发现恶意接入点的一般方法：

• 企业 wi-fi 接入点不仅花费一些时间为客户服务，而且还在各种渠道上侦听其他 wi-fi 流量。（这最适用于通道较少的 2.4Ghz 频段。幸运的是，这也是大多数普通的非目标攻击会发生的地方。您也可以使用专用传感器而不是 AP。您还可以将双射频接入点的一个射频配置为全时传感器射频。）
  • 该信息通常通过某种机制（snmp 陷阱、snmp 轮询、专有通知协议等）报告给集中式系统（控制器、控制器管理软件等）。如果您真的愿意，您可能可以自己编写一个集中式系统，尽管在实践中使用无线设备的 SNMP 的第三方接口可能会有点失败，而且数据不能以任何标准化格式提供。还有与专利相关的含义，例如我碰巧知道的这个。
  • 中央系统将执行检查以查看该 BSSID 是否属于属于您组织网络的已知有效接入点。
  • 中央系统将分析报告的流氓行为以确保安全。（例如，在开放网络上广播 MyCorp SSID 的恶意接入点对 MyCorp 员工构成威胁，但广播不同 SSID 的东西，例如 PANERA 或 NEIGHBORCORP-GUEST，或点对点 wifi 连接，可能不是威胁。）
• 数据包路径中的设备（例如 wi-fi 控制器）可以尝试查看它们是否在无线网络上看到了 MAC 地址，该 MAC 地址也以意想不到的方式出现在有线网络上。如果是这样，则表明有线网络已连接到大气，并且您知道它连接到哪个控制器端口。
• 可以在组织的网络上运行主动扫描，请求端口 80 或 443 上的网页，和/或运行诸如 之类的工具nmap来寻找常见消费级网络设备的指标（例如 Linksys 登录页面）。
• 可以轮询有线基础设施（交换机、路由器）以获取包含 MAC 地址的网桥转发表。可以分析这些 MAC 地址以查看它们是否属于无线网络设备（例如 Linksys）制造商的 OUI。
• 您可以在组织的笔记本电脑或其他计算机上安装软件，这些软件会报告接入点将检测到的许多相同类型的信息（SSID/BSSID 列表等），并将这些信息报告给上述集中式系统，或者报告什么 SSID电脑实际上是连接的。这有助于判断笔记本电脑是否在家里的办公室中，或者您可能会看到许多其他接入点。

可以对这些设备采取的措施包括：

• 关闭交换机的网络端口（如果攻击者在您的网络上）
• 伪造 802.11 数据包以解除客户端与该接入点的关联，特别是对于您的系统识别为属于您的组织的无线客户端（通常称为“流氓遏制”之类的东西）
• 使用网络可视化工具，该工具可以根据信号强度（由您的接入点报告）和您的 wifi 网络布局来确定恶意接入点的位置，然后步行到该位置并亲自找到它
  • 或使用其他信号检测工具来追踪它

排名前 3 位的企业无线供应商（思科、Aruba、摩托罗拉）都将提供具有部分或全部这些功能的无线 IPS，一些较小的供应商也会这样做。这是它们比便宜的家用 Linksys wifi 路由器更贵的众多原因之一。

恶意接入点意味着它连接到您的 LAN，使用端口安全很容易检测到。

这个 WiFi 菠萝或多或少是您的网络上不存在的蜜罐。由于它不在您的网络上，因此检测它会更加困难。我想这只是在欺骗您的 SSID？

那么如何编写一个脚本来列出它可以检测到的所有接入点并对其进行计数。您还可以添加一些东西来扫描 SSID，查看他们的 MAC，看看是否有一个 SSID 包含您的 SSID 名称或类似名称（MyCompany 或 MyCompany-new），并根据您的 MAC 地址列表验证它自己的设备。我可能会补充说，欺骗 MAC 地址相当容易，计算 SSID 可能更容易。

有一些电话应用程序试图物理定位 wifi 接入点。Android 有它们，但我相信 Apple 从他们的商店中撤下了这些类型的应用程序，但它们可以在被黑市场上买到： https ://market.android.com/details?id=girsas.wifiradar&hl=en

这可能需要一些协调和缩小潜在位置的范围，但它应该提供有价值的数据来追踪这一点。

也读这个！ http://seclists.org/pen-test/2007/Nov/57

Wifi Pineapple 只是人们在这些情况下可以使用的一种设备。我不确定你有什么样的报告，但是，如果这个人使用的是便携式 Rouge-AP，他们很可能是移动的（步行、骑自行车），或者是静态的，但在你的 AP 附近（喝咖啡，或者在笔记本电脑，甚至是智能手机）...

它变得非常危险，因为在处理像 wifi 菠萝这样的便携式 rouge-AP 时，很明显，您感兴趣的人实际上是您公司中的……内部人员。

因此，您要应对这样的移动威胁，您需要获得移动性。已经有人建议下载带有 wifi 的移动智能手机的应用程序来扫描 rouge-AP SSID。即使他们欺骗了 SSID，也可以提取 MAC 地址并进行评估（这将为您提供设备来源）[可以被欺骗}。

如何：WARDRIVING/WARWALKING 您将需要一份您的无线资产当前硬件 MAC 地址的列表，并随身携带多个带有无线扫描应用程序的手机，以及一份无线 MAC 地址列表。你们几乎都可以隐身，因为没有人认为只有智能手机可以完成这种性质的事情。（实际上，即使是手表现在也可以破坏无线网络......）或者，它可以用来扫描无线信号，并且看起来完全不起眼。 http://hackaday.com/2011/12/27/rooting-a-motorola-actv-android-wristwatch/

您的可疑攻击者也试图隐瞒。这也可能只是一个受损的远程路由器，充当无线客户端网桥或 Karma rouge-AP。如果你去开战，你可以使用带有运行 InSSIDer 的 Windows 的笔记本电脑（建议多人使用笔记本电脑）。抓起MAC列表，出去扫描。将您的 MAC 地址列表放在记事本中，并根据您发现的 AP 进行检查。这里：www.metageek.net/products/inssider/

另一种选择是强制无线频谱执行您的竞标（以合法方式）战术取消身份验证攻击是保护无线免受这些威胁的下一波浪潮，但它仍在出现...... 这里

我只能告诉你，我有一个 wifi 菠萝，你现在只需点击几下就可以做的事情太疯狂了……你需要尽快阻止这种威胁，否则可能为时已晚，你的公司网络陷入困境-火。具有无线功能的手机现在也是一种威胁......您的普通智能手机也可以成为一个 rouge-AP，嗅探流量，剥离 SSL......

这里

将来，我建议您的公司研究当今市售的无线 IDS/IPS 系统。有些人，甚至拥有我上面所说的所有防御技巧。;-) 祝你好运！欢迎联系我，我可以帮忙！！！;-)