WX5004 WIPS无法发现苹果手机热点问题分析

代理商工程师反馈WX5004上配置WIPS热点检测功能后，使用安卓手机开启热点测试控制器上可以正常发现，但是使用iPhone开启热点测试控制器上发现不了。

查看代理商工程师反馈的配置信息，客户现场的控制器WX5004使用的软件版本是Release 2509P44，在2.4G网络中做WIPS检测，其中几个AP使用wips detect mode detect-only，专门做检测，其他AP使用wips detect mode middle，做覆盖的同时也WIPS检查，WIPS相关配置未发现问题。

建议代理商工程师将iPhone拿到使用detect-only模式的AP下测试，同时iPhone开启热点后，不能锁屏，使用其他终端接入热点，加大热点发包量，看控制器是否可以发现热点，测试十多分钟后还是不能发现。

另外代理商工程师发现iPhone发出的热点MAC和手机上查看的“无线局域网地址”MAC地址不一样，怀疑是不是iPhone的处理机制不一样导致控制器发现不了。

查看WX5004最新版本R2509P51说明书“软件特性变更说明”中，在R2509P46中新增命令【detect admin-mac-scan enable】开启本地管理MAC过滤功能。作用是“当苹果手机作为无线客户端时，会使用本地管理MAC随机发送无线探测请求帧，从而造成游离客户端列表和探针功能检测到实际上并不存在的设备。当苹果手机作为热点时，会以本地管理MAC做为BSSID，影响苹果手机热点的检测。通过本地管理MAC过滤功能，用户可根据实际情况选择是否过滤本地管理MAC。”

在实验室中使用WX3010E的P46版本测试成功，WIPS视图下主要配置如下：

wlan ips

wips enable         //使能wips功能

detect admin-mac-scan enable         //开启本地管理MAC过滤功能，iPhone热点需要使能，普通ap或安卓不需要使能

hotspot linc          //创建需要检测的热点linc

countermeasure-policy test     //创建反制策略test，对rogue-ap类反制

     countermeasure rogue-ap

attack-detect-policy default     //默认攻击检测策略中开启对热点攻击的检测，并将其设备分类归属为Rogue

  detect hotspot-attack action classify rogue

virtual-security-domain test    //创建虚拟安全域test，绑定测试和反制AP

  attack-detect-policy default

  countermeasure-policy test

  sensor wa2610-agn

测试结果：

    总结：热点攻击检测是指终端或ap发射热点ssid，和公网wifi的ssid相同，吸引人们来连这个ssid，然后发起安全攻击，不只限于手机或电脑发射出来的热点wifi。

热点攻击检测使用方法：

1、在wips视图下创建热点列表，ssid为wireless（hotspot linc）。

2、在攻击检测策略视图（attack-detect-policy）中开启热点攻击检，并指定为rogue ap（detect hotspot-attack action classify rogue）。

3、在反制策略（countermeasure-policy）中开启对rogue ap的反制功能（countermeasure rogue-ap）。

4、最后在虚拟安全域中引用。

反制方式是终端连上后，AP仿冒iphone的BSSID去发deauth报文，让终端连不上。如果不生效，可以看看AP下的配置是否为detect-only，其他模式效果不能保证。

升级到最新P51版本，并使能detect admin-mac-scan enable后问题解决。