浅析无线局域网中常见问题及解决方案

　　[摘要]无线网络的高速发展给我们的工作、生活带来了很多便利，但是使用过程中的问题也不少，本文将简单解析常见的问题及提出解决方案。

　　[关键词]无线局域网 接入点 协议安全

　　[中图分类号]TN925 [文献标识码]A [文章编号]1009-5349（2014）03-0033-01

　　无线网络中传播数据是通过无线电磁波的，如果是在楼宇之间放置无线设备，电磁波的穿透性将使信号传播到各个角落，原本计划的区域很有可能不能构成对它的限制。楼层之间、隔断之间是都可以穿透的。既然如此，数据发射到了预期辐射范围之外，很有可能被他人接收，从而造成严重的安全隐患。

　　一、容易被侵入

　　无线网络并不像有线的网络介质，如双绞线或同轴电缆有良好的物理保护层。为了让使用者能够更加方便地发现网络自身存在，无线网络必须在整个辐射区域内共享特定参数，例如SSID等。这在方便授权使用者的同时，也给非法的攻击者以可乘之机。这些攻击者可以利用网络上的数据信息，在楼宇内外的任何角落向网络发起攻击。

　　当然，容易被扫描和访问并非意味着一定会受到攻击。有一种极端的避免攻击的手段，是通过电磁屏蔽将整个授权的辐射范围屏蔽掉，彻底阻绝数据信号的泄漏。除此之外，其实通过控制网络访问也可以有效减少无线网络配置的风险。接入点的设置是相当重要的，如若将无线接入设备放在网络防护设备（如防火墙等）的外部，如何接入主干网络是我们又要考虑的一个问题。传统的方法应该是通过VPN来进行接入。当然，也可以利用基于IEEE802.1x的新型无线网络产品，将前端认证转移到后端认证。

　　二、授权使用服务

　　现在很多普通家庭或者办公场所都有无线接入设备，人们很少对默认设置进行修改，更有甚者会完全使用默认设置。极端的连SSID的登录密码都未进行设置，使自己的私有网络完全成了公开性的，这将造成很多问题。未经授权的客户端随意登录私有网络，会大量占用私有网络资源，造成网速慢、网络停滞等问题。不但增加了网络的负担，造成其瘫痪，而且很有可能导致法律纠纷的产生。很多匿名的使用者不按照供应商的要求非法使用网络，也有可能造成供应商单方面强制停止服务的情况。

　　那么，如何解决网络资源被盗用的问题呢？答案是加强安全认证。所谓安全认证，就是为了禁止没有被授权的使用者非法进入用户的网络，在此同时，还不能够影响已经授权任何一个用户正常使用网络的权限。所以，每一个授权的用户身份，都应该有与自己身份对应的使用权限。比如系统认可的用户名、密码等身份验证机制。

　　三、网络性能的限制

　　无线网络的带宽很容易损耗殆尽，有一些外部网络的攻击者，利用自身的有线网络中大量的网络流量对目标无线网络进行攻击。攻击的方式可以很简单，通过不间断发送大数据流量包，这些大数据流量包占用了极大的带宽资源，很容易造成无线网络带宽的枯竭。而如果攻击者通过广播的方式发送，再将目标地址源定位在无线网络的终端，将在网络内形成大规模的数据风暴，严重的情况将阻塞所有与此无线网络相邻的信道。

　　要应对这样的网络攻击，只能从边缘网络的数据监测着手。尤其对于内外部网络边界的设备，各项关键数据必须严格监测。单一的SNMP报告内容是十分有限的，它提供的信息不能满足我们全面分析的需求。这就需要无线网络测试仪的引入，它能够对当前的网络健康状况以及当前位置的信号强度进行数值化的详细分析。监测的数据包括帧的类型、实时网络速率，峰值吞吐量，故障定位等。

　　四、会话拦截与MAC帧欺诈

　　当前，我们普遍使用的还是802.11b/g/n的协议。这个协议有一个最大的缺陷就是对于局域网中的数据帧不进行认证，致使攻击者利用伪造的数据帧来对网络进行欺诈。来自外部的威胁利用正常的数据包封装，携带着伪造的数据帧通过防火墙等设备的阻拦从而进入网络内部。但由于当前协议不针对数据帧进行检测，致使这些伪造帧在网络内部重新定向，扰乱正常的ARP表链，再利用反向的ARP获得节点MAC等重要信息，这就是通常所讲的占领。被占领的地址又可以作为新的攻击发起点对深层的网络进行攻击。

　　在深层次的网络攻击过程中，攻击者可以利用伪造的欺诈帧及内部被占领的节点，和下一层节点进行数据交互，从而截获核心接入点的反馈帧，再对其进行伪造封装，反馈回原始攻击终端。从而发现接入点的认证缺陷，最终达到伪造接入点的目的。一旦伪造成功，由于当前协议对接入点自身真实性验证的乏力，就等于完全占领了整个网络。外部的终端可以通过伪造接入点随心所欲的接入，甚至不需要任何的身份验证。而为了应对这个巨大的隐患，应运而生的事802.11i协议。对每一个802.11 MAC帧进行认证，但是在正式生效之前，这样的情况还是无法避免的。除非从物理层着手，彻底断开外部网络和核心骨干数据网络的连接。

　　对于当前的无线网络技术存在多种漏洞，所以它并非是十分可靠的。有些企业把无线网络设置在公共区域，方便使用者接入。但是，这不可避免地带来了很多安全隐患，所以务必在核心网络和公用网络之间设置防火墙等保护内部核心数据安全。那么，如若要从外部接入核心网络最好使用VPN的形式。

　　【参考文献】

　　[1]黎连业，郭春芳，向东明编著.无线网络及其应用技术.清华大学出版社，2004（06）.

　　[2]（英）瓦卡（Vacca，J.R.）编著.无线宽带网络技术指南.人民邮电出版社，2006（07）.

　　[3]谢希仁编著.计算机网络第五版.电子工业出版社，2007（05）.