山西信息規(guī)劃設(shè)計(jì)院有限公司 劉 智

隨著信息化時(shí)代的到來(lái)，無(wú)線接入技術(shù)也隨之逐漸改變著人們的工作以及日常生活。但是任何一樣?xùn)|西都具有兩面性，無(wú)線接入技術(shù)也是如此。隨著無(wú)線接入技術(shù)的大眾化，其在給民眾帶來(lái)了便利的同時(shí)也帶來(lái)了巨大的安全隱患，這些安全隱患將會(huì)給人們?cè)斐煞浅?yán)重的損失。雖然現(xiàn)如今無(wú)線接入技術(shù)的安全性越來(lái)越被人們所重視，公共WiFi熱點(diǎn)在給民眾帶來(lái)便利的同時(shí)也提高了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，這主要有兩方面的原因。一點(diǎn)是無(wú)線信號(hào)具有的輻射性以及空間信道的開(kāi)發(fā)性，這就導(dǎo)致了如果用戶(hù)接入未經(jīng)過(guò)加密的WiFi就會(huì)非常容易被竊聽(tīng)和被攻擊，網(wǎng)絡(luò)攻擊者使用無(wú)線探測(cè)工具可以實(shí)現(xiàn)對(duì)無(wú)線接入之中傳輸?shù)臄?shù)據(jù)的截取操作；第二點(diǎn)就是在公眾環(huán)境之下的無(wú)線熱點(diǎn)之中存在著安全隱患，比如說(shuō)在公眾環(huán)境下的無(wú)線路由器被外界攻破，這時(shí)民眾接入這一無(wú)線路由器那么將會(huì)面臨自身信息被泄露的安全隱患。因此，人們?cè)诠姯h(huán)境之下無(wú)線接入技術(shù)進(jìn)行各項(xiàng)活動(dòng)的過(guò)程當(dāng)中要想有效保證自身行為的安全性以及可靠性，就必須要對(duì)公眾環(huán)境下的無(wú)線接入之中存在的安全問(wèn)題進(jìn)行了解掌握，借此有效提高自身安全意識(shí)，才能有針對(duì)性進(jìn)行有效防范。

1.安全隱患

現(xiàn)如今我國(guó)互聯(lián)網(wǎng)之中的基礎(chǔ)是TCP/IP協(xié)議，但是在該協(xié)議之中對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)的安全性并沒(méi)有給予足夠的重視，此外由于該協(xié)議是開(kāi)放性的，因此，計(jì)算機(jī)網(wǎng)絡(luò)攻擊者很容易就可以找出其中存在的漏洞從而對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行攻擊。在互聯(lián)網(wǎng)之中直接采用明文傳輸?shù)臋C(jī)制，網(wǎng)絡(luò)之中的任何一個(gè)中繼傳輸節(jié)點(diǎn)以及傳輸鏈路之中都存在這嚴(yán)重的安全隱患，非常因?yàn)楸还舳鴮?dǎo)致信息泄露的情況發(fā)生。

1.1 超本傳輸協(xié)議明文傳輸

在web瀏覽器和網(wǎng)站服務(wù)器之間進(jìn)行的數(shù)據(jù)傳輸工作之中主要采用的是超文本傳輸協(xié)議，其主要是采用明文方式發(fā)送信息的，因此網(wǎng)絡(luò)攻擊者一旦采取措施對(duì)超文本傳輸協(xié)議下傳輸?shù)臄?shù)據(jù)信息進(jìn)行截取，那么可以直接讀取信息內(nèi)容，因此在超文本傳輸協(xié)議之下進(jìn)行數(shù)據(jù)傳輸工作的話一定要注意不能夠傳輸重要信息。但是在當(dāng)前我國(guó)許多網(wǎng)站的設(shè)計(jì)工作之中，都沒(méi)有充分重視安全性的問(wèn)題，在電腦和服務(wù)器之間采用的數(shù)據(jù)傳輸方法主要是明文傳輸，這種數(shù)據(jù)傳輸方法存在著著無(wú)法對(duì)數(shù)據(jù)信息進(jìn)行保護(hù)的缺點(diǎn)，其內(nèi)部傳輸?shù)臄?shù)據(jù)如果沒(méi)有進(jìn)行加密的話非常容易被竊取。如果使用了公眾環(huán)境的WiFi并訪問(wèn)了這些網(wǎng)站，那么一些私密重要信息如用戶(hù)名、密碼等就非常容易被網(wǎng)絡(luò)攻擊者所竊取，給用戶(hù)造成不必要的損失。

1.2 以SSL協(xié)議為基礎(chǔ)的HTTPS加密范圍較小

SSL網(wǎng)絡(luò)安全協(xié)議主要是以公鑰密碼體制為基礎(chǔ)建立的，該協(xié)議的核心目標(biāo)就是為了保障互聯(lián)網(wǎng)數(shù)據(jù)傳輸工作的安全。在SSL網(wǎng)絡(luò)安全協(xié)議之中使用了握手、記錄以及警報(bào)三種協(xié)議來(lái)實(shí)現(xiàn)對(duì)信息的加密操作的。在SSL協(xié)議之中，每一個(gè)層次的連接和傳輸方向之上都通過(guò)采用各不相同的密鑰進(jìn)行加密操作，在客戶(hù)移動(dòng)終端與服務(wù)器之中采用數(shù)字簽名認(rèn)證的方法，有效保證了數(shù)據(jù)傳輸?shù)陌踩?。由于SSL層位于TCP/IP協(xié)議模型應(yīng)用層和網(wǎng)絡(luò)層之間。因此在SSL協(xié)議數(shù)據(jù)傳輸工作之中，應(yīng)用層的數(shù)據(jù)不是直接傳遞到傳輸層的，而是直接傳遞到SSL層之中，之后傳輸?shù)臄?shù)據(jù)信息在SSL層之中進(jìn)行加密操作，達(dá)到保護(hù)數(shù)據(jù)信息的目的。

HTTPS是一種具備著SSL安全性的協(xié)議，其主要目的就是為了保障傳輸過(guò)程中的數(shù)據(jù)信息的安全，其通過(guò)在傳輸過(guò)程當(dāng)中對(duì)信息進(jìn)行加密，也就是發(fā)送方先進(jìn)性加密操作，之后信息接收者進(jìn)行相應(yīng)的解密操作。但是因?yàn)镠TTPS協(xié)議其本身加密的范圍是有限度的，只能夠?qū)W(wǎng)頁(yè)進(jìn)行加密，這就導(dǎo)致了用戶(hù)個(gè)人信息依然存在著安全隱患[1]。

1.3 數(shù)據(jù)轉(zhuǎn)發(fā)過(guò)程當(dāng)中存在著被篡改的風(fēng)險(xiǎn)

在用戶(hù)的移動(dòng)設(shè)備連接到公眾WiFi網(wǎng)絡(luò)之后，用戶(hù)在進(jìn)行上網(wǎng)操作的過(guò)程當(dāng)中除了會(huì)暴露自身的瀏覽軌跡以及一些個(gè)人隱私信息之外，還可能會(huì)出現(xiàn)在進(jìn)行數(shù)據(jù)傳輸?shù)倪^(guò)程當(dāng)中傳輸信息被網(wǎng)絡(luò)攻擊者篡改的可能。這將會(huì)導(dǎo)致用戶(hù)在上網(wǎng)的過(guò)程當(dāng)中非常容易因?yàn)殄e(cuò)誤的信息而受到誤導(dǎo)和欺騙，最終導(dǎo)致安全隱患的出現(xiàn)。比如說(shuō)用戶(hù)在訪問(wèn)釣魚(yú)網(wǎng)站的過(guò)程當(dāng)中因?yàn)樵獾狡垓_導(dǎo)致錢(qián)財(cái)丟失等情況的發(fā)生。其中數(shù)據(jù)篡改包括但不限于篡改服務(wù)器之中的數(shù)據(jù)庫(kù)數(shù)據(jù)[2]。

1.4 社交軟件隱私泄露

首先就是QQ聊天會(huì)泄露用戶(hù)的QQ號(hào)，網(wǎng)絡(luò)攻擊人員通過(guò)使用Wireshark 軟件可以對(duì)數(shù)據(jù)包進(jìn)行截取，之后通過(guò)uin_cookie字段就可以找到用戶(hù) 的QQ號(hào)碼，如果用戶(hù)是通過(guò)電腦進(jìn)行QQ聊天的化還可以通過(guò)該軟件獲取聊天另一方的QQ號(hào)；第二點(diǎn)就是用戶(hù)在使用新浪微博的過(guò)程中會(huì)泄露UID號(hào)，通過(guò)Wireshark這一軟件可以對(duì)數(shù)據(jù)包進(jìn)行截取，之后通過(guò)uid=就可以查詢(xún)到用戶(hù)的新浪微博UID，之后網(wǎng)絡(luò)攻擊者就可以通過(guò)UID訪問(wèn)用戶(hù)的新浪微博，從而可以通過(guò)其中蘊(yùn)含的信息得出用戶(hù)的一些隱私信息如經(jīng)常出入的地點(diǎn)以及和他人的親密關(guān)系等等；第三點(diǎn)就是QQ郵箱會(huì)泄露聯(lián)系人，同樣是通過(guò)Wireshark軟件對(duì)數(shù)據(jù)包進(jìn)行截取，之后通過(guò)laddr_lastlist可以查詢(xún)用戶(hù)QQ郵箱的聯(lián)系人，其中包括了郵箱地址、姓名、拼音縮寫(xiě)等多方面的隱私信息[3]。

2.報(bào)文首部的安全隱患

傳輸單元廣泛分布在網(wǎng)絡(luò)各個(gè)層之中，在網(wǎng)絡(luò)層之中的協(xié)議數(shù)據(jù)單元又被稱(chēng)作為IP數(shù)據(jù)報(bào)，由IP首部和IP數(shù)據(jù)區(qū)兩者組合形成的，其中IP首部主要包含了源IP、目的兩個(gè)IP地址，同時(shí)還包含有協(xié)議類(lèi)型等多個(gè)方面的內(nèi)容。數(shù)據(jù)包在各個(gè)網(wǎng)絡(luò)層之間進(jìn)行轉(zhuǎn)發(fā)操作時(shí)必須要將其首部和尾部去掉。之后將其傳輸?shù)綌?shù)據(jù)鏈路層之中，這是起就成為了幀的一部分，，之后通過(guò)在幀的數(shù)據(jù)部分分別將數(shù)據(jù)包的首部和尾部再添加上去，這就形成了一個(gè)完整的幀。

用戶(hù)即將發(fā)送的數(shù)據(jù)信息一般蘊(yùn)含在數(shù)據(jù)包文之中，并且該數(shù)據(jù)信息具備著長(zhǎng)短不一樣的特點(diǎn)。除此之外數(shù)據(jù)報(bào)文在進(jìn)行傳輸?shù)倪^(guò)程當(dāng)中也會(huì)不斷向數(shù)據(jù)信息之中添加如報(bào)文頭等方面的信息內(nèi)容。而網(wǎng)絡(luò)攻擊者通過(guò)對(duì)數(shù)據(jù)包進(jìn)行截取可以獲得IP地質(zhì)、MAC地址以及協(xié)議名稱(chēng)等當(dāng)面的信息內(nèi)容，雖然傳輸數(shù)據(jù)的內(nèi)容可以進(jìn)行加密，但是其報(bào)文頭確實(shí)很定不變的，因此依然會(huì)造成信息泄露的情況發(fā)生[4]。

2.1 URL泄露信息

網(wǎng)站的URL之中包含了協(xié)議、主機(jī)名、路徑、參數(shù)等多方面的內(nèi)容。而網(wǎng)站的信息主要來(lái)源于DNS包以及HTTP包，在DNS包之中含有網(wǎng)站的域名以及IP地質(zhì)，這方面的信息就反映了該網(wǎng)站所在的地區(qū)以及所屬?lài)?guó)家。比如某一位游客訪問(wèn)了美國(guó)的新聞網(wǎng)站，通過(guò)結(jié)合域名就能夠知曉該游客來(lái)自美國(guó)，進(jìn)而推斷出該游客的國(guó)籍[5]。

在用戶(hù)的移動(dòng)終端和網(wǎng)絡(luò)服務(wù)器之間進(jìn)行工作的過(guò)程當(dāng)中，經(jīng)常會(huì)使用到GET和POST這兩種方法，其中POST方法之中查詢(xún)字符串是在HTTP的消息主體之中發(fā)送的，而GET方法之中的查詢(xún)字符串主要是通過(guò)URL進(jìn)行發(fā)送的，其發(fā)送的數(shù)據(jù)信息是屬于URL的一部分的，而URL又具備著開(kāi)放性，同時(shí)還會(huì)對(duì)數(shù)據(jù)參數(shù)進(jìn)行保存操作，因此如果用戶(hù)使用瀏覽器通過(guò)GET方法進(jìn)行數(shù)據(jù)信息傳遞的話，那么個(gè)人隱私信息就會(huì)非常容易被網(wǎng)絡(luò)攻擊者所盜取，到來(lái)嚴(yán)重的安全隱患[6]。

2.2 IP地質(zhì)泄露信息

網(wǎng)絡(luò)節(jié)點(diǎn)的唯一標(biāo)識(shí)就是互聯(lián)網(wǎng)使用的IP地質(zhì)，由于其缺乏一個(gè)完善的對(duì)IP報(bào)文之中的源IP地址的真實(shí)性認(rèn)證的機(jī)制以及保密措施。同時(shí)在各個(gè)TCP報(bào)文以及IP報(bào)文都是有控制信息和數(shù)據(jù)組成的，IP報(bào)文首部的控制信息之中包含有源主機(jī)和目的主機(jī)的IP的地址，而互聯(lián)網(wǎng)是默認(rèn)主機(jī)將自己的IP地址寫(xiě)入到報(bào)文源IP地址域之中的，但是卻又沒(méi)有一個(gè)行之有效的安全機(jī)制來(lái)進(jìn)行針對(duì)性的防范。網(wǎng)絡(luò)攻擊者可以通過(guò)偽造IP地質(zhì)并將其寫(xiě)入到報(bào)文之中的源IP地址域之中達(dá)到扮演用戶(hù)或者隱藏報(bào)文起源，形成源IP地質(zhì)欺騙的目的[7]。

用戶(hù)在使用公共WiFi網(wǎng)絡(luò)的過(guò)程當(dāng)中，使用的IP地址和WiFi路由器之間形成一個(gè)子網(wǎng)，網(wǎng)絡(luò)攻擊者通過(guò)選擇子網(wǎng)之中的某一個(gè)IP地質(zhì)來(lái)進(jìn)行數(shù)據(jù)包篩選過(guò)濾操作，借此了解到用戶(hù)使用該IP地址對(duì)應(yīng)所有傳遞信息，給用戶(hù)造成嚴(yán)重的安全隱患。

2.3 MAC地址泄露信息

MAC地址是物理地址，其主要是通過(guò)使用48位的二進(jìn)制來(lái)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行標(biāo)識(shí)的。MAC地址主要是由生產(chǎn)商的編號(hào)以及設(shè)備的編號(hào)組合而成，在MAC地址之中的前三個(gè)字節(jié)代表著生產(chǎn)商的編號(hào)，后面三個(gè)字節(jié)則是生產(chǎn)商生產(chǎn)設(shè)備的編號(hào)[8]。MAC地址是唯一且恒定不變的。如果用戶(hù)接入到一個(gè)具有安全隱患的公眾WiFi網(wǎng)絡(luò)之中，那么網(wǎng)絡(luò)攻擊者就可以通過(guò)對(duì)用戶(hù)移動(dòng)設(shè)備的MAC地址信息進(jìn)行手機(jī)來(lái)獲取用戶(hù)的個(gè)人隱私信息，從而造成嚴(yán)重的安全隱患。

3.結(jié)束語(yǔ)

隨著WiFi技術(shù)的飛速發(fā)展，其在給人們的日常生活帶來(lái)便利的同時(shí)也帶來(lái)了安全隱患，要想有效防治這些安全隱患，民眾就必須要對(duì)這些安全隱患進(jìn)行了解掌握，才能夠再次基礎(chǔ)之上采取針對(duì)性的措施進(jìn)行有效防范。

[1]李晴,葉阿勇,許力.公眾環(huán)境下無(wú)線接入的安全問(wèn)題研究[J].信息網(wǎng)絡(luò)安全,2016(04):69-75.

[2]黃小花.談?wù)劸W(wǎng)絡(luò)中的IP地址與MAC地址[J].數(shù)字技術(shù)與應(yīng)用,2015(12):41.

[3]王垚,胡銘曾,李斌等.域名系統(tǒng)安全研究綜述[J].通信學(xué)報(bào),2007,28(9):91-103.

[4]陳偉,顧楊,李晨陽(yáng)等.無(wú)線釣魚(yú)接入點(diǎn)攻擊與檢測(cè)技術(shù)研究綜述[J].武漢大學(xué)學(xué)報(bào)(理學(xué)版),2014,60(1):13-23.

[5]趙九思,劉劍.淺談基于WI-FI無(wú)線網(wǎng)絡(luò)安全[J].科技視界,2013(15):44.

[6]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)(第5版)[M].北京:電子工業(yè)出版社,2008.

[7]張蕾,鄭飛.無(wú)線局域網(wǎng)安全協(xié)議的分析和研究[J].信息網(wǎng)絡(luò)安全,2014(9):132-137.

[8]陳學(xué)敏,沙灜.基于瀏覽器測(cè)試組件的社交網(wǎng)絡(luò)數(shù)據(jù)獲取技術(shù)研究[J].信息網(wǎng)絡(luò)安全,2015(5):56-61.