无线网络目前已经不仅仅是校园有线网络的补充，不断增加的各类无线终端如手机、Pad让无线网络成为校园内越来越重要的通信载体，除了学校搭建的公用无线网络，各种各样的个人无线接入点也让学校的无线网络成为一个热闹的场地。但在这热闹中，也不乏各类恶意或无恶意的人在搜寻着无线网络的漏洞，进行着各类的攻击活动，除了加强个人的无线安全防护意识，部署无线的蜜罐和IDS也是监控无线网络安全的重要手段，目前商业的无线硬件产品商大都提供对应的产品，如AirDefence（Motorola）、Cisco等，但价格不菲，其实利用开源的工具我们可以只花费较小的费用就搭建起一个分布式的无线入侵检测系统。本文将介绍如何利用OpenWRT和Kismet这两种开源工具在普通商用无线路由器的基础上来建立无线IDS系统。

　　Kismet

　　有线网络中大家最常用的I D S 是Snort，但在无线网络中我们不能直接使用Snort，这是因为无线网络和有线网络在物理与链路层的不同，让IDS的需要功能也有不同。传统的有线网络只需要考虑三层（IP层）及其以上的报文，而无线的IDS同时需要考虑物理层和链路层的报文内容，因为大量的无线攻击如无线欺骗、无线拒绝服务攻击都是在这一层发生的。另一方面，无线的广播性质让无线IDS可以通过进入无线设备的Monitor模式收听到覆盖范围内所有的无线报文活动，而有线网络必须通过端口镜像或分光等手段才能监控到需要的报文。Kismet是无线网络应用中重要的一款安全工具，它可以设置无线设备的模式进行无线报文的采集，同时可以进行无线链路层的攻击检测，还可以输出上层报文给传统的IDS如Snort进行更高层次的入侵检测。

　　Kismet是一款用于无线网络(802.11协议族)的多功能软件，既可以用于无线网络的检测发现和报文采集，也可以用于无线的入侵检测。目前可以在Linux、Windows（需要Cygwin）、MacOS等多种系统上安装。Kismet通过将支持无线芯片工作模式设为Monitor来进行被动的无线报文收集工作，并通过报文的协议解码发现存在的AP、用户以及他们之间的通讯。Google就曾被曝光使用制作GoogleMap的街景小车在城市漫游过程中使用Kismet收集了大量的无线数据，从而引发了用户隐私泄漏问题。Kismet在收集和解析报文的同时，集成了二层和部分三层的入侵检测功能，Kismet的检测通过报文特征检测和统计检测两种方式来实现。常见的警报包括：APSPOOF、DEAUTHFLOOD、DEAUTHCODEINVALID等。具体攻击的含义可以在专门讨论无线网络漏洞和攻击的网站（http://www.wve.org）查到。

　　Kismet 一个重要的特点是客户机- 服务器的工作模式。客户机模式下的Kismet可以看成一个探针程序，负责监听和收集报文，并将收集到的报文转发给服务器。服务器模式下的Kismet进行报文的协议检测、检测和其他进一步的处理。这样我们就可以在低成本的平台上部署一系列的Kismet客户端程序，从而确保检测的范围可以覆盖足够大的区域，再将每个客户端的收集的报文统一集中到高性能的服务器进行下一步的处理。服务器端的Kismet还可以再通过虚拟端口将解码后的无线报文输出给传统的IDS，进行高层的入侵检测。