入侵檢測系統(tǒng)（IDS）通過分析網(wǎng)絡(luò)中的傳輸數(shù)據(jù)來判斷破壞系統(tǒng)和入侵事件。傳統(tǒng)的入侵檢測系統(tǒng)僅能檢測和對破壞系統(tǒng)作出反應(yīng)。如今，入侵檢測系統(tǒng)已用于無線局域網(wǎng)，來監(jiān)視分析用戶的活動，判斷入侵事件的類型，檢測非法的網(wǎng)絡(luò)行為，對異常的網(wǎng)絡(luò)流量進行報警。

無線入侵檢測系統(tǒng)同傳統(tǒng)的入侵檢測系統(tǒng)類似。但無線入侵檢測系統(tǒng)加入了一些無線局域網(wǎng)的檢測和對破壞系統(tǒng)反應(yīng)的特性。

無線入侵檢測系統(tǒng)可以通過提供商來購買，為了發(fā)揮無線入侵檢測系統(tǒng)的優(yōu)良的性能，他們同時還提供無線入侵檢測系統(tǒng)的解決方案。如今，在市面上的流行的無線入侵檢測系統(tǒng)是Airdefense RogueWatch 和Airdefense Guard。象一些無線入侵檢測系統(tǒng)也得到了Linux 系統(tǒng)的支持。例如：自由軟件開放源代碼組織的Snort-Wireless 和WIDZ 。

無線局域網(wǎng)WLAN性能分析及其工具

許多情況都需要分析WLAN的性能，從最初的設(shè)計和新安裝的設(shè)備的調(diào)試，到優(yōu)化覆蓋面和規(guī)劃擴展。在這一生命周期中，許多工具都是有用的，包括站點調(diào)查工具、射頻設(shè)計儀、頻譜分析儀和無線流量分析儀。

無線流量分析儀是非常必要的，可以捕獲802.11信息流并對其進行編碼，然后重新將信息包裝配到聯(lián)合和射頻設(shè)備關(guān)系之中。但是有時也需要退回去，查看WLAN信息流的更多的情況，收集更長的時間內(nèi)的信息，而WIDS可以提供幫助。

WIDS可以監(jiān)測整個WLAN，將由分布式傳感器捕獲的主要信息流轉(zhuǎn)發(fā)到中央服務(wù)器。WIDS會顯示由此產(chǎn)生的警報，并將其轉(zhuǎn)發(fā)到另一個系統(tǒng)，或者記錄在數(shù)據(jù)庫中，供將來參考。當(dāng)然，這些信息流也可以用于監(jiān)測WLAN的性能。

性能警報

雖然WIDS的性能分析與警報功能不同，但是這里有一個性能警報樣本，這是無線入侵檢測能夠監(jiān)測到的：

◆站點的接入點超載

◆接入點或者信息流的信道超載

◆管理費用過多

◆客戶端發(fā)送/接收的恒定信息流

◆接入點配置不合理或者不兼容

◆同步PCF/DCF（集中式協(xié)調(diào)功能/分布式協(xié)調(diào)功能）操作

◆接入點的電能解除DTIM沖突

◆802.11g接入點無法使用802.11b接入點附近的保護

◆802.11g接入點提供了不恰當(dāng)?shù)亩唐诓宀?/p>

◆接入點提供了非標(biāo)準(zhǔn)的數(shù)據(jù)率

◆過多的重試或者CRC錯誤

◆過度漫游或者再連接

◆過度低速傳輸

◆過度分散

◆偵測到隱藏的站點

◆偵測到雷達干擾

◆信道噪聲級過高

一些警報表明可能發(fā)生了配置錯誤（比如，保護），而其它警報指出了會降低性能的潛在的執(zhí)行錯誤（比如，DTIM沖突）。關(guān)于超載或者射頻干擾方面的警報可以通過擴展WLAN或者重新分配信道得以解決。你會希望停用任何與WLAN無關(guān)的無線入侵檢測的警報（比如，如果不使用802.11b，就可以停止802.11g保護）。

性能故障排除

雖然，掃描模式下的WIDS可以監(jiān)測到性能問題，但是診斷卻需要一個更為全面的信息流樣本。通常情況下，可以將結(jié)果輸入到無線信息流分析儀中仔細審查。

故障排除通常需要活躍的工具。你也可以查看近實時信道的性能圖表，這些圖表中顯示了信號的強度、噪聲、CRC錯誤、重試、使用等情況，就好像在傳感器的地址中運行AirMagnet Laptop所得到的信息一樣。

雖然從中央地址進行調(diào)查可以節(jié)省時間，但是，一些性能問題仍然需要在線調(diào)查，使用移動的無線分析儀來調(diào)查。從你所學(xué)的知識開始，將WIDS和無線分析儀結(jié)合起來可以加速調(diào)查進程。比如，NetworkChemistry公司的移動式RFprotect可以與分布式RFprotect分享信息，這樣移動式RFprotect現(xiàn)場獲得的資料可以反饋到分布式RFprotect的數(shù)據(jù)庫中，為特定的地址創(chuàng)建統(tǒng)一的“噪聲規(guī)劃”。

你的最終目標(biāo)并不是僅僅找到潛在的性能問題，而是修復(fù)它們。為此，無線入侵檢測會為某個特定的警報或者測試結(jié)果提供修復(fù)措施。比如，AirTight企業(yè)版包括了一個以知識為基礎(chǔ)的故障排除向?qū)В瑤椭鉀Q客戶端的性能問題。

性能報告

WIDS收集的信息也可以創(chuàng)建歷史數(shù)據(jù)庫，可以用于健康報告和容量規(guī)劃。WIDS的性能報告包含了帶有性能警報的前10個接入點、過去制定的活躍站點的數(shù)量、頻譜的使用情況和性能總結(jié)、以及性能報告在類型、地址、及設(shè)備方面的趨勢。

舉例來說，前10份報告可能會請你注意陷入困境的接入點。檢查同一位置其它接入點的警報可能有助于區(qū)分這個位置中單個失效的設(shè)備和影響到每個接入點的環(huán)境條件。另一方面，對跨多個站點的類似接入點進行比較，可以發(fā)現(xiàn)由特定產(chǎn)品、固件版本、或者配置選項導(dǎo)致的性能問題。

結(jié)論

WIDS設(shè)計主要用于監(jiān)測，并且對監(jiān)測到的事件做出響應(yīng)。當(dāng)談到性能管理時，雖然，無線入侵檢測不能夠取代便捷的無線流量分析儀，但是WIDS可以補充移動分析儀的不足，它對性能問題提供了更廣泛的狀況，突出重點。那些負責(zé)大型企業(yè)的WLAN工作者更喜歡分布式網(wǎng)絡(luò)流量分析平臺，比如WildPackets

現(xiàn)在隨著黑客技術(shù)的提高，無線局域網(wǎng)（WLANs）受到越來越多的威脅。配置無線基站（WAPs）的失誤導(dǎo)致會話劫持以及拒絕服務(wù)攻擊（DoS）都象瘟疫一般影響著無線局域網(wǎng)的安全。無線網(wǎng)絡(luò)不但因為基于傳統(tǒng)有線網(wǎng)絡(luò)TCP/IP架構(gòu)而受到攻擊，還有可能受到基于國際電氣和電子工程師協(xié)會 （IEEE） 發(fā)行802.11標(biāo)準(zhǔn)本身的安全問題而受到威脅。為了更好的檢測和防御這些潛在的威脅，無線局域網(wǎng)也使用了一種入侵檢測系統(tǒng)（IDS）來解決這個問題。以至于沒有配置入侵檢測系統(tǒng)的組織機構(gòu)也開始考慮配置IDS的解決方案。本文將為你講述，為什么需要無線入侵檢測系統(tǒng)，無線入侵檢測系統(tǒng)的優(yōu)缺點等問題。