專利名稱:無線網(wǎng)絡(luò)檢查取證系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本實用新型涉及計算機的安全取證��,特別涉及一種對無線網(wǎng)絡(luò)安全進行檢查取證
的無線網(wǎng)絡(luò)檢查取證系統(tǒng)�����。
背景技術(shù):
由于網(wǎng)絡(luò)局域網(wǎng)在硬件��、軟件���、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上或多或少總是存在缺陷�,從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)�。例如,在IntelPentium芯片中存在的邏輯錯誤��,在Sendmail早期版本中的編程錯誤����,在NFS協(xié)議中認證方式上的弱點,在Unix系統(tǒng)管理員設(shè)置匿名Ftp服務(wù)時配置不當(dāng)?shù)膯栴}都可能被攻擊者使用���,威脅到系統(tǒng)的安全�。因而這些都可以認為是系統(tǒng)中存在的安全漏洞。[0003] 漏洞會影響軟硬件設(shè)備�,包括作系統(tǒng)本身及其支撐軟件,網(wǎng)絡(luò)客戶和服務(wù)器軟件�����,網(wǎng)絡(luò)路由器和安全防火墻等��。換而言之�,在這些不同的軟硬件設(shè)備中都可能存在不同的安全漏洞問題。在不同種類的軟��、硬件設(shè)備���,同種設(shè)備的不同版本之間����,由不同設(shè)備構(gòu)成的不同系統(tǒng)之間�����,以及同種系統(tǒng)在不同的設(shè)置條件下��,都會存在各自不同的安全漏洞問題��。[0004] 因此網(wǎng)絡(luò)局域網(wǎng)的安全性問題是無線局域網(wǎng)的至關(guān)重要的問題�。對無線網(wǎng)絡(luò)結(jié)構(gòu)進行檢查和取證能夠及時發(fā)現(xiàn)安全性問題,從而防止網(wǎng)絡(luò)安全性問題帶來的網(wǎng)絡(luò)癱瘓�����、泄密等嚴重危害
發(fā)明內(nèi)容本實用新型的目的是提供一種對無線局域網(wǎng)的安全進行檢測的無線網(wǎng)絡(luò)檢查取證系統(tǒng)��,特別是能夠及時發(fā)現(xiàn)漏洞并能夠引起用戶重視漏洞危害��。 本實用新型的上述目是這樣實現(xiàn)的�,一種無線網(wǎng)絡(luò)檢查取證系統(tǒng),包括無線接入點���;通過所述無線接入點互聯(lián)的多個待查計算機����;以及連接所述無線接入點以進行無線網(wǎng)絡(luò)檢查取證的檢查取證計算機�。 其中,所述檢查取證計算機是裝有檢查取證裝置的計算機�����。 在一個實施例中�,所述檢查取證裝置包括連接計算機CPU的數(shù)據(jù)截收及分析模塊�����,用于經(jīng)由CPU截收和分析經(jīng)由無線網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包���,由此得到包括無線接入點、無線網(wǎng)卡的無線網(wǎng)絡(luò)結(jié)構(gòu)信息��;以及連接計算機CPU的報表生成模塊���,用于依據(jù)所述無線網(wǎng)絡(luò)結(jié)構(gòu)信息生成相應(yīng)的報表���。 在另一個實施例中,所述檢查取證裝置包括連接計算機CPU的數(shù)據(jù)截收及分析模塊�,用于經(jīng)由CPU截收和分析待查計算機經(jīng)由無線網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包,查找具有漏洞的目標(biāo)計算機����;連接計算機CPU的漏洞攻擊模塊,用于經(jīng)由CPU對所述目標(biāo)計算機進行攻擊��,取得對目標(biāo)計算機的權(quán)限控制�;連接計算機CPU的文件搜索及下載模塊,用于依據(jù)所獲取的控制權(quán)限����,經(jīng)由所述CPU搜索并下載目標(biāo)計算機中的相應(yīng)文件����;以及連接計算機CPU的報表生成模塊����,用于依據(jù)經(jīng)由所述CPU供給的所述數(shù)據(jù)截收及分析模塊��、漏洞攻擊模塊和文件搜索及下載模塊的漏洞掃描�、權(quán)限控制以及文件下載的結(jié)果,生成相應(yīng)報表�����。[0010] 其中�,所述數(shù)據(jù)截收及分析模塊包括經(jīng)由被設(shè)置成混雜模式的無線網(wǎng)絡(luò)截收待查計算機傳送的數(shù)據(jù)包的數(shù)據(jù)截收單元;以及對所截收的數(shù)據(jù)包進行分析的數(shù)據(jù)分析單元�����,用于得到網(wǎng)絡(luò)結(jié)構(gòu)信息或查找具有漏洞的計算機��。 其中����,對所述目標(biāo)計算機進行漏洞攻擊的所述漏洞攻擊模塊包括破解目標(biāo)計算機密碼的密碼破解單元��;以及獲取目標(biāo)計算機權(quán)限的權(quán)限獲取單元��。 其中���,對所述目標(biāo)計算機執(zhí)行文件搜索及下載的所述文件搜索及下載模塊包括搜索目標(biāo)計算機文件的文件搜索單元;以及下載已搜索到的目標(biāo)計算機文件的文件下載單元����。 本實用新型的無線網(wǎng)絡(luò)檢查取證系統(tǒng)還包括一個接收所述檢查取證計算機的所述報表的監(jiān)測中心。 本實用新型具有以下技術(shù)效果 1���、掃描速度快���,效率高,完全適應(yīng)大�����、中型網(wǎng)絡(luò)的掃描任務(wù)�����。 2、對存在漏洞的計算機���,可以利用漏洞直接進入���,方便對涉密信息的進一步檢查。[0017] 3�、通過模擬黑客攻擊��,進入漏洞主機并可下載文件�,取證有力。[0018]
以下結(jié)合附圖對本實用新型進行詳細說明��。
圖1是本實用新型的無線網(wǎng)絡(luò)檢查取證系統(tǒng)的示意圖����; 圖2是圖1所示的檢查取證計算機的第一實施例原理圖; 圖3是圖1所示的檢查取證計算機的第二實施例原理圖�����; 圖4是本實用新型的數(shù)據(jù)截收及分析模塊的原理圖�; 圖5是本實用新型的漏洞攻擊模塊的原理圖; 圖6是本實用新型的文件搜索及下載模塊的原理具體實施方式圖l顯示了本實用新型的無線網(wǎng)絡(luò)檢查取證系統(tǒng)的配置,如圖l所示�,本實用新型的無線網(wǎng)絡(luò)檢查取證系統(tǒng)包括無線接入點3 ;通過所述無線接入點3互聯(lián)的多個待查計算機2(不限于圖l所示的兩個待查計算機2);以及連接無線接入點3以進行無線網(wǎng)絡(luò)檢查取證的檢查取證計算機l。 本實用新型的無線網(wǎng)絡(luò)檢查取證系統(tǒng)還可以包括經(jīng)由交換機4連接無線接入點3的監(jiān)測中心6��。待查計算機2可以是臺式計算機����,也可以是便攜計算機。檢查取證計算機l則是裝有檢查取證裝置11的計算機��,檢查取證計算機1可以將檢查取證的報表傳送給監(jiān)測中心6���。 檢查取證計算機1通過截收和分析待查計算機經(jīng)由無線接入點3傳送的數(shù)據(jù)包�,來檢查無線網(wǎng)絡(luò)的結(jié)構(gòu)信息����,以形成關(guān)于無線網(wǎng)絡(luò)結(jié)構(gòu)的報表;或查找具有漏洞的目標(biāo)計算機�����, 一旦發(fā)現(xiàn)具有漏洞的目標(biāo)計算機����,則首先破解該目標(biāo)計算機的密碼���,接著獲得該目標(biāo)計算機的權(quán)限控制,然后利用所獲得的權(quán)限搜索該目標(biāo)計算機的文件并下載該文件�,由此得到關(guān)于目標(biāo)計算機存在漏洞以及該漏洞導(dǎo)致文件可以被竊取的報表,從而引起該目標(biāo)計算機用戶的漏洞的足夠重視����,以便用戶及時下載漏洞補丁。[0028] 圖2顯示了本實用新型的檢查取證計算機1的第一實施例����,如圖2所示,該檢查取證計算機1包括檢查取證裝置11��、 CPU 12����、輸入裝置13�、輸出裝置14、存儲器15和無線網(wǎng)卡16��,其中檢查取證裝置11包括 連接計算機CPU 12的數(shù)據(jù)截收及分析模塊110�����,用于經(jīng)由CPU 12截收和分析經(jīng)由無線網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包,由此得到包括無線接入點3���、無線網(wǎng)卡16的無線網(wǎng)絡(luò)結(jié)構(gòu)信息���;以及 連接計算機CPU 12的報表生成模塊113,用于依據(jù)所述無線網(wǎng)絡(luò)結(jié)構(gòu)信息生成相應(yīng)的報表���。 圖3顯示了本實用新型的檢查取證計算機1的第二實施例�����,如圖3所示���,該實施例的檢查取證計算機1包括檢查取證計算機11、 CPU 12�、輸入裝置13、輸出裝置14和存儲器15和無線網(wǎng)卡16�����,其中檢查取證裝置11包括 連接計算機CPU 12的數(shù)據(jù)截收及分析模塊110����,用于經(jīng)由CPU 12截收和分析待查計算機2經(jīng)由無線網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包��,查找具有漏洞的目標(biāo)計算機���; 連接計算機CPU 12的漏洞攻擊模塊111,用于經(jīng)由CPU 12對所述目標(biāo)計算機進行攻擊�,取得對目標(biāo)計算機的權(quán)限控制; 連接計算機CPU 12的文件搜索及下載模塊112��,用于依據(jù)所獲取的控制權(quán)限���,經(jīng)由所述CPU 12搜索并下載目標(biāo)計算機中的相應(yīng)文件��;以及 連接計算機CPU 12的報表生成模塊113�,用于依據(jù)經(jīng)由所述CPU 12供給的所述數(shù)據(jù)截收及分析模塊110�����、漏洞攻擊模塊111和文件搜索及下載模塊112的漏洞掃描�����、權(quán)限控制以及文件下載的結(jié)果����,生成相應(yīng)報表。 圖4至圖6分別顯示了上述第一第二實施例的數(shù)據(jù)截收及分析模塊110��、漏洞攻擊模塊111和文件搜索及下載模塊112的細節(jié)����。 如圖4所示,數(shù)據(jù)截收及分析模塊110包括經(jīng)由被設(shè)置成混雜模式的無線網(wǎng)卡
16截收待查計算機傳送的數(shù)據(jù)包的數(shù)據(jù)截收單元1101 ;以及對所截收的數(shù)據(jù)包進行分析
的數(shù)據(jù)分析單元1102�����,用于得到網(wǎng)絡(luò)結(jié)構(gòu)信息或查找具有漏洞的計算機��。 數(shù)據(jù)截收單元1101通過專用的網(wǎng)卡驅(qū)動程序從物理層完整接收所有數(shù)據(jù)包�,以
提供給上層應(yīng)用程序處理。 數(shù)據(jù)分析單元1102主要是把截獲的無線數(shù)據(jù)包按802. 11a/b/g協(xié)議進行解包分析��,解析出網(wǎng)絡(luò)結(jié)構(gòu)及無線接入點��、無線網(wǎng)卡等信息�,或者分析出無線局域網(wǎng)存在的安全漏洞。 —般來說�����,不管是有線網(wǎng)卡還是無線網(wǎng)卡都有兩種工作狀態(tài)��,一般模式和混雜模式。 一般模式下�,只接收目的MAC地址與本機MAC地址匹配的數(shù)據(jù)包,其他的做丟棄處理���;混雜模式下���,不區(qū)分數(shù)據(jù)包的目的MAC地址是否與本機MAC地址匹配,所有數(shù)據(jù)包全部接收���。[0041] 本實用新型的數(shù)據(jù)包截獲過程是將截獲數(shù)據(jù)包用的專用無線網(wǎng)卡設(shè)置成混雜模式�,當(dāng)待查計算機2通過無線網(wǎng)卡和無線接入點3向檢查取證計算機1發(fā)送數(shù)據(jù)包時����,如果在專用網(wǎng)卡的接收范圍內(nèi),網(wǎng)卡不會區(qū)分是否是發(fā)給自己的數(shù)據(jù)包一律接收下來�����,應(yīng)用層可通過專用網(wǎng)卡驅(qū)動程序提供的接口 �,獲取截獲到所有數(shù)據(jù)包,以供分析使用��。[0042] 無線數(shù)據(jù)包分析主要是對無線數(shù)據(jù)包的幀控域(Frame Control)和管理幀進行分析���。[0043] 從幀控域可以分析出接收到數(shù)據(jù)包的幀種類(控制幀���、管理幀、應(yīng)答幀等)�,主要是Type域控制幀的類型,w印域指示數(shù)據(jù)幀是否經(jīng)過加密(此位=1表示數(shù)據(jù)幀經(jīng)過w印加密處理�����,否則未進行加密處理)����,從而就暴露了無線局域網(wǎng)存在的漏洞,未進行加密傳輸數(shù)據(jù)�。 從管理幀中可以分析出數(shù)據(jù)幀的目的MAC地址、源MAC地址��、以及BSSID(基本服
務(wù)點及AP)MAC地址�,數(shù)據(jù)的流向等,根據(jù)此結(jié)構(gòu)可以分析出無線局域網(wǎng)的拓撲結(jié)構(gòu)����。 如圖5所示,對目標(biāo)計算機進行漏洞攻擊的漏洞攻擊模塊111包括破解目標(biāo)計算
機密碼的密碼破解單元1111 ;以及獲取目標(biāo)計算機權(quán)限的權(quán)限獲取單元1112����。 密碼破解單元1111通過模擬黑客攻擊����,運用多線程技術(shù)測試目標(biāo)主機端口 ,進行
攻擊測試�,誘使其緩沖區(qū)溢出或破解口令��,從而由權(quán)限獲取單元1112獲得系統(tǒng)權(quán)限,以便
能夠進入漏洞主機并下載文件取證�。 如圖6所示�,對所述目標(biāo)計算機執(zhí)行文件搜索及下載的所述文件搜索及下載模塊112包括搜索目標(biāo)計算機文件的文件搜索單元1121 ;以及下載已搜索到的目標(biāo)計算機文件的文件下載單元1122。 文件搜索單元1121采用基于Windows系統(tǒng)的文件搜索技術(shù),支持檢索瀏覽漏洞主機上的文件目錄�,搜索文件��。 一旦搜索到指定的文件����,就由文件下載單元1122進行下載�����。[0049] 本實用新型首先檢查出存在漏洞的計算機�����,然后根據(jù)不同漏洞采取不同的方法攻擊漏洞計算機�,取得相應(yīng)權(quán)限����,獲取用戶資料��,使用戶切實感受到漏洞的危害性����,及時安裝漏洞補丁���,提高計算機安全性。[0050] 本實用新型具有以下優(yōu)點 1��、掃描速度快,效率高,完全適應(yīng)大���、中型網(wǎng)絡(luò)的掃描任務(wù)����。 2、對存在漏洞的計算機�����,可以利用漏洞直接進入,方便對涉密信息的進一步檢查��。 3���、通過模擬黑客攻擊����,進入漏洞主機并可下載文件,取證有力��。 盡管上文對本實用新型進行了詳細說明���,但是本實用新型不限于此,本技術(shù)領(lǐng)域
技術(shù)人員可以根據(jù)本實用新型的原理進行各種修改��。因此,凡按照本實用新型原理所作的
修改��,都應(yīng)當(dāng)理解為落入本實用新型的保護范圍�����。
權(quán)利要求一種無線網(wǎng)絡(luò)檢查取證系統(tǒng),其特征在于包括無線接入點(3);通過所述無線接入點(3)互聯(lián)的多個待查計算機(2)�;以及連接所述無線接入點(3)以進行無線網(wǎng)絡(luò)檢查取證的檢查取證計算機(1)�����。
2. 根據(jù)權(quán)利要求1所述的無線網(wǎng)絡(luò)檢查取證系統(tǒng),其特征在于所述檢查取證計算機 (1)是裝有檢查取證裝置(11)的計算機��。
3. 根據(jù)權(quán)利要求l所述的無線網(wǎng)絡(luò)檢查取證系統(tǒng)�,其特征在于所述檢查取證裝置(11)包括連接計算機CPU(12)的數(shù)據(jù)截收及分析模塊(110)��,用于經(jīng)由CPU(12)截收和分析經(jīng)由 無線網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包,由此得到包括無線接入點(3)、無線網(wǎng)卡(16)的無線網(wǎng)絡(luò)結(jié)構(gòu)信 息���;以及連接計算機CPU(12)的報表生成模塊(113)��,用于依據(jù)所述無線網(wǎng)絡(luò)結(jié)構(gòu)信息生成相 應(yīng)的報表�。
4. 根據(jù)權(quán)利要求l所述的無線網(wǎng)絡(luò)檢查取證系統(tǒng),其特征在于所述檢查取證裝置(11) 包括連接計算機CPU(12)的數(shù)據(jù)截收及分析模塊(110)�����,用于經(jīng)由CPU(12)截收和分析待查 計算機(2)經(jīng)由無線網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包,查找具有漏洞的目標(biāo)計算機����;連接計算機CPU(12)的漏洞攻擊模塊(111)�����,用于經(jīng)由CPU(12)對所述目標(biāo)計算機進行 攻擊�����,取得對目標(biāo)計算機的權(quán)限控制;連接計算機CPU(12)的文件搜索及下載模塊(112)�,用于依據(jù)所獲取的控制權(quán)限��,經(jīng)由 所述CPU(12)搜索并下載目標(biāo)計算機中的相應(yīng)文件�����;以及連接計算機CPU(12)的報表生成模塊(113)���,用于依據(jù)經(jīng)由所述CPU(12)供給的所述數(shù) 據(jù)截收及分析模塊(110)、漏洞攻擊模塊(111)和文件搜索及下載模塊(112)的漏洞掃描���、 權(quán)限控制以及文件下載的結(jié)果,生成相應(yīng)報表��。
5. 根據(jù)權(quán)利要求3或4所述的無線網(wǎng)絡(luò)檢查取證系統(tǒng),其特征在于所述數(shù)據(jù)截收及分 析模塊(110)包括經(jīng)由被設(shè)置成混雜模式的無線網(wǎng)卡(16)截收待查計算機傳送的數(shù)據(jù)包的數(shù)據(jù)截收單 元(1101);以及對所截收的數(shù)據(jù)包進行分析的數(shù)據(jù)分析單元(1102)�,用于得到網(wǎng)絡(luò)結(jié)構(gòu)信息或查找具 有漏洞的計算機。
6. 根據(jù)權(quán)利要求3或4所述的無線網(wǎng)絡(luò)檢查取證系統(tǒng)�����,其特征在于對所述目標(biāo)計算機 進行漏洞攻擊的所述漏洞攻擊模塊(111)包括破解目標(biāo)計算機密碼的密碼破解單元(1111);以及 獲取目標(biāo)計算機權(quán)限的權(quán)限獲取單元(1112)����。
7. 根據(jù)權(quán)利要求3或4所述的無線網(wǎng)絡(luò)檢查取證系統(tǒng)��,其特征在于對所述目標(biāo)計算機 執(zhí)行文件搜索及下載的所述文件搜索及下載模塊(112)包括搜索目標(biāo)計算機文件的文件搜索單元(1121);以及 下載已搜索到的目標(biāo)計算機文件的文件下載單元(1122)��。
8. 根據(jù)權(quán)利要求3或4所述的無線網(wǎng)絡(luò)檢查取證系統(tǒng),其特征在于還包括一個接收所述檢查取證計算機(1)的所述報表的監(jiān)測中心(6)
專利摘要本實用新型是一種無線網(wǎng)絡(luò)檢查取證系統(tǒng)�����,包括無線接入點����;通過所述無線接入點互聯(lián)的多個待查計算機��;以及連接所述無線接入點以進行無線網(wǎng)絡(luò)檢查取證的檢查取證計算機。檢查取證計算機是裝有檢查取證裝置的計算機�����,它利用數(shù)據(jù)截收及分析模塊截收和分析經(jīng)由無線網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包,由此得到包括無線接入點�、無線網(wǎng)卡的無線網(wǎng)絡(luò)結(jié)構(gòu)信息�;以及利用報表生成模塊生成與無線網(wǎng)絡(luò)結(jié)構(gòu)信息相應(yīng)的報表。本實用新型掃描速度快��,效率高��,完全適應(yīng)大�����、中型網(wǎng)絡(luò)的掃描任務(wù)���。
文檔編號H04L9/32GK201491275SQ20092022235
公開日2010年5月26日 申請日期2009年9月3日 優(yōu)先權(quán)日2009年9月3日
發(fā)明者于晴, 王海洋 申請人:北京鼎普科技股份有限公司