)文為非攻擊報(bào)文的結(jié)果進(jìn)行判斷的流程,具體工作原理詳見方法 實(shí)施例的描述,在此不再贅述。
本實(shí)施例的AP通過上述功能模塊可通過判斷客戶端是否在線并將判斷結(jié)果提供 給AC,以使AC對其判定第一報(bào)文為非攻擊報(bào)文的判斷結(jié)果的正確性做進(jìn)一步判斷,以降低 誤判幾率,對距離客戶端很近的攻擊者發(fā)起的攻擊具有很好的防御作用,進(jìn)一步保證了客 戶端無線接入的服務(wù)質(zhì)量。
再進(jìn)一步,本實(shí)施例的AP還包括第五接收模塊71、第二探測發(fā)送模塊72、第一更 新模塊73和第二更新模塊74。
具體的,第五接收模塊71,與AC連接,用于接收AC發(fā)送的更新指示消息;第二探 測發(fā)送模塊72,與客戶端和第五接收模塊71連接,用于根據(jù)更新指示消息,向客戶端發(fā)送 探測請求報(bào)文,并等待接收客戶端返回的探測應(yīng)答報(bào)文;第一更新模塊73,與第二探測發(fā) 送模塊72和濾波生成模塊64連接,用于在接收到客戶端返回的探測應(yīng)答報(bào)文時(shí),根據(jù)預(yù)設(shè) 第一更新步長增大濾波因子,并觸發(fā)濾波生成模塊64重新生成客戶端對應(yīng)的接收信號(hào)強(qiáng) 度指示閾值;第二更新模塊74,與第二探測發(fā)送模塊72和濾波生成模塊64連接,用于在未 接收到客戶端返回的探測應(yīng)答報(bào)文時(shí),根據(jù)預(yù)設(shè)第二更新步長減小濾波因子,并觸發(fā)濾波 生成模塊64重新生成客戶端對應(yīng)的接收信號(hào)強(qiáng)度指示閾值。
上述各功能模塊可用于執(zhí)行上述方法實(shí)施例提供的DOS攻擊防御方法中在AC判 斷出第一報(bào)文為攻擊報(bào)文后對濾波因子進(jìn)行更新的流程,其具體工作原理詳見方法實(shí)施例 的描述,在此不再贅述。
本實(shí)施例的AP,與AC相配合,通過上述功能模塊可在AC判斷出第一報(bào)文為攻擊報(bào) 文之后,對濾波因子進(jìn)行更新,以在保證判斷第一報(bào)文是否為攻擊報(bào)文的準(zhǔn)確性的同時(shí),提 高客戶端對應(yīng)的RSSI閾值的平滑度或靈敏度,進(jìn)一步提高判斷第一報(bào)文是否為攻擊報(bào)文 的準(zhǔn)確性,為保證客戶端的無線接入的服務(wù)質(zhì)量做出貢獻(xiàn)。
圖8為本發(fā)明實(shí)施例八提供的DOS攻擊防御系統(tǒng)的結(jié)構(gòu)示意圖。如圖8所示,本 實(shí)施例的系統(tǒng)包括AC81和AP82。
其中,AC81可以采用上述實(shí)施例提供的AC,其具體結(jié)構(gòu)和工作原理詳見上述實(shí)施 例的描述,在此不再贅述。AP82可以為上述實(shí)施例提供的AP,其具體結(jié)構(gòu)和工作原理,同樣 詳見上述實(shí)施例的描述,在此不再贅述。
本實(shí)施例的DOS攻擊防御系統(tǒng),具體通過AC與AP的配合,可以根據(jù)客戶端對應(yīng) 的RSSI閾值來判斷客戶端的第一報(bào)文是否為攻擊報(bào)文,并可在判斷出第一報(bào)文為攻擊報(bào) 文時(shí),直接丟棄第一報(bào)文,實(shí)現(xiàn)對DOS攻擊的防御。與現(xiàn)有技術(shù)相比,本發(fā)明技術(shù)方案無需 AP和客戶端進(jìn)行密鑰協(xié)商,因此,對任何時(shí)候客戶端發(fā)送的第一報(bào)文都可以進(jìn)行DOS攻擊 防御,不受密鑰協(xié)商的限制;另外,本發(fā)明技術(shù)方案基于RSSI閾值來判斷第一報(bào)文是否為 攻擊報(bào)文,并不像現(xiàn)有技術(shù)那樣根據(jù)客戶端的能力屬性來判斷是否為攻擊報(bào)文,因此,不會(huì) 因DOS攻擊報(bào)文而導(dǎo)致AC通過AP主動(dòng)向客戶端發(fā)送下線報(bào)文,使客戶端下線或中斷無線 接入服務(wù),提高了客戶端無線接入的服務(wù)質(zhì)量。
本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步驟可以通過 程序指令相關(guān)的硬件來完成,前述的程序可以存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中,該程序 在執(zhí)行時(shí),執(zhí)行包括上述方法實(shí)施例的步驟;而前述的存儲(chǔ)介質(zhì)包括R0M、RAM、磁碟或者 光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。
最后應(yīng)說明的是以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案,而非對其限制;盡 管參照前述實(shí)施例對本發(fā)明進(jìn)行了詳細(xì)的說明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然 可以對前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改,或者對其中部分技術(shù)特征進(jìn)行等同替 換;而這些修改或者替換,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的精 神和范圍。
權(quán)利要求
1.一種拒絕服務(wù)攻擊防御方法,其特征在于,包括無線控制器接收無線接入點(diǎn)轉(zhuǎn)發(fā)的客戶端的第一報(bào)文;所述無線控制器根據(jù)所述無線接入點(diǎn)返回的所述客戶端對應(yīng)的接收信號(hào)強(qiáng)度指示閾 值,判斷所述第一報(bào)文是否為攻擊報(bào)文;當(dāng)判斷出所述第一報(bào)文為攻擊報(bào)文時(shí),所述無線控制器直接丟棄所述第一報(bào)文。
2.根據(jù)權(quán)利要求1所述的拒絕服務(wù)攻擊防御方法,其特征在于,還包括所述無線接入點(diǎn)獲取所述客戶端的第二報(bào)文;所述無線接入點(diǎn)對所述第二報(bào)文的接收信號(hào)強(qiáng)度指示值進(jìn)行濾波處理,生成所述客戶 端對應(yīng)的接收信號(hào)強(qiáng)度指示閾值。
3.根據(jù)權(quán)利要求1或2所述的拒絕服務(wù)攻擊防御方法,其特征在于,所述無線控制器根 據(jù)所述無線接入點(diǎn)返回的所述客戶端對應(yīng)的接收信號(hào)強(qiáng)度指示閾值,判斷所述第一報(bào)文是 否為攻擊報(bào)文包括所述無線控制器獲取所述第一報(bào)文的接收信號(hào)強(qiáng)度指示值與所述接收信號(hào)強(qiáng)度指示 閾值的差值;所述無線控制器將所述差值與預(yù)設(shè)門限值進(jìn)行比較;若所述差值大于所述預(yù)設(shè)門限值,所述無線控制器判定所述第一報(bào)文為攻擊報(bào)文。
4.根據(jù)權(quán)利要求1或2所述的拒絕服務(wù)攻擊防御方法,其特征在于,所述無線接入點(diǎn)向 所述無線控制器返回所述客戶端對應(yīng)的接收信號(hào)強(qiáng)度指示閾值包括所述無線接入點(diǎn)接收所述無線控制器發(fā)送的獲取指示消息,并根據(jù)所述獲取指示消 息,向所述無線控制器返回所述客戶端對應(yīng)的接收信號(hào)強(qiáng)度指示閾值;或者所述無線接入點(diǎn)根據(jù)預(yù)設(shè)周期,定時(shí)向所述無線控制器返回所述客戶端對應(yīng)的接收信 號(hào)強(qiáng)度指示閾值。
5.根據(jù)權(quán)利要求1或2所述的拒絕服務(wù)攻擊防御方法,其特征在于,還包括當(dāng)判斷出所述第一報(bào)文為非攻擊報(bào)文時(shí),所述無線控制器通過所述無線接入點(diǎn)向所述 客戶端發(fā)送重發(fā)操作指示,以供所述客戶端在所述重發(fā)操作指示中的等待時(shí)間結(jié)束后重新 發(fā)送所述第一報(bào)文;所述無線接入點(diǎn)根據(jù)所述重發(fā)操作指示,向所述客戶端發(fā)送探測請求報(bào)文,并等待接 收所述客戶端返回的探測應(yīng)答報(bào)文;若所述無線接入點(diǎn)接收到所述客戶端返回的探測應(yīng)答報(bào)文,所述無線接入點(diǎn)向所述無 線控制器返回所述客戶端在線的探測結(jié)果,所述無線控制器重新判定所述第一報(bào)文為攻擊 報(bào)文,并直接丟棄所述第一報(bào)文;若所述無線接入點(diǎn)未接收到所述客戶端返回的探測應(yīng)答報(bào)文,所述無線接入點(diǎn)向所 述無線控制器返回所述客戶端不在線的探測結(jié)果,所述無線控制器根據(jù)所述客戶端不在線 的探測結(jié)果,接收所述無線接入點(diǎn)轉(zhuǎn)發(fā)的所述客戶端在所述等待時(shí)間結(jié)束后發(fā)送的第一報(bào) 文,并轉(zhuǎn)去執(zhí)行判斷所述客戶端在所述等待時(shí)間結(jié)束后發(fā)送的第一報(bào)文是否為攻擊報(bào)文的 操作。
6.根據(jù)權(quán)利要求2所述的拒絕服務(wù)攻擊防御方法,其特征在于,在判斷出所述第一報(bào) 文為攻擊報(bào)文之后還包括所述無線控制器向所述無線接入點(diǎn)發(fā)送更新指示消息;所述無線接入點(diǎn)根據(jù)所述更新指示消息,向所述客戶端發(fā)送探測請求報(bào)文,并等待接 收所述客戶端返回的探測應(yīng)答報(bào)文;若所述無線接入點(diǎn)接收到所述客戶端返回的探測應(yīng)答報(bào)文,根據(jù)預(yù)設(shè)第一更新步長調(diào) 整所述濾波處理中的濾波因子并重新執(zhí)行對所述第二報(bào)文的接收信號(hào)強(qiáng)度指示值進(jìn)行濾 波處理,生成所述客戶端對應(yīng)的接收信號(hào)強(qiáng)度指示閾值的操作;若所述無線接入點(diǎn)未接收到所述客戶端返回的探測應(yīng)答報(bào)文,根據(jù)預(yù)設(shè)第二更新步長 調(diào)整所述濾波處理中的濾波因子,并重新執(zhí)行對所述第二報(bào)文的接收信號(hào)強(qiáng)度指示值進(jìn)行 濾波處理,生成所述客戶端對應(yīng)的接收信號(hào)強(qiáng)度指示閾值的操作。
7.一種無線控制器,其特征在于,包括第一接收模塊,用于接收無線接入點(diǎn)轉(zhuǎn)發(fā)的客戶端的第一報(bào)文; 判斷模塊,用于根據(jù)所述無線接入點(diǎn)返回的所述客戶端對應(yīng)的接收信號(hào)強(qiáng)度指示閾 值,判斷所述第一報(bào)文是否為攻擊報(bào)文;丟棄模塊,用于在所述判斷模塊判斷出所述第一報(bào)文為攻擊報(bào)文時(shí),直接丟棄所述第 一報(bào)文。
8.根據(jù)權(quán)利要求7所述的無線控制器,其特征在于,還包括第二接收模塊,用于接收所述無線接入點(diǎn)返回的所述客戶端對應(yīng)的接收信號(hào)強(qiáng)度指示 閾值,所述接收信號(hào)強(qiáng)度指示閾值是由所述無線接入點(diǎn)對獲取的所述客戶端的第二報(bào)文的 接收信號(hào)強(qiáng)度指示值進(jìn)行濾波處理所生成的。
9.根據(jù)權(quán)利要求7或8所述的無線控制器,其特征在于,所述判斷模塊包括獲取單元,用于獲取所述第一報(bào)文的接收信號(hào)強(qiáng)度指示值與所述接收信號(hào)強(qiáng)度指示閾 值的差值;比較單元,用于將所述差值與預(yù)設(shè)門限值進(jìn)行比較;判定單元,用于在所述差值大于所述預(yù)設(shè)門限值時(shí),判定所述第一報(bào)文為攻擊報(bào)文。
10.根據(jù)權(quán)利要求8所述的無線控制器,其特征在于,所述第二接收模塊具體用于向所 述無線接入點(diǎn)發(fā)送獲取指示消息,并接收所述無線接入點(diǎn)根據(jù)所述獲取指示消息返回的所 述客戶端對應(yīng)的接收信號(hào)強(qiáng)度指示閾值;或者,具體用于接收所述無線接入點(diǎn)根據(jù)預(yù)設(shè)周 期,定時(shí)返回的所述客戶端對應(yīng)的接收信號(hào)強(qiáng)度指示閾值。
11.根據(jù)權(quán)利要求7或8所述的無線控制器,其特征在于,還包括重發(fā)指示模塊,用于在所述判斷模塊判斷出所述第一報(bào)文為非攻擊報(bào)文時(shí),通過所述 無線接入點(diǎn)向所述客戶端發(fā)送重發(fā)操作指示,以供所述客戶端在所述重發(fā)操作指示中的等 待時(shí)間結(jié)束后重新發(fā)送所述第一報(bào)文;第三接收模塊,用于接收所述無線接入點(diǎn)返回的所述客戶端在線的探測結(jié)果,所述客 戶端在線的探測結(jié)果是所述無線接入點(diǎn)根據(jù)所述重發(fā)操作指示,向所述客戶端發(fā)送探測請 求報(bào)文,并在接收到所述客戶端返回的探測應(yīng)答報(bào)文時(shí)生成的;判定模塊,用于根據(jù)所述客戶端在線的探測結(jié)果,重新判定所述第一報(bào)文為攻擊報(bào)文, 并直接丟棄所述第一報(bào)文;第四接收模塊,用于接收所述無線接入點(diǎn)返回的所述客戶端不在線的探測結(jié)果,所述 客戶端不在線的探測結(jié)果是由所述無線接入點(diǎn)根據(jù)所述重發(fā)操作指示,向所述客戶端發(fā)送 所述探測應(yīng)答報(bào)文,并在未接收到所述客戶端返回的探測應(yīng)答報(bào)文時(shí)生成的;接收觸發(fā)模塊,用于接收所述無線接入點(diǎn)轉(zhuǎn)發(fā)的所述客戶端在所述等待時(shí)間結(jié)束后發(fā) 送的第一報(bào)文,并觸發(fā)所述判斷模塊執(zhí)行判斷所述客戶端在所述等待時(shí)間結(jié)束后發(fā)送的第 一報(bào)文是否為攻擊報(bào)文的操作。
12.根據(jù)權(quán)利要求8所述的無線控制器,其特征在于,還包括第一發(fā)送模塊,用于向所述無線接入點(diǎn)發(fā)送更新指示消息,以供所述無線接入點(diǎn)根據(jù) 所述更新指示消息,向所述客戶端發(fā)送探測請求報(bào)文,并等待接收所述客戶端返回的探測 應(yīng)答報(bào)文,以根據(jù)是否接收到所述客戶端返回的探測應(yīng)答報(bào)文調(diào)整所述濾波處理中的濾波 因子,并重新執(zhí)行對所述第二報(bào)文的接收信號(hào)強(qiáng)度指示值進(jìn)行濾波處理,生成所述客戶端 對應(yīng)的接收信號(hào)強(qiáng)度指示閾值的操作。
13.一種無線接入點(diǎn),其特征在于,包括第二發(fā)送模塊,用于將客戶端發(fā)送的第一報(bào)文轉(zhuǎn)發(fā)給無線控制器;第三發(fā)送模塊,用于將所述客戶端對應(yīng)的接收信號(hào)強(qiáng)度指示閾值發(fā)送給所述無線控制 器,以供所述無線控制器根據(jù)所述客戶端對應(yīng)的接收信號(hào)強(qiáng)度指示閾值,判斷所述第一報(bào) 文是否為攻擊報(bào)文。
14.根據(jù)權(quán)利要求13所述的無線接入點(diǎn),其特征在于,還包括獲取模塊,用于獲取所述客戶端的第二報(bào)文;濾波生成模塊,用于對所述第二報(bào)文的接收信號(hào)強(qiáng)度指示值進(jìn)行濾波處理,生成所述 客戶端對應(yīng)的接收信號(hào)強(qiáng)度指示閾值。
15.根據(jù)權(quán)利要求13或14所述的無線接入點(diǎn),其特征在于,還包括以下任一模塊或其 組合第四發(fā)送模塊,用于接收所述無線控制器發(fā)送的獲取指示消息,并根據(jù)所述獲取指示 消息,向所述無線控制器發(fā)送所述客戶端對應(yīng)的接收信號(hào)強(qiáng)度指示閾值;第五發(fā)送模塊,用 于根據(jù)預(yù)設(shè)周期,定時(shí)向所述無線控制器發(fā)送所述客戶端對應(yīng)的接收信號(hào)強(qiáng)度指示閾值。
16.根據(jù)權(quán)利要求13或14所述的無線接入點(diǎn),其特征在于,還包括接收轉(zhuǎn)發(fā)模塊,用于接收所述無線控制器發(fā)送的重發(fā)操作指示,并將所述重發(fā)操作指 示轉(zhuǎn)發(fā)給所述客戶端,以供所述客戶端在所述重發(fā)操作指示中的等待時(shí)間結(jié)束后重新發(fā)送 所述第一報(bào)文;第一探測發(fā)送模塊,用于根據(jù)所述重發(fā)操作指示,向所述客戶端發(fā)送探測請求報(bào)文,并 等待接收所述客戶端返回的探測應(yīng)答報(bào)文;第六發(fā)送模塊,用于在接收到所述客戶端返回的探測應(yīng)答報(bào)文時(shí),向所述無線控制器 返回所述客戶端在線的探測結(jié)果,以供所述無線控制器根據(jù)所述客戶端在線的探測結(jié)果, 重新判定所述第一報(bào)文為攻擊報(bào)文,并直接丟棄所述第一報(bào)文;第七發(fā)送模塊,用于在未接收到所述客戶端返回的探測應(yīng)答報(bào)文時(shí),向所述無線控制 器返回所述客戶端不在線的探測結(jié)果,以供所述無線控制器根據(jù)所述客戶端不在線的探測 結(jié)果,接收所述無線接入點(diǎn)的第二發(fā)送模塊轉(zhuǎn)發(fā)的所述客戶端在所述等待時(shí)間結(jié)束后發(fā)送 的第一報(bào)文。
17.根據(jù)權(quán)利要求14所述的無線接入點(diǎn),其特征在于,還包括第五接收模塊,用于接收所述無線控制器發(fā)送的更新指示消息;第二探測發(fā)送模塊,用于根據(jù)所述更新指示消息,向所述客戶端發(fā)送探測請求報(bào)文,并等待接收所述客戶端返回的探測應(yīng)答報(bào)文;第一更新模塊,用于在接收到所述客戶端返回的探測應(yīng)答報(bào)文時(shí),根據(jù)預(yù)設(shè)第一更新 步長增大所述濾波因子,并觸發(fā)所述濾波生成模塊重新生成所述客戶端對應(yīng)的接收信號(hào)強(qiáng) 度指示閾值;第二更新模塊,用于在未接收到所述客戶端返回的探測應(yīng)答報(bào)文時(shí),根據(jù)預(yù)設(shè)第二更 新步長減小所述濾波因子,并觸發(fā)所述濾波生成模塊重新生成所述客戶端對應(yīng)的接收信號(hào) 強(qiáng)度指示閾值。
18. —種拒絕服務(wù)攻擊防御系統(tǒng),其特征在于,包括權(quán)利要求7-12任一項(xiàng)所述的無線 控制器和權(quán)利要求13-17任一項(xiàng)所述的無線接入點(diǎn)。
全文摘要
本發(fā)明提供一種拒絕服務(wù)攻擊防御方法、系統(tǒng)、無線接入點(diǎn)及無線控制器。該方法包括無線控制器接收無線接入點(diǎn)轉(zhuǎn)發(fā)的客戶端的第一報(bào)文;無線控制器根據(jù)無線接入點(diǎn)返回的客戶端對應(yīng)的接收信號(hào)強(qiáng)度指示閾值,判斷第一報(bào)文是否為攻擊報(bào)文;當(dāng)判斷出第一報(bào)文為攻擊報(bào)文時(shí),無線控制器直接丟棄第一報(bào)文。本發(fā)明提供的拒絕服務(wù)攻擊防御方法、系統(tǒng)、無線接入點(diǎn)及無線控制器,可實(shí)現(xiàn)對DOS攻擊的防御,同時(shí)不會(huì)因DOS攻擊報(bào)文使客戶端下線或中斷無線接入服務(wù),提高了客戶端無線接入的服務(wù)質(zhì)量。
文檔編號(hào)H04W88/12GK102036248SQ201010603369
公開日2011年4月27日 申請日期2010年12月23日 優(yōu)先權(quán)日2010年12月23日
發(fā)明者盧明勇 申請人:北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司