鄭瑞環(huán)

（四川大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，成都610065）

0 引言

在移動互聯(lián)網(wǎng)時(shí)代，無線網(wǎng)絡(luò)已經(jīng)成為人們生活中不可或缺的部分，其存在給人們帶來了諸多便利。目前，無線接入點(diǎn)（Access Point，AP）幾乎隨處可見。無論何時(shí)何地，用戶可以通過AP 連接互聯(lián)網(wǎng)以處理各種事務(wù)。然而，正是無線接入點(diǎn)的廣泛部署引起了相應(yīng)的攻擊。攻擊者通過創(chuàng)建與合法AP 相同SSID 和MAC 地址的偽AP（Rogue Access Point）進(jìn)行信息竊取。然而大多數(shù)用戶很難判斷當(dāng)前連接的AP 是否安全，所以通過搭建偽AP，攻擊者可以很簡單地達(dá)到攻擊目的。當(dāng)用戶連接上偽AP 后，其所有的網(wǎng)絡(luò)數(shù)據(jù)流量將會被暴露。攻擊者可以通過對網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行分析，得到用戶的相關(guān)密碼和隱私信息從而造成相關(guān)的損失。

1 偽AP攻擊原理與方式

基于802.11 協(xié)議的無線網(wǎng)絡(luò)是當(dāng)前的主流。根據(jù)該協(xié)議標(biāo)準(zhǔn)[1]，若環(huán)境中有多個(gè)具有同樣SSID 和MAC地址的AP，客戶端會自動連接上其中信號強(qiáng)度最高的AP?；谏鲜鲈颍粽呖梢苑浅Ｈ菀椎卮罱▊蜛P，其僅需要設(shè)立一個(gè)AP，將其SSID 和MAC 地址設(shè)置為與被偽造的AP 一致，并將其信號強(qiáng)度盡可能提高即可實(shí)現(xiàn)偽AP 攻擊，如圖1 所示。目前，利用Aircrack-ng[2]、WiFi-Pumpkin[3]等工具可以實(shí)現(xiàn)快速搭建偽AP。當(dāng)前偽AP 的攻擊方式主要分為被動式攻擊和主動式攻擊。

圖1 偽AP攻擊原理

1.1 被動式攻擊

偽AP 被動地等待客戶連接的攻擊方式即為被動式攻擊。偽AP 通過增加其信號強(qiáng)度實(shí)現(xiàn)被動式攻擊。由于偽AP 和真實(shí)AP 的配置信息相同，當(dāng)偽AP的信號強(qiáng)度大于真實(shí)AP 的信號強(qiáng)度時(shí)，用戶設(shè)備會自動連接上偽AP，攻擊者繼而進(jìn)行進(jìn)一步的攻擊過程，如通過分析網(wǎng)絡(luò)流量獲取用戶的隱私信息。一般來說增加信號強(qiáng)度的方式包括將偽AP 盡量靠近被攻擊者，同時(shí)包括TP-Link、水星等絕大多數(shù)品牌的路由器管理頁面都有信號強(qiáng)度的選項(xiàng)，攻擊者可以結(jié)合多種方式增強(qiáng)信號強(qiáng)度以達(dá)到更好的攻擊效果。

1.2 主動式攻擊

主動式攻擊指攻擊者部署偽AP 后，通過主動的方式斷開終端和合法AP 之間的連接來達(dá)到攻擊目的。實(shí)現(xiàn)主動式攻擊的方法一般分為物理層攻擊和MAC層攻擊[4]。物理層攻擊主要通過射頻干擾實(shí)現(xiàn)（RF Jamming Attack），該攻擊通過發(fā)出干擾射頻實(shí)現(xiàn)破壞無線通信的目的。MAC 層攻擊則主要利用802.11 協(xié)議身份認(rèn)證的缺陷，由于控制幀和管理幀沒有相關(guān)的保護(hù)和認(rèn)證方法，攻擊者可以通過偽造控制幀和管理幀的方法發(fā)起攻擊，導(dǎo)致合法AP 和客戶端連接斷開，引誘客戶端接入偽AP 以實(shí)現(xiàn)進(jìn)一步的攻擊。

（1）物理層攻擊

物理層攻擊主要為射頻干擾攻擊。射頻干擾攻擊通過發(fā)出干擾射頻實(shí)現(xiàn)破壞無線通信的目的。IEEE 802.11 協(xié)議標(biāo)準(zhǔn)規(guī)定，無線局域網(wǎng)采用載波偵聽多路訪問/避免沖突（CSMA/CA）機(jī)制，該機(jī)制使用信道空閑評估程序來決定信道是否空閑[5]。射頻干擾攻擊通過在無線局域網(wǎng)工作的頻段上施加信號，使移動終端或者AP 誤以為信道繁忙，從而放棄通信。

（2）MAC 層攻擊

圖2 802.11協(xié)議狀態(tài)轉(zhuǎn)換

MAC 層的攻擊主要是針對身份認(rèn)證缺陷的阻塞攻擊。IEEE 802.11 協(xié)議標(biāo)準(zhǔn)規(guī)定，只有當(dāng)終端已認(rèn)證已連接的情況下終端才能和AP 進(jìn)行通信。其狀態(tài)轉(zhuǎn)換過程如圖2 所示，只有當(dāng)終端保持為狀態(tài)3 時(shí)，通信才能正常進(jìn)行。攻擊者利用此特性，構(gòu)造解除認(rèn)證幀（Deauthentication）和解除連接幀（Disassociation）進(jìn)行攻擊，使終端無法保持狀態(tài)3，阻塞其和AP 之間的通信。

2 偽AP檢測技術(shù)

目前主要有三種檢測偽AP 的方法。第一種為基于硬件特征的檢測方法，由于每一個(gè)設(shè)備都具有其獨(dú)特性，該方法利用相關(guān)的特征同事先存儲的信息進(jìn)行比較實(shí)現(xiàn)偽AP 的檢測。第二種為基于網(wǎng)絡(luò)特征的檢測方法，通過網(wǎng)絡(luò)相關(guān)特征如RTT，運(yùn)行traceroute 命令得到的路徑結(jié)果等特征作為偽AP 判定的特征。第三種為基于位置信息的方法，此種方法通過信號強(qiáng)度等數(shù)據(jù)結(jié)合機(jī)器學(xué)習(xí)算法對待測AP 進(jìn)行定位，通過判定其位置與事先記錄的位置是否匹配實(shí)現(xiàn)對偽AP 的檢測。

2.1 基于硬件特征的檢測方法

由于每個(gè)AP 在硬件層面都具有其獨(dú)特性，基于硬件特征的檢測方法主要依靠AP 的硬件差異對AP 的合法性進(jìn)行判斷。此種方法需要事先在數(shù)據(jù)庫中保存合法AP 的相關(guān)信息，在檢測時(shí)同已存儲的信息進(jìn)行匹配以檢測偽AP 的存在。

Kohno 等人[6]提出一種將硬件時(shí)鐘偏差作為指紋建模的方案。由于AP 中諧振蕩器的原材料石英的切片方向和角度不同會造成設(shè)備的時(shí)鐘相對標(biāo)準(zhǔn)時(shí)鐘存在誤差，通過此誤差可以唯一的標(biāo)識某一個(gè)AP。他們的方案通過收集到的TCP/ICMP 報(bào)文上的時(shí)間戳來測算時(shí)鐘偏差。

Jana 等人[7]同樣使用時(shí)鐘偏移(clock skew)進(jìn)行偽AP 的檢測。但其發(fā)現(xiàn)，TCP/ICMP 報(bào)文上的時(shí)間戳可以通過軟件手段進(jìn)行偽造，所以其時(shí)鐘偏移是通過計(jì)算來自信標(biāo)幀和請求響應(yīng)幀（beacon/probe response frames）的時(shí)間戳得到。

Sriram 等人[8]提出一種基于設(shè)備參數(shù)的方法。首先將合法AP 的MAC 地址、SSID 等設(shè)備參數(shù)保存在數(shù)據(jù)庫中；在檢測時(shí)，通過獲取相應(yīng)的設(shè)備參數(shù)與事先保存的信息進(jìn)行比對以實(shí)現(xiàn)偽AP 的檢測。

2.2 基于網(wǎng)絡(luò)特征的檢測方法

同組織的合法AP 普遍在網(wǎng)絡(luò)相關(guān)參數(shù)上具有相似性，例如同組織的合法AP 通常會使用相同的出口網(wǎng)絡(luò)或者使用相同的網(wǎng)絡(luò)服務(wù)提供商，所以合法AP 的網(wǎng)絡(luò)時(shí)延或者數(shù)據(jù)傳輸路徑等具有相似性，通過此相似性可以區(qū)分出待測AP 是否為偽AP。

Nikbakhsh 等人[9]提出一種基于路由跟蹤的方法，該方法分別在兩個(gè)配置相同的AP 上執(zhí)行到相同地址的traceroute 命令，然后比較兩次路徑結(jié)果來判斷是否有偽AP 存在。若兩個(gè)AP 的結(jié)果不相符，則說明有偽AP 存在。但是此種方法沒有并沒有事先保存合法AP的traceroute 結(jié)果，所以僅能判斷是否有偽AP 存在。

劉洋[10]提出基于802.11 協(xié)議特征的檢測方案和基于traceroute 的釣魚AP 混合檢測方案?；?02.11協(xié)議的檢測方案提取AP 的協(xié)議特征信息，如AP 的MAC、速率特征等，同時(shí)向同一SSID 下的AP 發(fā)送特殊的請求探查報(bào)文，統(tǒng)計(jì)接收的探查響應(yīng)報(bào)文，最后通過相關(guān)信息與存儲的信息進(jìn)行對比，實(shí)現(xiàn)釣魚AP 的檢測?；趖raceroute 的方案通過構(gòu)造ICMP-Traceroute、TCP-Traceroute 以及UDP-Traceroute 路由跟蹤報(bào)文，跟蹤測試點(diǎn)到指定目的服務(wù)器的路由路徑，實(shí)現(xiàn)釣魚AP 的檢測。

Zhang 等人[11]提出一種基于網(wǎng)絡(luò)狀態(tài)相似度的方法來檢測偽AP，其通過計(jì)算數(shù)據(jù)到服務(wù)器的RTT 和數(shù)據(jù)到AP 的RTT 的差值來對其網(wǎng)絡(luò)狀況進(jìn)行畫像。通過獲得一段時(shí)間內(nèi)的網(wǎng)絡(luò)延遲數(shù)據(jù)，計(jì)算網(wǎng)絡(luò)狀態(tài)的相似度。如果偽AP 和合法AP 的在一個(gè)局域網(wǎng)內(nèi)或者使用同一個(gè)網(wǎng)絡(luò)提供商，則該方法失效。

2.3 基于位置信息的檢測方法

基于位置信息的檢測方法利用RSSI（Received Signal Strength Indication，無線信號接收強(qiáng)度）等數(shù)據(jù)對AP 的位置進(jìn)行推算，通過判斷AP 現(xiàn)在的位置和記錄的位置是否匹配判斷該AP 是否為偽AP。此種方法一般應(yīng)用于室內(nèi)，通過在固定位置搭設(shè)嗅探點(diǎn)，并進(jìn)行離線訓(xùn)練得到定位模型，在線檢測時(shí)通過嗅探器分別得到待檢測AP 的相關(guān)信息，通過該信息計(jì)算出待測AP的位置用于檢測。

Awad 等人[12]提出一種基于位置信息檢測偽AP 的方法。本文通過應(yīng)用粒子群優(yōu)化算法檢測并定位偽AP。RSSI 用于估計(jì)接入點(diǎn)與已知位置之間的距離。該方法通過收集一組RSSI 數(shù)據(jù)來估計(jì)待測AP 的位置并將其與真實(shí)AP 的位置進(jìn)行比對來檢測偽AP。

Wu 等人[13]提出一種基于RSSI 的偽AP 檢測方法，其搭建了六個(gè)不同位置的嗅探器來分別得到某一個(gè)AP 的一組RSSI 數(shù)據(jù)。在離線分析階段，多次收集每個(gè)合法AP 的RSSI 數(shù)據(jù)，并在聚類分析后得到兩個(gè)質(zhì)心之間的距離，從而得到相關(guān)的閾值。最后將每個(gè)AP的閾值分別保存在服務(wù)器中，并在檢測階段通過聚類分析檢測某個(gè)AP 是否為偽AP。

顧嘯林[14]在上述的方法上進(jìn)行了改進(jìn)，由于某些位置可能會發(fā)生距離較遠(yuǎn)，某個(gè)嗅探器無法獲得該AP 數(shù)據(jù)的情況，在訓(xùn)練階段可能存在某個(gè)RSSI 分量有缺失的問題。在數(shù)據(jù)預(yù)處理階段通過對缺失分量的均值化數(shù)據(jù)填補(bǔ)，數(shù)據(jù)剔除等手段防止缺失的分量導(dǎo)致離線訓(xùn)練時(shí)造成的偏差以提高待測AP 定位的精度以實(shí)現(xiàn)檢測率的提高。

3 發(fā)展與展望

本文一共介紹了三種偽AP 檢測技術(shù)，但每種方法都具有一定的缺陷。若使用傳統(tǒng)基于設(shè)備參數(shù)的方法，該種方法使用的特征如SSID、MAC 地址等一般可以通過在路由設(shè)置中進(jìn)行設(shè)置，從而達(dá)到模仿合法AP的效果，通過這些字段進(jìn)行偽AP 的檢測容易造成該種檢測方法失效；基于時(shí)鐘偏移的偽AP 檢測方法表現(xiàn)較好，但是在離線和在線檢測階段均需要較長的時(shí)間對時(shí)間偏移進(jìn)行計(jì)算?；诰W(wǎng)絡(luò)特征的方法通過RTT、運(yùn)行traceroute 命令得到的路徑信息等特征實(shí)現(xiàn)對偽AP 的檢測，但是由于多種因素都會造成網(wǎng)絡(luò)特征的改變，導(dǎo)致該方法使用的特征不夠穩(wěn)定從而對檢測率有較大的影響?；谖恢眯畔⒌臋z測方法是目前偽AP檢測研究中最主要的方法，該方法的思想是通過收集相關(guān)信息推測出待測AP 的位置，但是該方法大多需要部署多個(gè)設(shè)備收集位置相關(guān)信息以增加定位精度，導(dǎo)致該方法所需的設(shè)備成本高，且部署復(fù)雜。基于此，在未來的研究中偽AP 檢測應(yīng)該著重尋找更加穩(wěn)定、易于采集且難以偽造的特征以解決目前檢測方法的不足。