查找企業網中非法接入的WIFI設備（原創）

一、企業網絡安全管理面臨的新問題

現在計算機和移動智能設備越來越普及，有一些企業網用戶不再滿足于只讓實名登記的、有實際辦公用途的計算機上網，他們把家中的筆記本、智能手機、平 板電腦帶到單位，通過非法架設SOHO路由器、隨身WIFI、安裝免費WIFI軟件等，繞過網絡管理員的檢測，實現非法接入企業網，然后就可以通過他們自 己的設備實現一些移動平臺的網絡應用。這些SOHO路由器、隨身WIFI的一個大賣點：“就是可以繞過檢測，隱匿接入”，因為這些設備都可以關閉信號的廣 播發送，通過信號檢測的方法也搜不到。

非法接入問題困繞了各個企業網的管理員，互聯網論壇也隨處可見各種討論貼，但是都沒有很好的解決辦法。用戶的非法接入行為給整個企業網絡帶來三個方面的嚴重影響：

1、最堅固的堡壘，往往都是從內部被攻破的，架設這些接入點的用戶，他的本意可能不是破壞網絡，但是他卻為網絡的安全留下了缺口。隨處可見的接入 點，讓一個進入企業區域內的陌生人都可以接入到企業網絡中，各級昂貴的網絡邊界設備都被繞過。眾多非法接入點的存在，從某種意義上說，讓企業網的一些區域 變成了開放的網絡，如果有人真想在網絡內部搞點***行為是非常容易的。

2、大量合法的網絡用戶抱怨“帶寬都去哪兒了”，非法接入的計算機和移動設備占用了大量的帶寬，讓整個企業網的運行效率降低。

3、破壞了網絡管理的嚴肅性，讓用戶認為：“不被發現的，就是可做的”，為后繼破壞網絡的行為開了一個不好的先例。

二、幾種常見的非法接入企業網方法

筆者從事網絡管理工作多年，對用戶的非法接入網絡的方法十分了解，現詳細介紹一下，這幾種方法利用的都是IP-MAC地址綁定這個漏洞，IEEE規 定每臺計算機的網卡MAC地址是全球唯一的，所以在企業網的聯網設備管理中基本上都是通過MAC地址加IP地址來識別1臺聯網設備，但這種管理辦法現在已 經面臨挑戰。

1、 SOHO路由器接入（分無線和有線）方法

SOHO路由器接入是一種“傳統”的非法接入方法，最早是家庭寬帶用戶，通過這種方法把家里多臺上網設備連網、多個家庭共享一條寬帶等等，早年間， 中國電信也是被此設備深深困擾。在家庭寬帶中各用戶都是PLAN隔離的，家庭用戶這么去用，在安全方面對電信部門沒有影響，頂多用點流量，但是在企業網中 這種接入對安全影響很大，因企業網的用戶之間是很少做安全隔離的。

這種非法接入方法，步驟分為4步：

（1）張三通過合法的流程從網絡管理部門申請一個IP地址并要求聯網。

（2）當網絡管理員實地查看用戶的計算機后，給其聯網并完成IP地址實名制登記、IP-MAC綁定，由于IEEE規定MAC地址是全球“唯一”的， 所以通過MAC地址和IP地址的綁定來識別張三的這臺計算機，原則上“沒有什么問題”。至此正常聯網流程結束，張三可以上網了，如圖1所示：

（3）張三私自購買并安裝SOHO路由器，這種路由器的一大特點是可以克隆MAC地址，也就是說路由器的接口MAC地址可以改成和張三計算機網卡 MAC地址一模一樣的，這樣網絡管理員看到的還是張三的計算機，其實那個MAC地址已經變成了路由器，路由器下面可以連N多的計算機，SOHO路由器克隆 MAC界面如圖2所示。

圖2：SOHO路由器可以隨心所謂的改MAC地址

（4）SOHO路由器私接成功后，張三掌握了一個企業網接入點，他可以把自己的、同事的上網設備連上企業網，如果他把路由器接入密碼保存的好，可能 接入的用戶范圍很小，如果他大公無私的把密碼公開，在他的那個范圍內，誰都可以連入企業網，張三私接SOHO路由器后，連網拓撲如圖3所示。

圖3：私接SOHO路由器后，張三連網拓撲

2、隨身WIFI接入方法

自從2013年6月360公司首先推出19.9元的360WIFI之后，小米公司和百度公司也推出了小米WIFI和小度WIFI，隨身WIFI開始 在企業網內泛濫，這些產品一方面確實象他們公司宣傳的那樣“無需培訓、即插即用、小巧玲瓏、價格低廉、安裝方便，是居家旅行必備良品”，它極大的簡化了無 線智能設備接入網絡，但另一方面，WIFI熱點在企業網內的泛濫，對網絡管理員來說卻是一場噩夢，企業網可隨處可見的安全性極低的接入點，嚴重的威脅著企 業網絡的安全、企業的各種信息也處于不安全的狀態，所以重點要杜絕這種隨身WIFI的泛濫。

為了更好的研究這種產品，筆者購買了360WIFI、小米WIFI、小度WIFI，并進行了測試，現以360WIFI為例，講解用戶非法接入過程，分為3步。

（1）企業網用戶李四擁有一臺合法上網的計算機，網管員也做了IP-MAC綁定。

（2）李四把360WIFI插入計算機的USB口，那么一切的安裝工作基本上都是自動的，很快安裝完成了，就會彈出圖4所示畫面。

圖4: 360WIFI安裝完成后的界面

（3） 李四的計算機具有了WIFI熱點功能，現在大約30米范圍內的各類無線設備都可以搜索無線信號，輸入WIFI密碼，就可以進行上網了。李四計算機的接入網絡的拓撲變成了圖5所示。

圖5：安裝360WIFI的計算機變成了一臺AP設備

3、“免費WIFI”接入方法

這也是一種比較流行的方法，其實它是一種軟件，它的實現方法很簡單，就是要求聯網計算機上安裝一個USB無線網卡。企業網中對無線的使用限制非常嚴 格，單位的筆記本電腦一般是通過有線連入網絡的，這樣筆記本電腦的無線網卡就空閑下來了，可以通過安裝“免費WIFI”軟件，把無線網卡變成一個無線 AP。臺式電腦也可以通過加裝一塊USB無線網卡，再安裝“免費WIFI”軟件，實現一樣的功能。“免費WIFI”軟件非常多，常見的有“360免費 WIFI”,“WIFI共享精靈”等等，安裝之后的效果和隨身WIFI基本相同，在這里就不在詳細介紹了。免費WIFI軟件位置如圖6所示。

圖6：“免費WIFI”軟件的位置

4、幾種隱匿性不強，較少人使用的方法

還有ICS（Internet連接共享）、Proxy代理服務器、window開啟路由服務等等，這些方法隱匿性較低，設置也略顯繁瑣，所以在企業 網內用的人比較少，在這里就不做過多的介紹了。有網絡評測說隨身WIFI用的也是ICS模式，筆者經過深層次測試，可以肯定的說360隨身WIFI及 360免費WIFI用的不是ICS方法。

三、非法接入企業網方法的技術原理分析

    如果想識別出非法接入點，就得了解對方使用的技術，了解它才能找到針對性的解決辦法，現把幾種接入方法的技術原理做個介紹。

1、SOHO路由器接入原理

路由器有位于網絡中心的核心路由器、連接企業級網絡的企業路由器以及把家庭或小單位用戶接入網絡的SOHO路由器。SOHO路由器能夠實現自動配置 和基本數據包路由、過濾功能。從嚴格意義上來講，SOHO路由器并不能完全稱之為路由器，它只實現部分傳統路由器的功能。SOHO路由器采用 NAPT(Network Address Port Translation)轉換技術，把內部多個私用有IP地址轉換成一個合法的公網IP地址，使私有網絡中多臺主機共享一個合法的IP地址訪問因特網。綜 上所述，可以確定的是SOHO路由器使用了NAPT技術。

2、隨身WIFI接入原理

隨身WIFI現在流行的有三個品牌：360WIFI、小米WIFI、小度WIFI，它們所用的共享上網的方法其實并不一樣，經測試表明，360WIFI技術領先，它就是為隱匿而設計的，我來介紹一下：

（1）360WIFI

 當360WIFI在2013年推出的時候，因其低廉的價格、良好的性能、簡便的操作很快引起轟動，眾多的硬件評測網站，如：中關村在線、天極網等 對其進行評測，現在這些評測文章在網上也比比皆是，其中都說360wifi使用了windows系統自帶的ICS功能，之后評測就得出結 論：“360wifi這類產品，技術含量低、可用性并不高、就是ICS+虛擬AP技術。”，經過筆者的測試證明，360公司剛開始是用了ICS技術，但是 很快就用了他們自己公司開發的NAPT技術，他們在產品內部把這種NAT叫做QHNAT、360WIFINAT，功能強大、隱匿性極強。所以 360WIFI也使用了NAPT技術。

（2）小米WIFI、小度WIFI

 這兩個產品是在360WIFI后面推出的，可能是受到360WIFI評測的影響，兩款產品都是使用了ICS技術，所以相比較360WIFI，這兩 款產品隱匿性差一些、性能也不高。其實說白了ICS就是NAT的簡化版，ICS在共享連接的時候主機和子機都要有相同的服務支持，用7層模型來看的話 ICS是發生在高層，而NAT是發生在3,4層，是中間層次的轉換，ICS比NAT效率低，隱匿性差。小米WIFI、小度WIFI使用了簡化的NAPT技 術（ICS）。

3、“免費WIFI” 接入原理

和隨身WIFI一樣，所謂的“免費WIFI”其實就是把USB無線網卡，裝上隨身WIFI軟件，實現了隨身WIFI的主要功能，只是在一些專有的細節方面不如隨身WIFI。他們所使用的技術，無非也是NAPT技術。

   4、什么是NAPT技術？

可以看出非法接入企業網的方法很多，但是歸根到底都是使用了NAPT技術，什么是NAPT技術呢？NAPT普遍應用于接入設備中，它可以將中小型的 網絡隱藏在一個合法的IP地址后面，它將內部連接映射到外部網絡中的一個單獨的IP地址上，同時在該地址上加上一個由NAT設備選定的TCP端口號，也就是采用“端口復用”技術，將幾個私有IP通過映射到一個合法的企業網IP上，實現私接設備網絡通信。

四、從原理入手探討識別方法

RFC3022文檔中說NAPT工作在IP層，通過NAPT把內部地址翻譯成合法的IP地址，在企業網中使用，具體的做法是把IP包內的私有IP地 址+端口用合法的IP地址+端口來替換。NAPT設備維護一個狀態表，用來把非法的IP地址映射到合法的IP地址上去，每個IP包通過NAPT設備時，拆 解后進行重新組裝，新的IP包發往企業網，因此接入到企業網中的一個IP地址可能被NAPT設備后面的無數個用戶使用。

可以簡單的理解，合法上網計算機和非法接入計算機之間在通信上的區別是：合法接入計算機把IP包直接發送到了網絡，非法接入上網設備的IP數據包經 過了私接的NAPT設備或軟件。我們需要找出這些私接的NAPT設備或軟件在IP包經過他們的時候，對IP包做了什么樣修改，如果能找出修改點，我們也就 能識別非法接入設備了。

實現互聯網通信的標準協議是TCP/IP協議，無論是哪種設備要實現互聯網通信的話，就一定要運行TCP/IP協議，并且要有一個IP地址。同 理，NAPT設備要實現網絡通信的話也需要通過TCP/IP協議。IP協議是TCP/IP協議族中最為核心的協議，所有上層協議 如：TCP，UDP,ICMP,IGMP包括應用層的HTTP、FTP、DNS等應用，都要以IP數據包格式傳輸，IP數據包格式如圖7所示：

圖7: IP包格式

普通的IP頭部長為20個字節，幾個重要的數據段如下：

(1) Source IP Address (源IP地址),表明發送方。

(2) Destination IP Address (目的IP地址)，表明接收方。

(3) Time to live(生存時間)，表明IP包允許在網絡中存活的時間。

(4) Identification(標識)，用于標識來源自同一IP地址使用相同協議的報文，該值對同一<源IP，目標IP，協議>在生存期間是唯一的。

現在了解了IP數據包的關鍵數據段，把識別方法介紹如下：

1、通過IP包中的TTL數據段來識別非法接入的上網設備

TTL（Time To Live）生存時間字段設置了IP數據報能夠經過的最大的路由器數，TTL字段是由發送端初始設置的，每個處理該數據報的路由器都需要將其TTL值減1， 當路由器收到一個TTL值為0的數據報時，路由器會將其丟棄，TTL字段的目的是防止數據報在選路時無休止地在網絡中流動。TTL值的變化如圖8所示。

圖8：經過標準的NAPT設備TTL變化情況

一臺標準的NAPT路由軟件或設備，會把經他發出的IP包中的TTL值減1。這里說的是標準的，也有不標準的，如果都是標準的，非常接入的識別問題就很簡單了。

2、通過IP包中的Identification字段來識別非法接入的上網設備

在IP協議中Identification字段用于標識不同的IP包，為保證服務的正常，網絡中必須確保來自同一IP地址使用相同協議的IP包應當 有其唯一的Identification標識。在正常的情況下，同一臺計算機在一個時間段內發來的發出的IP包中的ID號是連續。如圖9所示：

圖9：一臺計算機在一個時間段內IP包中的ID值變化

因NAPT設備后面連接了多臺上網設備，這些上網設備發出的IP包中的值是不相同的， NAPT設備也沒有改變這些IP包的ID值，這種情況下，多臺設備經NAPT上網時，NAPT的企業網IP那一端，發出的IP包ID是不連續，當檢測到多 個不同連續ID軌跡即可判斷出是否用了NAPT設備。如圖10所示：

圖10：NAPT設備一個時間段內IP包中的ID值變化

在圖9和圖10可以看出，137.12.36.2是一臺正常上網的計算機，而137.12.36.1是一臺NAPT設備，其后連了兩臺上網設備，因 為他的ID字段其實是分為兩段序列，每一段都代表了一臺設備。而且他的TTL值也是63，說明IP包經137.12.36.1發出來前就經過了一臺路由 器。

3、應用特征識別

有了TTL值和ID值的識別，好像可以檢測到所有的非法接入設備了，實際上卻不行，為什么呢？前文中已經說了很多公司，如一些SOHO路由器廠商以 及360公司他們開發了自己的NAPT軟件，但是他們卻有意的做了一些隱藏技術，經過他們的NAPT設備轉換的IP包TTL并不減1.

圖11: 一臺非標準的NAPT設備，經過它的包，TTL值并不減1

137.12.36.19是一臺SOHO路由器，它發的IP包TTL是一個標準的windowsXP系統發出的IP包，TTL值并不象我們期望的那樣減了1，所以TTL的檢測手段對其無效。再看一個360隨身WIFI的例子，如圖12所示。

圖12: 一臺加裝了360WIFI的計算機，經過它的包，TTL值并不減1

圖12表達的，是一臺加裝了360wifi的計算機，但是經過了NAPT，IP包的TTL值也沒有減1，從他的ID值的非連續性可以看出有兩臺設備 上網。所以前文中說道了360WIFI的技術在隨身WIFI中是領先的，小米和小度WIFI的TTL值就很容易檢測出來。所以用TTL的方法檢測非法接 入，并不全面，有很多是檢測不出來的。

那么用ID標識的方式是不是就很精確呢？實際情況也不是這樣，因為如果知道這個IP地址對應的是一臺NAPT設備的話，有針對性對這個IP地址進行 檢測，是可以驗證這臺計算機是否非法接入設備。但是企業網內有成千上萬臺計算機，首先不可能對每一個地址都進行單獨檢測，第二IP包中的ID標識絕大多數 情況下是隨線性分布，但是也有特殊情況，如使用到RSTP協議的一臺設備、發送方的TCP/IP協議棧初始化了等等，這樣ID表現就不是連續的，如圖13 所示。

圖13： 一臺使用RTSP協議的計算機，ID值變化大

在現有的硬件條件下，很難對企業網中成千上萬臺計算機發出的大量IP包中的ID標識做連續性的分析，這難度太大，也不現實。因此就需要使用第三種識 別方法，應用特征識別：從行為學的角度來看，企業網用戶私接NAPT設備的目的有一個，那就是讓移動設備上網，如果上不了網，誰也不會去花錢冒風險去私接 設備，如果上網的話就會用到一個最常用的HTTP協議。HTTP協議是用于從WWW服務器傳輸超文本到本地瀏覽器的傳送協議，通俗的講就是你無論用什么設 備打開網頁就會用到HTTP協議。

HTTP協議有一個特點，在使用HTTP協議進行請求時，HTTP協議頭部會添加User-Agent，該信息可以標識請求者的一些信息，如什么瀏 覽器類型和版本、操作系統，使用語言等信息。移動設備平臺所用的系統和臺式電腦是不一樣的，如果在HTTP協議的頭部發現User-Agent發現移動平 臺的標識，那么就可以確定，用戶私接了NAPT設備。

圖14： 協議特征碼識別

如圖14所示，137.12.37.168這臺計算機私接了一個360WIFI，正讓他的iPhone手機上網。有人可能會想了，如果我連了一臺設 備，我不打開網頁，只是上QQ、微信、游戲，不就檢測不到了嗎？其實不然，這些軟件好像都沒有打開網頁，沒有用到HTTP協議，其實他們都或多或少的用到 了HTTP協議，如QQ、微信中的頁面，彈出的廣告，要求你輸入的一些信息，都是用HTTP協議通信的形式。所以，只要能識別HTTP協議中的請求包中的 User-Agent字段中的設備信息就可以發現私接的設備。

4、隨身WIFI和“免費WIFI”留下的后門

經過筆者多次測試，每當用戶把隨身WIFI插上電腦準備上網的時候，其實這些設備做的第一件事，不是讓你的設備上網，而是把你的設備信息發到他們公司的服務器，讓他們做用戶統計（個人信息安全很重要呀！！！）。

（1）以360WIFI為例

當用戶插上360WIFI的時候，360WIFI就會發送一個HTTP請求包到s.#網站：/360wifi/freewifi_fail.htm……。

（2）以小米WIFI為例

當用戶插上小米WIFI的時候，小米WIFI就會發送一個請求包到xiaomi.net網站：grayupgarde?......。

（3）以小度WIFI為例

     當用戶插上小度WIFI的時候，就會發一個請求包到xdu.baidu.com網站:getupdateinfo……。

其它的各種隨身WIFI、免費WIFI產品都是如此，筆者也不在贅述了。

5、總結一下識別方法：

（1）可以用IP包的TTL字段檢測標準的NAPT設備。

（2）用IP包的ID標識來進一步確認用戶的私接行為及確認用戶私接的設備臺數。

（3）用HTTP協議中的User-Agent字段來檢測私接上網的移動設備，從而確認用戶私接了NAPT設備。

（4）用幾種隨身WIFI和免費WIFI的后門，來識別用戶非法接入行為。

五、根據識別理論，開發識別系統

現在我們己經在理論上知道如何識別非法接入的SOHO路由器及WIFI熱點，現在要做的是把這些理論用一個軟件系統表達出來。

1、開發工具選用

筆者選用的開發工具是Microsoft Visual Studio 2012， 開發語言選用了C#，報文組件選用了WinPcap+SharpPcap。Vs2012是windows平臺上最強的IDE開發工具，沒有之一，C#是最 適用于.Net FrameWorks架構的開發語言，WinPcap是Win32/64環境下用于捕獲網絡數據包并進行處理的開源庫，SharpPcap是用C#語言對 WinPcap進行封裝使之適用于C#語言面向對象的特性的開源庫。

安裝WinPcap4.1.3、安裝VS2012旗艦版，建立解決方案和項目，在項目中引用SharpPcap4.2，調試好開發環境。

2、設計思路及系統功能

此軟件使用了很多C#高級編程，如協議分析、委托、線程等，涉及很多的TCP/IP底層數據包的知識，光一個數據包的拆解封裝類可能就要寫上幾頁內 容、一個符合WinPcap過濾引擎語法的過濾字符串可能就要寫上一頁。由于源代碼太長，不方便貼出，另外我也不想把這個寫成VS2012、C#、 WinPcap的使用說明，如需源代碼，請聯系筆者。

首先我來談談設計思路：系統的設計思路是設置WinPcap過濾器把需要分析的網段數據包通過SPAN技術，發到一個鏡象接口，鏡象接口連接的開啟 混雜模式的網卡會捕獲這些數據包，軟件中包到達線程不停把數據包放在一個隊列中，后臺處理線程不停的把數據包取出拆解，分析其中是否有非法接入特征，如果 有就交顯示線程顯示出來，如果沒有就丟棄。

根據軟件的使用界面來介紹一下系統功能。

圖15：識別系統功能區域

（1）選擇要分析包的網卡

 一臺計算機可能會有多塊網卡，有物理網卡、有虛擬網卡，此組合框讓用戶選擇需要捕獲包的網卡。

（2）開始按鈕

當點擊開始按鈕后，并且用戶選擇了需要捕獲網卡，首先就要開始對選中的網卡進行設置：在包到達事件中注冊處理方法、在包停止事件中注冊處理方法、設置過濾器、開始界面刷新線程、把網卡工作設置在混雜模式、開始包捕獲線程，軟件開始工作。

（3）結束按鈕

當點擊結束按鈕后：終止包捕獲線程、關閉網卡捕獲、注消包到達處理方法、注消包停止方法、同步結束界面刷新線程。

（4）存儲捕獲包功能

可以讓用戶選擇是否存儲捕獲的數據包，因為軟件關閉后，軟件界面顯示的數據包將清空，如果非法接入的用戶拆了私接的設備后不承認他的非法接入行為， 就可以調出存儲的數據包，再現捕獲時用戶非法接入的行為數據。存儲的數據包符合 WinPcap標準，世界上最常用的協議分析軟件Sniffer、WireShark、Omnipeek等都可以打開。

（5）導出非法IP

 可以把識別為非法接入的用戶IP地址導出到一個單獨的export.txt文件中，方便用戶查看。

（6）定義分析網段

 一個企業網內部有很多的IP地址段，可以自己定義，這個功能主要是增加軟件的通用性，也就是說，拷貝出去拿到哪里都可以用，因要防范盜版，此軟件的定義分析網段功能被筆者鎖定，不能更改，只能在淮南礦業集團內部使用。

（7）數據包識別窗口

此窗口由一個后臺線程負責刷新，它和捕獲包線程協同工作，捕獲包線程不停的包到達的包存放到一個queue中，它的功能是把數據包從queue中取出來，拆開數據包查看是否有前面的章節中我們分析非法接入特征，如果有把此數據包的關鍵屬×××給顯示線程，顯示在識別窗口。

（8）識別結果窗口

此窗口也是由后臺線程刷新，當出現一個新的符合非法接入特征的IP地址時，把這個IP地址和原因，顯示在識別窗口。

（9）協議分析窗口

此窗口中的數據由數據包識別窗口中的用戶選擇來觸發，當用戶需要查到一個數據包的詳細頭部信息時，就可以點擊具體的條目，此窗口就會列出數據包的Ethernet頭部、IP頭部、TCP頭部/UDP頭部信息供用戶分析。

（10）數據包內容顯示窗口

 此窗口的數據和“協議分析窗口”中的數據同步，“協議分析窗口”是顯示數據包的頭部信息，而它是顯示數據包的負載信息。

（11）包捕獲狀態統計

 同步刷新顯示，識別了多少包、其中IP包有多少、TCP包有多少等等。

六、非法接入識別系統如何部署

 首先我們來看下簡化的企業網的邏輯結構：

圖16：簡化的企業網邏輯結構圖

從圖16中可以看出，XXXX的所有電腦上網都要經過一個企業網匯聚交換機（也就是XXXX的核心交換機）。以一臺企業網用戶電腦為例，標準的 TTL值有很多種，不同的操作系統，發出的IP包的TTL標準值不相同，標準值有：TTL=255、TTL=128、TTL=64、TTL=32等等。假 設這臺電腦IP包的TTL=64，如果下級沒有路由設備的話，到達匯聚層交換機時TTL依然是64。

以XXXX網絡為例，其它各礦以及上一級的管理員都可以用同樣的方法。

圖17：識別系統部署位置

在礦核心交換機上使用SPAN技術，這種技術主要是用來監控交換機上的數據流，利用SPAN技術我們可以把交換機上某些想要被監控端口（以下簡稱受控端口）的數據流COPY或MIRROR一份，發送給連接在監控端口上的裝了識別系統的計算機。

步驟如下：

（1）設置SPAN

在礦核心交換機上設置

XZK-C4506#show run | in monitor

monitor session 1 source vlan 2 – 4094  //全部 vlan的數據包

monitor session 1 destination interface Gi6/29 //mirror一份到gi6/29口

（2）把安裝了非法接入識別系統的計算機連接到 gi6/29接口。

（3）雙擊打開“非法接入識別系統”,選擇好網卡，并點擊開始按鈕

七、實際應用效果

   通過各種精心的準備，識別非法接入系統己經開始運行了，現在看看效果。

圖18：實際應用效果圖

識別系統開始運行后，識別的結果讓網絡管理人員感到吃驚，除了合法登記的，有十幾個用戶私接了設備進行上網，在沒有識別系統的情況下，根本就不可能 發現他們，因為他們都用了MAC克隆技術，關閉了無線信號發送，使用傳統的方法就在網絡管理員的眼皮底下也不可能發現，有了識別系統之后，企業網絡非法接 入問題得到了解決。

八、總結

企業網用戶非法接入問題，原來一直困擾著企業網的管理人員，也包括筆者自己，互聯網各大技術論壇上也到處是尋求解決問題的求助貼，一些標榜可以識別 的系統經筆者測試，效果很差，如國內一個賣的很好的軟件，宣稱可以識別非法接入，經測試，發現它竟然是通過MAC地址的前24位來識別，MAC地址由48 位的二進制數構成，前24位為廠商段，標識的是生產廠商，也就是說只要是這個廠商生產的，軟件它就認為是路由器，這種識別方法是不合理的，非法接入就是克 隆MAC地址來繞過檢測的，再用MAC來當成識別非法接入的依據，那是不會成功的，而且可以肯定的是，無協議分析能力的識別系統是不可能識別出來非法接入 的。