基于無(wú)線路由器的Wi-Fi審計(jì)程序設(shè)計(jì)與實(shí)現(xiàn)

智昊 張偉

摘 要：為了解決目前許多公共場(chǎng)所提供的免費(fèi)Wi-Fi信號(hào)存在巨大公共安全隱患的問(wèn)題，防止不法分子利用免費(fèi)Wi-Fi散布虛假與有害信息，影響社會(huì)治安，通過(guò)在Wi-Fi路由器上嵌入網(wǎng)絡(luò)審計(jì)程序，采集并關(guān)聯(lián)終端用戶(hù)身份信息與用戶(hù)上網(wǎng)內(nèi)容，然后將審計(jì)數(shù)據(jù)存儲(chǔ)到數(shù)據(jù)中心作進(jìn)一步分析與處理。在實(shí)際應(yīng)用中，Wi-Fi審計(jì)路由器能夠有效審計(jì)并采集用戶(hù)上網(wǎng)行為，為網(wǎng)絡(luò)安全維護(hù)提供了基礎(chǔ)數(shù)據(jù)。驗(yàn)證結(jié)果表明，在路由器端進(jìn)行網(wǎng)絡(luò)流量審計(jì)監(jiān)控的方法簡(jiǎn)單、有效，審計(jì)率可達(dá)到99%以上。

關(guān)鍵詞：Wi-Fi;嵌入式;路由器;網(wǎng)絡(luò)審計(jì)

DOI：10. 11907/rjdk. 191424 開(kāi)放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

中圖分類(lèi)號(hào)：TP319文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-7800（2020）002-0053-04

英標(biāo)：Design and Implementation of Wi-Fi Auditing Program Based on Wireless Router

英作：ZHI Hao， ZHANG Wei

英單：（Computer School，Beijing Information Science and Technology University， Beijing 100101，China）

Abstract： In order to solve the huge public security risks of the free Wi-Fi signals provided by many public places， the criminals are prevented from using free Wi-Fi to spread false and harmful information， which affects public security. By embedding the network auditing program on the Wi-Fi router， the user identity information of the terminal and the users online content are collected and associated， and then the audit data is stored in the data center for further analysis and application. In practical applications， the Wi-Fi audit router can effectively audit and collect the users online behavior， providing basic data for network security maintenance. Therefore， the audit monitoring of network traffic on the router side is both effective and simple， and the audit rate can reach more than 99%.

Key Words：Wi-Fi; embedded; router; network audit

0 引言

近年來(lái)，隨著物聯(lián)網(wǎng)技術(shù)的快速發(fā)展與無(wú)線網(wǎng)絡(luò)的普及，人們生活中越來(lái)越離不開(kāi)Wi-Fi（Wireless Fidelity）。如今幾乎所有智能手機(jī)和筆記本電腦都支持Wi-Fi通信方式，越來(lái)越多的智能終端設(shè)備也支持通過(guò)無(wú)線方式接入互聯(lián)網(wǎng)[1-2]。提供Wi-Fi的場(chǎng)所也不斷增加，如火車(chē)站、賓館、商場(chǎng)等，因此可能存在一些人利用公共網(wǎng)絡(luò)匿名散播謠言或發(fā)表攻擊性言論的情況，網(wǎng)絡(luò)安全成為當(dāng)今不容忽視的問(wèn)題[3]。自2006年起，公安部已將WLAN安全納入網(wǎng)絡(luò)安全范疇，并對(duì)其進(jìn)行審查，只要是面向公眾提供Wi-Fi服務(wù)的場(chǎng)所，均必須安裝符合公安部82號(hào)令的互聯(lián)網(wǎng)安全審計(jì)系統(tǒng)[4]。

審計(jì)系統(tǒng)需要依賴(lài)路由器等硬件設(shè)備采集用戶(hù)上網(wǎng)行為。路由器等網(wǎng)關(guān)設(shè)備作為終端設(shè)備與互聯(lián)網(wǎng)之間的橋梁，所有網(wǎng)絡(luò)數(shù)據(jù)都必須經(jīng)過(guò)網(wǎng)關(guān)設(shè)備，以提升數(shù)據(jù)質(zhì)量[5-6]。隨著物聯(lián)網(wǎng)的發(fā)展，現(xiàn)有路由器等網(wǎng)關(guān)設(shè)備性能得到了大幅提升。以路由器為例，嵌入式操作系統(tǒng)OpenWRT被應(yīng)用于諸多路由器品牌中，常見(jiàn)的有TP-Link、小米、極路由等。此外，OpenWRT系統(tǒng)作為L(zhǎng)inux的一個(gè)嵌入式版本，支持多種主流處理器，可移植性強(qiáng)。同時(shí)，OpenWRT系統(tǒng)操作簡(jiǎn)單，適用于嵌入式軟件的定制開(kāi)發(fā)[7-8]。

針對(duì)不同業(yè)務(wù)需求，網(wǎng)絡(luò)審計(jì)方法也略有不同。王澤旺[9]基于HTTP協(xié)議內(nèi)容進(jìn)行分析，通過(guò)旁路監(jiān)聽(tīng)的方式進(jìn)行數(shù)據(jù)采集，重點(diǎn)分析HTTP協(xié)議相關(guān)內(nèi)容;王慶剛等[10]采集2.4G頻段MAC數(shù)據(jù)幀，通過(guò)python解析內(nèi)容并存儲(chǔ)于本地;郭凱[11]基于Windows平臺(tái)，利用WinPcap獲取與分析流經(jīng)網(wǎng)卡的所有數(shù)據(jù)。以上幾種方法都實(shí)現(xiàn)了網(wǎng)絡(luò)審計(jì)功能，但大多是基于服務(wù)器旁路方式進(jìn)行網(wǎng)絡(luò)流量抓取，可移植性不強(qiáng)，也沒(méi)有對(duì)用戶(hù)個(gè)人信息進(jìn)行采集與關(guān)聯(lián)，不符合公安部的網(wǎng)絡(luò)審計(jì)要求。

本文采用基于OpenWRT操作系統(tǒng)的路由器，并在路由器上開(kāi)發(fā)了一個(gè)網(wǎng)絡(luò)審計(jì)客戶(hù)端，包含認(rèn)證模塊與審計(jì)模塊。用戶(hù)連接路由器時(shí)必須先認(rèn)證身份，然后才能訪問(wèn)互聯(lián)網(wǎng)。與此同時(shí)，審計(jì)客戶(hù)端會(huì)同步解析用戶(hù)上網(wǎng)行為，將其上網(wǎng)日志發(fā)送至公安數(shù)據(jù)中心備份，以供公安網(wǎng)絡(luò)安全查詢(xún)或輿情預(yù)警。

1 總體設(shè)計(jì)

1.1 整體業(yè)務(wù)結(jié)構(gòu)設(shè)計(jì)

網(wǎng)絡(luò)審計(jì)的主要目的是將上網(wǎng)用戶(hù)的個(gè)人信息與該用戶(hù)上網(wǎng)行為進(jìn)行關(guān)聯(lián)，提供給公安網(wǎng)警作進(jìn)一步分析。審計(jì)流程分為3個(gè)步驟：①用戶(hù)身份獲取;②用戶(hù)上網(wǎng)行為采集;③將用戶(hù)身份與上網(wǎng)行為發(fā)送到數(shù)據(jù)中心進(jìn)行存儲(chǔ)，并將用戶(hù)及其行為相關(guān)聯(lián)[12]。整體業(yè)務(wù)系統(tǒng)物理結(jié)構(gòu)如圖1所示。

其中審計(jì)路由器系統(tǒng)結(jié)構(gòu)如圖2所示。路由器的基礎(chǔ)操作系統(tǒng)為OpenWRT，除基本路由功能外，審計(jì)程序獨(dú)立運(yùn)行在操作系統(tǒng)上，隨路由器系統(tǒng)一起啟動(dòng)，可利用監(jiān)聽(tīng)路由器設(shè)備的無(wú)線網(wǎng)卡實(shí)現(xiàn)對(duì)無(wú)線數(shù)據(jù)的內(nèi)容審計(jì)功能。

審計(jì)模塊功能流程如圖3所示。設(shè)備連接到無(wú)線路由器后，審計(jì)程序檢查該設(shè)備是否已通過(guò)認(rèn)證，若尚未認(rèn)證，則彈出portal并要求用戶(hù)進(jìn)行認(rèn)證操作。同時(shí)通過(guò)監(jiān)聽(tīng)無(wú)線網(wǎng)卡，采集終端設(shè)備通信的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行內(nèi)容解析，上傳到數(shù)據(jù)中心并與設(shè)備已認(rèn)證的用戶(hù)信息關(guān)聯(lián)，形成一條記錄。

1.2 路由器操作系統(tǒng)選擇

審計(jì)程序運(yùn)行在無(wú)線路由器設(shè)備之上，常見(jiàn)路由器系統(tǒng)有OpenWRT、DD-WRT、Tomato等[13]。其中DD-WRT系統(tǒng)符合用戶(hù)使用習(xí)慣，操作也很簡(jiǎn)單;Tomato系統(tǒng)雖然穩(wěn)定性略佳，但是支持的硬件類(lèi)型較為局限;相比而言，OpenWRT更貼近開(kāi)發(fā)者使用習(xí)慣，且支持用戶(hù)安裝軟件。因此，本文選擇OpenWRT系統(tǒng)作為審計(jì)路由的操作系統(tǒng)[14]。

OpenWRT是基于Linux內(nèi)核的一個(gè)開(kāi)源嵌入式系統(tǒng)，主要用于路由器等智能設(shè)備中。OpenWRT系統(tǒng)有著良好的網(wǎng)絡(luò)特性，因此OpenWRT可作為路由器的基礎(chǔ)操作系統(tǒng)。同時(shí)OpenWRT是開(kāi)源系統(tǒng)，開(kāi)發(fā)者們?yōu)镺penWRT提供了大量源碼以及適用的ipk包。由于OpenWRT具有低成本、低功耗、體積小的特性，其被廣泛應(yīng)用于需要軟硬結(jié)合的智能化嵌入式開(kāi)發(fā)項(xiàng)目中[15]。

OpenWRT系統(tǒng)有如下特征：①OpenWRT以Linux內(nèi)核為基礎(chǔ)，可以剪裁，非常便于定制開(kāi)發(fā);②OpenWRT系統(tǒng)包含BusyBox工具包，BusyBox是一個(gè)在嵌入式Linux中被廣泛應(yīng)用的shell工具包，集成了常用的Linux命令和工具，非常符合開(kāi)發(fā)者使用習(xí)慣;③OpenWRT系統(tǒng)還包含OPKG工具，OPKG是一種輕量級(jí)的嵌入式軟件包管理系統(tǒng)，可管理軟件包的下載、安裝、刪除與升級(jí)[16]。

綜上所述，OpenWRT系統(tǒng)以其高度模塊化的設(shè)計(jì)，可方便開(kāi)發(fā)者移植各個(gè)功能，既為路由器上的審計(jì)程序開(kāi)發(fā)提供了極大便利，又提供了適配的運(yùn)行環(huán)境，所以本文選擇OpenWRT系統(tǒng)作為審計(jì)路由器的底層操作系統(tǒng)。

1.3 審計(jì)程序主要技術(shù)介紹

1.3.1 libpcap介紹

libpcap是Unix/Linux平臺(tái)下專(zhuān)門(mén)用于采集網(wǎng)絡(luò)數(shù)據(jù)包的工具，而且是開(kāi)源軟件。許多網(wǎng)絡(luò)數(shù)據(jù)捕獲軟件都依賴(lài)于libpcap，例如Tcpdump。libpcap函數(shù)庫(kù)提供了C語(yǔ)言接口，可以在大多數(shù)類(lèi)Unix平臺(tái)下運(yùn)行。此外，winpcap與libpcap類(lèi)似，主要應(yīng)用于Windows環(huán)境[17]。

libpcap抓取流程可大致分為如下3步：首先在數(shù)據(jù)鏈路層增加一個(gè)旁路處理，將網(wǎng)卡收到的數(shù)據(jù)包拷貝一份，發(fā)送至包過(guò)濾器;然后包過(guò)濾器根據(jù)用戶(hù)事先定義的規(guī)則，自動(dòng)選擇保存還是丟棄;最后通過(guò)內(nèi)存緩沖區(qū)將數(shù)據(jù)包上傳給上層應(yīng)用[18]。具體流程如圖4所示。

libpcap抓取的數(shù)據(jù)包格式為特定格式的數(shù)據(jù)流，只需從外到里依次去掉各層協(xié)議添加的報(bào)頭，即可獲取該數(shù)據(jù)包中的各個(gè)字段信息。以太網(wǎng)數(shù)據(jù)幀包含4部分：目的地址、源地址、幀格式和數(shù)據(jù)，其中幀格式標(biāo)識(shí)幀數(shù)據(jù)類(lèi)型，例如0x0800標(biāo)識(shí)為IP數(shù)據(jù)，再根據(jù)IP協(xié)議，IP數(shù)據(jù)的第10個(gè)位置為傳輸層協(xié)議標(biāo)識(shí)，06表示TCP協(xié)議，17表示UDP協(xié)議等。通過(guò)層層剝離的方式解析已獲取的數(shù)據(jù)包，結(jié)合一些已知特征值，即可準(zhǔn)確獲取用戶(hù)具體上網(wǎng)日志[19]。

1.3.2 wifidog介紹

wifidog是一款開(kāi)源軟件，常用于路由器的portal認(rèn)證，且支持OpenWRT系統(tǒng)，用戶(hù)群體較多。wifidog的工作原理主要是基于系統(tǒng)防火墻iptables，并接收認(rèn)證服務(wù)器傳遞的認(rèn)證狀態(tài)信息，在路由器端進(jìn)行攔截或放行操作。每當(dāng)新用戶(hù)連接Wi-Fi并通過(guò)路由器接入互聯(lián)網(wǎng)時(shí)，wifidog會(huì)獲取新用戶(hù)的此次操作，并返回一個(gè)重定向到認(rèn)證服務(wù)器的http請(qǐng)求給用戶(hù)，用戶(hù)通過(guò)認(rèn)證后，wifidog即修改iptables，放行該用戶(hù)IP[20]。認(rèn)證流程如圖5所示。

具體流程如下：①用戶(hù)連接Wi-Fi，wifidog監(jiān)控新設(shè)備上線，通過(guò)防火墻進(jìn)行攔截，然后發(fā)送307報(bào)文將用戶(hù)重定向到認(rèn)證服務(wù)器的認(rèn)證登錄頁(yè)面;②在認(rèn)證服務(wù)器登錄頁(yè)面輸入認(rèn)證基本信息（用戶(hù)名、密碼），向服務(wù)器發(fā)送認(rèn)證請(qǐng)求;③認(rèn)證成功后，認(rèn)證服務(wù)器通過(guò)302報(bào)文，將攜帶token信息的請(qǐng)求重定向到wifidog;④wifidog向認(rèn)證服務(wù)器發(fā)起確認(rèn)，認(rèn)證成功則修改防火墻配置，并將用戶(hù)請(qǐng)求重定向到認(rèn)證成功頁(yè)面，至此認(rèn)證完畢[21]。

通過(guò)wifidog一方面可攔截未經(jīng)認(rèn)證的終端上網(wǎng)行為，另一方面能夠非常容易地獲取用戶(hù)個(gè)人信息。認(rèn)證方法也有多種，最常見(jiàn)的是用戶(hù)通過(guò)輸入手機(jī)號(hào)接收臨時(shí)密碼進(jìn)行身份信息認(rèn)證，或者讓用戶(hù)先注冊(cè)一個(gè)賬號(hào)，通過(guò)“用戶(hù)名+密碼”方式進(jìn)行身份認(rèn)證。

2 審計(jì)系統(tǒng)實(shí)現(xiàn)

2.1 審計(jì)模塊實(shí)現(xiàn)

用戶(hù)上網(wǎng)行為采集主要依賴(lài)于libpcap函數(shù)庫(kù)實(shí)現(xiàn)，一個(gè)完整的采集流程分為以下步驟：

（1）查找網(wǎng)絡(luò)設(shè)備。利用pcap_lookupdev（）方法查找可用網(wǎng)卡，并返回第一個(gè)網(wǎng)絡(luò)適配器名稱(chēng)。若無(wú)可用網(wǎng)卡，則在參數(shù)errbuf中存儲(chǔ)錯(cuò)誤信息。

char * pcap_lookupdev（char * errbuf）

（2）打開(kāi)網(wǎng)絡(luò)設(shè)備。pcap_open_live（）方法的返回值是一個(gè)pcap_t結(jié)構(gòu)體類(lèi)型的指針，可以理解成一個(gè)捕獲句柄，也是libpcap中其它函數(shù)經(jīng)常用到的重要參數(shù)。

pcap_t * pcap_open_live（const char *device， int snaplen， int promisc， int to_ms， char *errbuf）

其中第一個(gè)參數(shù)device為網(wǎng)絡(luò)設(shè)備名，snaplen參數(shù)為數(shù)據(jù)包抓取長(zhǎng)度，promisc參數(shù)為網(wǎng)卡混雜模式配置，to_ms參數(shù)用于設(shè)置數(shù)據(jù)包返回時(shí)長(zhǎng)，單位為ms，errbuf參數(shù)用于存放錯(cuò)誤信息。

（3）獲取網(wǎng)絡(luò)參數(shù)。pcap_lookupnet（）方法用于獲取網(wǎng)絡(luò)設(shè)備的IP地址和子網(wǎng)掩碼等信息。

int pcap_lookupnet（const char *device， bpf_u_int32 *netp， bpf_u_int32 *maskp， char *errbuf）

（4）設(shè)置過(guò)濾規(guī)則。在抓包過(guò)程中通常會(huì)增加過(guò)濾規(guī)則，一方面過(guò)濾掉不需要的數(shù)據(jù)包，另一方面也能提高運(yùn)行效率。libpcap中使用BPF（Berkeley Packet Filter，BPF）過(guò)濾數(shù)據(jù)包，而且將BPF語(yǔ)言封裝成更簡(jiǎn)單的語(yǔ)法。這里需要用到以下兩個(gè)函數(shù)：

int pcap_compile（pcap_t *p， struct bpf_program *program， const char *buf， int optimize， bpf_u_int32 mask）

int pcap_setfilter（pcap_t *p， struct bpf_program *fp）

其中pcap_compile（）用于編譯過(guò)濾表達(dá)式，并將編譯后的BPF存儲(chǔ)到第2個(gè)參數(shù)program中，然后通過(guò)pcap_setfilter（）方法使該規(guī)則生效。

（5）獲取數(shù)據(jù)包。pcap_loop（）方法用于獲取數(shù)據(jù)包。其函數(shù)結(jié)構(gòu)如下：

int pcap_loop（pcap_t *p， int cnt， pcap_handler callback， u_char *user）

通常將第2個(gè)參數(shù)cnt的抓包個(gè)數(shù)設(shè)置為負(fù)數(shù)，可以一直循環(huán)抓包，第3個(gè)參數(shù)是回調(diào)函數(shù)。需要說(shuō)明的是，回調(diào)函數(shù)必須為以下格式：

void callback（u_char *user， const struct pcap_pkthdr *h， const u_char *pkt）

其中user是pcap_loop（）方法中的第4個(gè)參數(shù)，pcap_pkthdr指針中主要存儲(chǔ)時(shí)間戳與數(shù)據(jù)包長(zhǎng)度，pkt用于存放數(shù)據(jù)。pcap_loop（）方法收到足夠多的數(shù)據(jù)包時(shí)會(huì)自動(dòng)調(diào)用回調(diào)函數(shù)，回調(diào)函數(shù)再根據(jù)捕獲的數(shù)據(jù)幀解析，獲取用戶(hù)上網(wǎng)行為。

（6）釋放網(wǎng)絡(luò)接口。最后調(diào)用pcap_close（）方法關(guān)閉網(wǎng)絡(luò)接口對(duì)象并釋放資源，整個(gè)流程結(jié)束。

2.2 認(rèn)證模塊實(shí)現(xiàn)

認(rèn)證模塊基于開(kāi)源項(xiàng)目wifidog實(shí)現(xiàn)，用于獲取終端用戶(hù)身份。wifidog通過(guò)3個(gè)核心線程實(shí)現(xiàn)主要功能，分別為客戶(hù)端檢測(cè)線程、wdctrl交互線程及認(rèn)證服務(wù)器心跳檢測(cè)線程?？蛻?hù)端檢測(cè)線程用于檢測(cè)設(shè)備終端狀態(tài)，若認(rèn)證超時(shí)，則對(duì)該設(shè)備作登出處理;wdctrl交互線程主要用于進(jìn)程間通信;認(rèn)證服務(wù)器心跳檢測(cè)線程用于在wifidog與認(rèn)證服務(wù)器之間保持心跳機(jī)制[22]。

本文重點(diǎn)研究路由器上的認(rèn)證模塊，對(duì)認(rèn)證服務(wù)器端不作過(guò)多研究。wifidog客戶(hù)端實(shí)現(xiàn)認(rèn)證主要有以下幾個(gè)關(guān)鍵步驟：

（1）wifidog啟動(dòng)時(shí)會(huì)維護(hù)一個(gè)設(shè)備信息鏈表，里面包含終端IP與mac等信息;接下來(lái)wifidog調(diào)用httpdGetConnection（）函數(shù)監(jiān)聽(tīng)終端上線，監(jiān)聽(tīng)到終端后，函數(shù)將終端IP等信息一并打包交給thread_httpd線程進(jìn)行處理;thread_httpd線程中的httpdProcessRequest（）函數(shù)讀取用戶(hù)socket中的數(shù)據(jù)，若讀取到的內(nèi)容在設(shè)備信息鏈表中未曾出現(xiàn)，表明該設(shè)備還沒(méi)有與服務(wù)器進(jìn)行過(guò)交互，則通過(guò)_httpd_send404（）函數(shù)將該設(shè)備重定向至認(rèn)證服務(wù)器，并執(zhí)行回調(diào)函數(shù)http_callback_404（）;回調(diào)函數(shù)中的http_send_redirect_to_auth（）方法用于重定向路徑，例如重定向路徑通常為：http：//authserver_addr/login/？gw_id=xxx&gw_address=xxx&gw_port=xxx&url=www.xxx.com，接下來(lái)設(shè)備將與認(rèn)證服務(wù)器進(jìn)行驗(yàn)證交互，獲取用戶(hù)認(rèn)證信息。

（2）設(shè)備與認(rèn)證服務(wù)器交互之后被重定向回來(lái)，被wifidog監(jiān)聽(tīng)到，于是再次進(jìn)行數(shù)據(jù)檢查。若此次可以在設(shè)備信息鏈表中查詢(xún)到關(guān)鍵字，且被認(rèn)證服務(wù)器重定向回來(lái)時(shí)攜帶auth、token字串，于是wifidog執(zhí)行http_callback_auth（）函數(shù)進(jìn)行身份標(biāo)識(shí)。身份標(biāo)識(shí)主要是將設(shè)備請(qǐng)求URL中攜帶的token添加到設(shè)備信息鏈表中，同時(shí)通過(guò)IP和內(nèi)核/proc/net/arp文件確定設(shè)備mac號(hào)。

（3）添加設(shè)備信息完成后，wifidog執(zhí)行authenticate_client（），將設(shè)備信息與認(rèn)證服務(wù)器記錄進(jìn)行比較，根據(jù)服務(wù)器返回結(jié)果執(zhí)行相應(yīng)動(dòng)作。一般AUTH_DENIED表示驗(yàn)證失敗，AUTH_ALLOWED表示驗(yàn)證成功。驗(yàn)證失敗時(shí)會(huì)再次將終端設(shè)備重定向至認(rèn)證服務(wù)器，驗(yàn)證通過(guò)時(shí)會(huì)通過(guò)fw_allow（）函數(shù)放行終端流量。fw_allow（）函數(shù)是指在iptables的mangle表中添加一條以該設(shè)備的mac為源的記錄，對(duì)其流量進(jìn)行打標(biāo)，之后檢查到該標(biāo)識(shí)則會(huì)放行，具體命令為：

iptables -t mangle -A “TABLE_WIFIDOG_OUTGOING” -s “IP地址” -m mac --mac-source “MAC地址” -j MARK --set-mark “tag”

至此，設(shè)備上線認(rèn)證流程完畢。

3 工程驗(yàn)證

該方案已在某品牌路由器中得到了實(shí)際應(yīng)用，且大規(guī)模部署在某市。從公安數(shù)據(jù)中心可以查看路由器中實(shí)時(shí)審計(jì)采集的用戶(hù)上網(wǎng)數(shù)據(jù)，從而為公安技偵以及輿情監(jiān)控提供數(shù)據(jù)支持。

4 結(jié)語(yǔ)

本文主要利用3個(gè)開(kāi)源項(xiàng)目OpenWRT、libpcap與wifidog，設(shè)計(jì)并實(shí)現(xiàn)了一種基于無(wú)線路由器的Wi-Fi審計(jì)程序。該方案通過(guò)嵌入式路由器實(shí)現(xiàn)，不僅降低了運(yùn)行成本，而且開(kāi)發(fā)較為容易，在應(yīng)用中也通過(guò)了實(shí)踐檢驗(yàn)。當(dāng)然，該設(shè)計(jì)方案也存在一些缺陷，比如在網(wǎng)絡(luò)數(shù)據(jù)流量大的情況下可能存在審計(jì)效率降低的情況。此外，由于在路由器中增加了一個(gè)程序，會(huì)占用路由器現(xiàn)有計(jì)算與存儲(chǔ)資源，因此該方案對(duì)無(wú)線路由器硬件要求較高，并不是通用的解決方案。未來(lái)可以針對(duì)以上不足，進(jìn)行系統(tǒng)與程序優(yōu)化，對(duì)該方案作進(jìn)一步完善。

參考文獻(xiàn)：

[1] 張冬楊. 2019年物聯(lián)網(wǎng)發(fā)展趨勢(shì)[J]. 物聯(lián)網(wǎng)技術(shù)，2019，9（2）：5-6.

[2] 張化明. WIFI傳輸與接入技術(shù)的發(fā)展研究[J]. 通訊世界，2018，25（12）：38-39.

[3] 陳國(guó)飛. 網(wǎng)絡(luò)信息時(shí)代國(guó)家安全面臨的挑戰(zhàn)研究[J]. 廈門(mén)特區(qū)黨校學(xué)報(bào)，2018 （1）：54-59.

[4] 中華人民共和國(guó)公安部. 互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定[J]. 信息安全與通信保密，2006（2）：6-7.

[5] 廖亮. 網(wǎng)絡(luò)信息審計(jì)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 西安：西安電子科技大學(xué)，2015.

[6] 萬(wàn)加富. 網(wǎng)絡(luò)監(jiān)控系統(tǒng)原理與應(yīng)用[M]. 北京：機(jī)械工業(yè)出版社，2003.

[7] 魏超. 基于OpenWrt和Arduino的智能家居系統(tǒng)的研究與實(shí)現(xiàn)[D]. 西安：西安科技大學(xué)，2017.

[8] 曹為華，凌強(qiáng)，張雷，等. 基于OpenWrt系統(tǒng)路由器的模式切換與網(wǎng)頁(yè)設(shè)計(jì)[J]. 微型機(jī)與應(yīng)用，2015，34（23）：91-94.

[9] 王澤旺.? 基于HTTP協(xié)議內(nèi)容的審計(jì)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 西安：西安電子科技大學(xué)，2014.

[10] 王慶剛，劉中燁. 基于Libpcap的無(wú)線網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J]. 網(wǎng)絡(luò)空間安全，2018，9（4）：92-96.

[11] 郭凱. 基于WinPcap的數(shù)據(jù)包捕獲系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 西安：西安電子科技大學(xué)，2013.

[12] 陳琳婷. 云WiFi設(shè)備的認(rèn)證與審計(jì)系統(tǒng)[D]. 廣州：華南理工大學(xué)，2015.

[13] 汝金星，葛良全. 無(wú)線路由器主流開(kāi)源系統(tǒng)比較與分析[J]. 電子世界，2016（17）：43，45.

[14] 張曉華，張玉華. 基于路由器的開(kāi)源嵌入式操作系統(tǒng)學(xué)習(xí)平臺(tái)[J]. 單片機(jī)與嵌入式系統(tǒng)應(yīng)用，2013，13（2）：13-16.

[15] KIM C G， KIM K J. Implementation of a cost-effective home lighting control system on embedded Linux with OpenWrt[J]. Personal and Ubiquitous Computing， 2014， 18（3）：535-542.

[16] 李曙聰.? 基于OPENWRT開(kāi)源路由器的智能網(wǎng)關(guān)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D]. 西安：西安電子科技大學(xué)，2014.

[17] WEN S，XIE G. libpcap-MT：a general purpose packet capture library with multi-thread[J]. Journal of Computer Research & Development，2011， 48（5）：756-764.

[18] 高榮承. 基于Linux的網(wǎng)絡(luò)數(shù)據(jù)捕獲和分析系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 北京：北京郵電大學(xué)，2017.

[19] 姜麗麗，楊曉輝. 網(wǎng)絡(luò)協(xié)議分析系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].? 信息網(wǎng)絡(luò)安全，2014，14（7）：48-52.

[20] 黃海，謝冬青，宋一贊. WiFi-WiMAX異構(gòu)無(wú)線網(wǎng)絡(luò)認(rèn)證機(jī)制研究[J]. 信息網(wǎng)絡(luò)安全，2015，15（6）：19-25.

[21] 陳琳婷. 云WiFi設(shè)備的認(rèn)證與審計(jì)系統(tǒng)[D]. 廣州：華南理工大學(xué)，2015.

[22] 胡雁平. 基于Wifidog協(xié)議的WIFI認(rèn)證與設(shè)備配置的研究與實(shí)現(xiàn)[D]. 武漢：華中科技大學(xué)，2017.

（責(zé)任編輯：黃 健）