金雙齊　凌　捷

(廣東工業(yè)大學(xué)計(jì)算機(jī)學(xué)院　廣東 廣州 510006)

?

無(wú)線網(wǎng)絡(luò)釣魚(yú)AP攻擊檢測(cè)技術(shù)研究

金雙齊凌捷

(廣東工業(yè)大學(xué)計(jì)算機(jī)學(xué)院廣東 廣州 510006)

隨著無(wú)線局域網(wǎng)應(yīng)用的普及，針對(duì)無(wú)線網(wǎng)絡(luò)的攻擊方式也逐漸增多。無(wú)線釣魚(yú)AP攻擊通過(guò)被動(dòng)或主動(dòng)方式誘使用戶連接釣魚(yú)AP，進(jìn)而獲取用戶的敏感信息，是當(dāng)前被濫用的攻擊方式之一。針對(duì)這種情況，提出一種改進(jìn)的釣魚(yú)AP攻擊檢測(cè)方法，通過(guò)利用TTL值的遞減變化，以及綜合分析網(wǎng)關(guān)與路由信息，實(shí)現(xiàn)對(duì)AP的合法性檢測(cè)。實(shí)驗(yàn)結(jié)果表明，該方法能夠有效地檢測(cè)無(wú)線釣魚(yú)AP和無(wú)線中間人等攻擊。

釣魚(yú)AP攻擊WLANWifi

0　引　言

無(wú)線局域網(wǎng)WLAN技術(shù)因其安裝靈活性和移動(dòng)性、易于擴(kuò)展等特點(diǎn)而得到快速的發(fā)展。隨著3G/4G技術(shù)的成熟及普及，基于802.11標(biāo)準(zhǔn)的Wifi無(wú)線網(wǎng)絡(luò)在帶寬、覆蓋范圍上得到迅速提升，已可承載無(wú)線校園、無(wú)線醫(yī)療、無(wú)線城市、無(wú)線定位、車載無(wú)線等豐富的無(wú)線應(yīng)用，逐漸成為市場(chǎng)應(yīng)用的主流。

無(wú)線Wifi為人們工作生活帶來(lái)便利的同時(shí)，也存在多種網(wǎng)絡(luò)攻擊，具有很大的安全隱患。無(wú)線Wifi在通信工作站之間是以電磁波的形式進(jìn)行傳輸?shù)?，在兩個(gè)工作站之間的任何接收設(shè)備都可以接收到無(wú)線局域網(wǎng)傳播的數(shù)據(jù)，惡意用戶可以篡改接收到的數(shù)據(jù)或進(jìn)行其他惡意操作[1]。在各種無(wú)線攻擊中，無(wú)線釣魚(yú)AP攻擊是危害最嚴(yán)重的攻擊方式之一。攻擊者在公共場(chǎng)所搭建的一個(gè)偽裝的無(wú)線AP，具有與真實(shí)AP完全相同的服務(wù)集標(biāo)識(shí)符SSID、MAC地址、加密方式等設(shè)置信息，誘使受害者連接到假冒的AP，進(jìn)一步獲取用戶的帳號(hào)密碼等敏感信息[2-4]。國(guó)外有些學(xué)者也稱之為“Evil Twin AP(邪惡雙胞胎AP)”或者“RogueAP(流氓AP)”。傳統(tǒng)的釣魚(yú)AP檢測(cè)技術(shù)，主要是在服務(wù)端依據(jù)無(wú)線嗅探器監(jiān)測(cè)無(wú)線網(wǎng)絡(luò)來(lái)檢測(cè)可疑AP。這種嗅探器是通過(guò)在2.4 GHz和5 GHz頻譜上掃描未經(jīng)授權(quán)的網(wǎng)絡(luò)流量，嗅探出非法的網(wǎng)絡(luò)流量。一些商業(yè)化的檢測(cè)產(chǎn)品主要就使用了這項(xiàng)技術(shù)，如啟明星辰的天清無(wú)線安全引擎、Motorola公司的AirDefense產(chǎn)品。還有一些產(chǎn)品，使用特征指紋來(lái)區(qū)分合法AP與釣魚(yú)AP，這些特征主要包括：MAC地址、供應(yīng)商名稱、信號(hào)強(qiáng)度、射頻測(cè)量和SSID等。其他的一些替代方法還包括收集RSSI值、無(wú)線電頻率的變化和時(shí)鐘偏差作為特征指紋來(lái)識(shí)別無(wú)線釣魚(yú)AP[5]。

啟明星辰公司的無(wú)線安全引擎能夠通過(guò)安全策略阻斷無(wú)線釣魚(yú)AP及非法終端，Motorola公司的AirDefense檢測(cè)方案通過(guò)部署多個(gè)傳感器實(shí)現(xiàn)全天候、全方位的無(wú)線局域網(wǎng)AP檢測(cè)。然而，這些部署方案的代價(jià)是十分昂貴的，且這些方案一般不容易擴(kuò)展，因此它涉及到大量基礎(chǔ)設(shè)施的改建和大型網(wǎng)絡(luò)改建。部署無(wú)線嗅探器要充分覆蓋大型網(wǎng)絡(luò)，成本昂貴，對(duì)于普通客戶是不現(xiàn)實(shí)的。

本文通過(guò)對(duì)釣魚(yú)AP的特征進(jìn)行分析，并和傳統(tǒng)的服務(wù)端檢測(cè)釣魚(yú)AP攻擊的方法進(jìn)行比較，深入研究無(wú)線局域網(wǎng)IEEE802.11系列協(xié)議，提出一種改進(jìn)了的利用TTL值遞減的變化，在客戶端檢測(cè)釣魚(yú)AP的方法，設(shè)計(jì)并實(shí)現(xiàn)了對(duì)被動(dòng)釣魚(yú)攻擊和中間人攻擊的實(shí)驗(yàn)檢驗(yàn)。實(shí)驗(yàn)結(jié)果表明，該方法能夠有效地檢測(cè)無(wú)線釣魚(yú)AP和無(wú)線中間人等攻擊。

1　釣魚(yú)AP攻擊原理分析

攻擊者可以很容易地搭建一個(gè)釣魚(yú)AP。首先，通過(guò)一些分析軟件為筆記本電腦進(jìn)行簡(jiǎn)單的配置，搭建一個(gè)無(wú)線AP。然后，攻擊者通過(guò)配置與合法AP相同的SSID、MAC地址、信道及加密方式。最后，等待或誘使合法用戶連接釣魚(yú)AP。根據(jù)IEEE802.11協(xié)議標(biāo)準(zhǔn)，通常無(wú)線釣魚(yú)AP越靠近用戶越容易成功，當(dāng)周圍出現(xiàn)多個(gè)配置相同的AP時(shí)，無(wú)線客戶端會(huì)根據(jù)無(wú)線網(wǎng)卡選擇信號(hào)最強(qiáng)的那個(gè)AP進(jìn)行連接[6]。因此，攻擊者只要具備配置與合法AP相同信息并提高信號(hào)強(qiáng)度或距離受害者越近就越容易達(dá)到攻擊效果。

攻擊者通常會(huì)在靠近商場(chǎng)、賓館、咖啡廳或者圖書(shū)館等地方搭建釣魚(yú)AP。通過(guò)釣魚(yú)AP，攻擊者可以通過(guò)發(fā)動(dòng)中間人攻擊截獲用戶的敏感信息，如帳號(hào)、密碼等，也可以通過(guò)操作DNS服務(wù)器，控制路由，發(fā)起更多的服務(wù)器釣魚(yú)攻擊?？傊?，無(wú)線釣魚(yú)AP嚴(yán)重危害了無(wú)線局域網(wǎng)的安全。

無(wú)線釣魚(yú)AP攻擊的基本步驟是：首先，攻擊者挑選信號(hào)發(fā)射功率較大的AP；其次，攻擊者獲取合法AP的SSID名稱、無(wú)線頻道、無(wú)線加密方式等配置信息。最后，攻擊者部署好AP等待用戶連接，或者攻擊者主動(dòng)發(fā)送欺騙報(bào)文給AP，強(qiáng)制用戶斷開(kāi)與合法授權(quán)AP的連接。無(wú)線釣魚(yú)AP的攻擊場(chǎng)景如圖1所示。

圖1　合法場(chǎng)景和無(wú)線釣魚(yú)場(chǎng)景

目前，釣魚(yú)AP攻擊主要有兩種類型[7]：第一種類型是使用典型的無(wú)線路由器作為無(wú)線釣魚(yú)AP，或者通過(guò)刷新無(wú)線路由器Firmware類建立釣魚(yú)專用AP。常見(jiàn)的第三方開(kāi)源Firmware有DD-WRT和Open-WRT。第二種類型是在一臺(tái)便攜式筆記本配置兩塊無(wú)線網(wǎng)卡，一塊是用來(lái)連接真實(shí)的AP，以便數(shù)據(jù)轉(zhuǎn)發(fā)回互聯(lián)網(wǎng)；另一塊網(wǎng)卡使用AP模式，配置成一個(gè)可提供無(wú)線接入的AP。其中比較著名的無(wú)線釣魚(yú)軟件就是AirSnarf(http://airsnarf.shmoo.com/)。AirSnarf是一個(gè)簡(jiǎn)單的惡意無(wú)線接入點(diǎn)設(shè)置使用程序，旨在展示一個(gè)無(wú)線釣魚(yú)AP如何從公共無(wú)線熱點(diǎn)竊取用戶名和密碼。AirSnarf是一臺(tái)跨平臺(tái)的軟件，目前已經(jīng)支持Windows XP、Linux操作系統(tǒng)，甚至可以作為固件刷入Linksys WRT54G系列的無(wú)線路由器中。同時(shí)AirSnarf還需要其他自動(dòng)化應(yīng)答工具輔助形成完整的無(wú)線釣魚(yú)AP，如DNS域名解析服務(wù)、Web應(yīng)用服務(wù)、動(dòng)態(tài)網(wǎng)站環(huán)境等。

2　釣魚(yú)AP攻擊檢測(cè)技術(shù)現(xiàn)狀

文獻(xiàn)[8]中使用了MAC地址區(qū)分的方法。在各類無(wú)線局域網(wǎng)中，MAC地址區(qū)分用于不同的網(wǎng)絡(luò)設(shè)備。在無(wú)線AP發(fā)送給工作站的數(shù)據(jù)幀中同樣包含AP自身的MAC地址信息和接收方的MAC地址。無(wú)線局域網(wǎng)中的網(wǎng)絡(luò)設(shè)備MAC地址由48位比特位構(gòu)成，分成兩部分：前24位由IEEE統(tǒng)一分配，為廠商地址；后24位由廠商為設(shè)備分配。通過(guò)不同的MAC地址可以區(qū)分不同的網(wǎng)絡(luò)設(shè)備。而開(kāi)放的ESSID認(rèn)證的AP會(huì)廣播含有自身MAC地址信息的Beacon幀，處在AP廣播范圍內(nèi)的工作站均可以接收到這類幀，因此攻擊者同樣可以獲取合法AP的MAC地址信息，并將這些獲取的MAC復(fù)制到非法AP的數(shù)據(jù)幀中。由于MAC地址可以輕易地被攻擊者改變，因此使用MAC地址檢測(cè)，存在很大的弊端。

Bratus在文獻(xiàn)[9]中提出了一種主動(dòng)式基于指紋的檢測(cè)方法。這種方法是通過(guò)發(fā)送一些特定的錯(cuò)誤格式的數(shù)據(jù)幀來(lái)刺激無(wú)線AP，通過(guò)檢測(cè)無(wú)線AP的不同行為特征來(lái)獲取針對(duì)無(wú)線AP網(wǎng)卡芯片或無(wú)線網(wǎng)卡驅(qū)動(dòng)等這些特征指紋信息來(lái)區(qū)別無(wú)線釣魚(yú)AP與合法授權(quán)AP。這種方法以較低的成本為部署主動(dòng)式的無(wú)線端檢測(cè)方法提供了一種思路，即通過(guò)修改數(shù)據(jù)鏈路層的數(shù)據(jù)幀(MAC幀)并使得某些數(shù)據(jù)幀位不符合802.11標(biāo)準(zhǔn)協(xié)議中所規(guī)定的數(shù)據(jù)幀位[10]，但又不是明確禁止的。因此如果在標(biāo)準(zhǔn)協(xié)議中明確禁止情況下，該數(shù)據(jù)幀可能會(huì)被AP丟棄，比如在MAC管理幀幀頭的幀控制域中，其中FromDS字段和ToDS 字段按照協(xié)議要求應(yīng)該置為“0”，將這兩個(gè)比特設(shè)置“1”即可以制造出具有錯(cuò)誤格式的“刺激”幀，這樣可以刺激AP，并使其做出某些特征行為的刺激響應(yīng)。不同的無(wú)線網(wǎng)卡芯片或者不同的無(wú)線網(wǎng)卡驅(qū)動(dòng)的AP表現(xiàn)出的行為特征是不一樣的。另外在文獻(xiàn)[5]中還提出了采用決策樹(shù)的結(jié)構(gòu)來(lái)實(shí)現(xiàn)自動(dòng)化的刺激響應(yīng)處理措施。這些基于AP特征指紋的檢測(cè)方法可以檢測(cè)釣魚(yú)AP，但是這些主動(dòng)的檢測(cè)方法容易被攻擊者發(fā)現(xiàn)，并且是在服務(wù)端的檢測(cè)。

Kim等在文獻(xiàn)[11]中討論了IEEE802.11協(xié)議中有關(guān)隱藏標(biāo)識(shí)符的影響，突出強(qiáng)調(diào)了IEEE802.11協(xié)議中的一些獨(dú)一無(wú)二的標(biāo)識(shí)符，使得用戶不是匿名的，允許用戶追蹤。即使相關(guān)的標(biāo)識(shí)符被刻意掩蓋，也可以通過(guò)檢測(cè)一系列802.11協(xié)議中的參數(shù)信息來(lái)追蹤到用戶。文中確定了4種相關(guān)的網(wǎng)絡(luò)參數(shù)：在802.11協(xié)議探測(cè)幀中的網(wǎng)絡(luò)目的地址網(wǎng)絡(luò)名稱(SSID)、802.11協(xié)議中配置選項(xiàng)和廣播幀的大小。在加密流量的情況下，四分之三的參數(shù)信息仍可被獲取到。但是在這種指紋識(shí)別技術(shù)中需要每個(gè)用戶端至少持續(xù)一個(gè)小時(shí)的流量樣本監(jiān)控，監(jiān)控時(shí)間長(zhǎng)并且監(jiān)控成本高。

3　改進(jìn)的釣魚(yú)AP檢測(cè)方法

TTL生存時(shí)間字段中設(shè)置了IP數(shù)據(jù)報(bào)能夠經(jīng)過(guò)的最大路由器數(shù)。TTL字段由發(fā)送端初始設(shè)置，在每個(gè)處理該數(shù)據(jù)報(bào)的路由器需要將其TTL值減1，當(dāng)路由器收到一個(gè)TTL值為0的數(shù)據(jù)包時(shí)，路由器就會(huì)將其丟棄。TTL字段的目的是防止數(shù)據(jù)報(bào)在選路時(shí)無(wú)休止地在網(wǎng)絡(luò)中流動(dòng)。當(dāng)路由器癱瘓或者兩個(gè)路由器之間的連接丟失時(shí)，可能會(huì)造成路由器環(huán)路，而路由器可能會(huì)根據(jù)其路由表將該數(shù)據(jù)包一直循環(huán)轉(zhuǎn)發(fā)下去。在這種情況下，就需要一種機(jī)制來(lái)給這些循環(huán)傳遞的數(shù)據(jù)報(bào)加上一個(gè)生存上限，TTL字段正是實(shí)現(xiàn)這種機(jī)制的手段。TTL字段在IP頭部的位置如圖2所示。

4位版本4位首部8位服務(wù)類型16位總長(zhǎng)度(字節(jié)數(shù))16位標(biāo)識(shí)3位標(biāo)志13位片偏移8位生存時(shí)間(TTL)8位協(xié)議16位首部檢驗(yàn)和32位源IP地址32位目的IP地址選項(xiàng)(如果有)數(shù)據(jù)

圖2TTL字段在IP報(bào)頭的位置

根據(jù)TTL值遞減的變化，本文提出了一種改進(jìn)的檢測(cè)方法，用于檢測(cè)MITM攻擊的場(chǎng)景或雙胞胎AP的場(chǎng)景。由于所有的釣魚(yú)AP接入點(diǎn)并不會(huì)表現(xiàn)出相同的方式，因此這種方法能夠在不同的場(chǎng)景中，檢測(cè)出釣魚(yú)AP的攻擊。如圖3所示，根據(jù)收集到的信息，有三種存在的狀態(tài)：一種是MITM攻擊的場(chǎng)景，另一種是雙胞胎釣魚(yú)AP欺騙場(chǎng)景，最后一種就是安全的網(wǎng)絡(luò)環(huán)境。

圖3　釣魚(yú)AP檢測(cè)流程圖

如圖3所示，在Wifi廣播的環(huán)境中，我們收到兩個(gè)相同SSID、MAC和IP地址和包路徑完全相同點(diǎn)的兩個(gè)接入點(diǎn)AP。根據(jù)IEEE802.11網(wǎng)絡(luò)層協(xié)議，在同一個(gè)網(wǎng)絡(luò)中，不能同時(shí)出現(xiàn)兩個(gè)相同的IP地址。如果發(fā)生了這種情況，會(huì)造成IP地址的沖突，客戶端設(shè)備會(huì)停止工作。因此，在圖中，這種情況會(huì)顯示為“N/A”。

唯一出現(xiàn)的一種情況是，有相同的IP地址與不同的包路徑情況，這種情況是IP欺騙的結(jié)果。出現(xiàn)這種情況，只能是雙胞胎釣魚(yú)AP攻擊的場(chǎng)景，就會(huì)警告用戶，慎重上網(wǎng)。

首先掃描當(dāng)前網(wǎng)絡(luò)環(huán)境，當(dāng)發(fā)現(xiàn)有相同的SSID和MAC地址的兩個(gè)AP的時(shí)候，連接AP，并比較兩個(gè)AP的IP地址。如果發(fā)現(xiàn)有不同的IP地址，這種情況下，為了做出下一步的決策，需要比較網(wǎng)絡(luò)ID。如果網(wǎng)絡(luò)ID相同，表明兩個(gè)AP是在相同的網(wǎng)絡(luò)環(huán)境下，出現(xiàn)這種情況是網(wǎng)絡(luò)負(fù)載均衡的結(jié)果。網(wǎng)絡(luò)管理員可以使用兩個(gè)接入點(diǎn)AP(相同的網(wǎng)絡(luò)ID)，讓網(wǎng)絡(luò)實(shí)現(xiàn)負(fù)載均衡，所以是一種安全的連接。這種情況下，綠燈亮起，提示用戶可以安全接入當(dāng)前網(wǎng)絡(luò)。

第二種情況是，不同的IP地址和不同的網(wǎng)絡(luò)ID。這種情況下，該檢測(cè)算法會(huì)執(zhí)行跟蹤路由訪問(wèn)點(diǎn)并比較訪問(wèn)點(diǎn)是否相同。通過(guò)traceroute命令，查看返回的路由器跳數(shù)，如果跳數(shù)結(jié)果不同，則紅燈亮起，證明存在中間人攻擊，提示用戶接入了不安全的訪問(wèn)點(diǎn)AP。因?yàn)檫@種情況下，是攻擊者截取了一個(gè)AP，并廣播SSID，黑客通過(guò)設(shè)置相同的SSID名字，誘使用戶連接到釣魚(yú)AP接入點(diǎn)。攻擊者在合法AP和客戶端之間，嗅探網(wǎng)絡(luò)流量，截取用戶的通信信息。

第三種情況是，不同的IP地址和不同的網(wǎng)絡(luò)ID。在這種情況下，執(zhí)行traceroute命令，查看路由器跳數(shù)，發(fā)現(xiàn)并沒(méi)有新增額外的跳數(shù)，執(zhí)行了不同的trace路線，確定到達(dá)了相同的目的地，這種情況是攻擊者設(shè)置了和合法AP相同的SSID、IP和MAC地址，誘使用戶連接釣魚(yú)AP。這種情況下，黃色燈亮起，用于警告用戶連接此網(wǎng)絡(luò)是不安全的。

4　實(shí)驗(yàn)與結(jié)果分析

4.1實(shí)驗(yàn)設(shè)計(jì)

圖4　無(wú)線網(wǎng)絡(luò)攻擊

實(shí)驗(yàn)?zāi)M了無(wú)線釣魚(yú)環(huán)境，圖4顯示了實(shí)驗(yàn)中的無(wú)線網(wǎng)絡(luò)場(chǎng)景，其中包含真實(shí)的無(wú)線AP和偽裝的釣魚(yú)AP，真實(shí)AP與路由器的連接帶寬是100 Mbps，AP的傳輸帶寬是50 Mbps，偽裝的釣魚(yú)AP使用筆記本網(wǎng)卡發(fā)射的無(wú)線網(wǎng)作為接入口。為了更好地評(píng)估實(shí)驗(yàn)效果，在真實(shí)的環(huán)境中，我們選擇了與客戶端不同距離的四個(gè)點(diǎn)A、B、C、D做測(cè)試，分別代表RSSI的四個(gè)測(cè)試范圍：A、B、C、D，如表1所示。

表1　RSSI等級(jí)范圍描述

在實(shí)驗(yàn)環(huán)境中，利用Android智能手機(jī)連接無(wú)線Wifi，增加了主動(dòng)釣魚(yú)攻擊的方便性。攻擊者使用DoS攻擊方式強(qiáng)制使受害者斷網(wǎng)，并連接到攻擊者搭建的釣魚(yú)AP，使用筆記本電腦的無(wú)線網(wǎng)卡截取用戶的數(shù)據(jù)報(bào)文并轉(zhuǎn)發(fā)數(shù)據(jù)。

4.2實(shí)驗(yàn)結(jié)果與分析

利用中間人攻擊或者雙胞胎AP攻擊，當(dāng)強(qiáng)制受害者轉(zhuǎn)到釣魚(yú)AP上后，釣魚(yú)AP可以將受害者的敏感信息截獲，顯示在攻擊者的個(gè)人屏幕上。本次實(shí)驗(yàn)，通過(guò)比較兩個(gè)AP的SSID、MAC地址、IP地址信息，然后traceroute 固定的IP地址或網(wǎng)址，通過(guò)返回的跳的信息，最后報(bào)警給連接AP的用戶。在本次實(shí)驗(yàn)中，我們選擇了四個(gè)不同的RSSI范圍和兩種IEEE協(xié)議802.11b和802.11g評(píng)估方法的有效性。如表2和表3中所示，能夠清晰地驗(yàn)證本文算法的有效性。此外，我們可以發(fā)現(xiàn)，802.11g的結(jié)果優(yōu)于802.11b。

表2　實(shí)驗(yàn)方法的檢測(cè)率

性能分析主要從檢測(cè)效果、時(shí)間、成本三個(gè)方面進(jìn)行比較。在檢測(cè)效果方面，文獻(xiàn)[8]有明顯的不足，MAC地址易被攻擊者獲取并復(fù)制，存在很大的弊端。在實(shí)時(shí)性方面，文獻(xiàn)[9]需要建立大量的指紋庫(kù)；文獻(xiàn)[11]需要持續(xù)一個(gè)多小時(shí)的流量分析，實(shí)時(shí)性不夠好，檢測(cè)時(shí)間長(zhǎng)。本文利用TTL值比較，不易被篡改，實(shí)時(shí)性也能保證，在檢測(cè)效果、時(shí)間與成本上面有較大的提高。

下面是本實(shí)驗(yàn)方法與文獻(xiàn)[8，9，11]進(jìn)行比較分析。比較結(jié)果見(jiàn)表3所示。

表3　實(shí)驗(yàn)性能分析

5　結(jié)　語(yǔ)

本文分析了無(wú)線局域網(wǎng)中釣魚(yú)AP攻擊原理，提出了一種改進(jìn)的釣魚(yú)AP攻擊檢測(cè)方法，并分析了檢測(cè)釣魚(yú)Wifi的條件。該檢測(cè)方法基于無(wú)線端檢測(cè)。通過(guò)利用TTL值的遞減變化，以及綜合分析網(wǎng)關(guān)與路由信息，實(shí)現(xiàn)對(duì)AP的合法性檢測(cè)。實(shí)驗(yàn)結(jié)果驗(yàn)證了這種檢測(cè)方法的有效性。

本文提出的這種改進(jìn)的釣魚(yú)AP檢測(cè)方法，用于檢測(cè)基于MITM攻擊的釣魚(yú)和雙胞胎AP的釣魚(yú)場(chǎng)景。根據(jù)不同的檢測(cè)結(jié)果顯示燈的顏色，提醒接入無(wú)線網(wǎng)絡(luò)的用戶。針對(duì)文中檢測(cè)方法，并不是在有線端，不需要大量的運(yùn)行設(shè)備，方便了普通客戶的檢測(cè)。在今后的工作中，將進(jìn)一步研究較為通用的檢測(cè)方法，探討無(wú)線網(wǎng)絡(luò)的攻擊方式及可以利用的漏洞，針對(duì)無(wú)線網(wǎng)絡(luò)中各種漏洞進(jìn)行分析，提出相應(yīng)的防范措施。

[1] 齊惠英.基于EAP-TLS的WLAN安全認(rèn)證[J].科技通報(bào),2012,28(10):25-27.

[2] Song Y M,Yang C,Gu G F.Who Is Peeping at Your Passwords at Starbucks? - To Catch an Evil Twin Access Point[C]// Dependable Systems and Networks,IEEE/IFIP International Conference on.IEEE,2010:323-332.

[3] Han H,Xu F Y,Tan C C,et al.Defending against vehicular rogue APs[C]// INFOCOM,2011 Proceedings IEEE.IEEE,2011:1665-1673.

[4] Han H,Sheng B,Tan C C,et al.A Timing-Based Scheme for Rogue AP Detection[J].IEEE Transactions on Parallel and Distributed Systems ,2011,22(11):1912-1925.

[5] Han H,Xu F Y,Tan C C,et al.Defending against vehicular rogue APs[C]// INFOCOM,2011 Proceedings IEEE.IEEE,2011:1665-1673.

[6] 陳偉,顧楊,于樂(lè).高隱蔽性的無(wú)線網(wǎng)絡(luò)主動(dòng)釣魚(yú)攻擊及其防范研究[J].武漢大學(xué)學(xué)報(bào):理學(xué)版,2013,59(2):171-177.

[7] 陳偉,顧楊,李晨陽(yáng),等.無(wú)線釣魚(yú)接入點(diǎn)攻擊與檢測(cè)技術(shù)研究綜述[J].武漢大學(xué)學(xué)報(bào):理學(xué)版,2014,60(1):13-23.

[8] 朱建明，馬建峰.無(wú)線局域網(wǎng)安全：方法與技術(shù)[M].2版.北京：機(jī)械工業(yè)出版社，2009.

[9] Bratus S,Cornelius C,Kotz D,et al.Active behavioral fingerprinting of wireless devices[C]//Proceedings of the First ACM Conference on Wireless Network Security,2008:56-61.

[10] 蔣華,阮玲玲,王鑫.基于SHA-256消息認(rèn)證的四次握手協(xié)議研究[J].微電子學(xué)與計(jì)算機(jī),2014(8):155-158.

[11] Kim I,Seo J,Shon T,et al.A novel approach to detection of mobile rogue access points[J].Security and Communication Networks,2014,7(10):1510-1516.

RESEARCH ON DETECTION TECHNOLOGY OF FISHING AP ATTACK IN WIRELESS NETWORK

Jin ShuangqiLing Jie

(FacultyofComputer,GuangdongUniversityofTechnology,Guangzhou510006,Guangdong,China)

With the popularisation of WLAN,the attacks against wireless network are increasingly growing.Wireless fishing AP attack,through passive or active way,induces users to connect fishing AP,and then catches users’ sensitive information,it is currently one of the abused attack modes.In light of this,we proposed an improved fishing AP attack detection method,by using diminishing variation of TTL value as well as comprehensively analysing the gateway and routing information,it realises validity detection on AP.Experimental results showed that this method can effectively detect the attacks including wireless fishing AP and wireless man-in-the-middle.

Fishing AP attackWLANWiFi

2015-06-02。廣東省自然科學(xué)基金項(xiàng)目(S2012020011 071);廣東省科技計(jì)劃項(xiàng)目(2013B040401017，2014A010103029);廣州市科技計(jì)劃項(xiàng)目(2014J4100201)。金雙齊，碩士生，主研領(lǐng)域：信息安全技術(shù)。凌捷，教授。

TP309

A

10.3969/j.issn.1000-386x.2016.10.068