◆李信良

無(wú)線局域網(wǎng)攻擊與防范——無(wú)線接入點(diǎn)攻擊

◆李信良

（南京信息工程大學(xué)電子與信息工程學(xué)院 江蘇 210044）

隨著無(wú)線局域網(wǎng)在人們?nèi)粘Ｉ钪邪缪葜絹?lái)越重要的角色，人們更多地關(guān)注如何提升無(wú)線局域網(wǎng)安全性。本文介紹了幾種常見(jiàn)的針對(duì)無(wú)線接入點(diǎn)的攻擊方式及其產(chǎn)生的危害，總結(jié)了現(xiàn)有的幾種防范措施，并對(duì)各措施的優(yōu)缺點(diǎn)進(jìn)行了簡(jiǎn)要分析，對(duì)未來(lái)無(wú)線局域網(wǎng)安全的發(fā)展提出了見(jiàn)解。

無(wú)線局域網(wǎng)安全；無(wú)線接入點(diǎn)攻擊；802.11協(xié)議

無(wú)線局域網(wǎng)（Wireless Local Area Network，WLAN）在日常生活中使用越來(lái)越頻繁，其安全性逐漸受到人們的高度關(guān)注。WLAN的傳輸介質(zhì)是大氣層，因此可以突破線束的限制，具有很強(qiáng)的靈活性。實(shí)際中，WLAN信道是開(kāi)放的，任何人均可以捕獲到WLAN信號(hào)并進(jìn)行分析，較有線傳輸更易受到攻擊。在實(shí)際使用中，WLAN協(xié)議多基于IEEE 802.11標(biāo)準(zhǔn)，無(wú)線保真（Wireless Fidelity，Wi-Fi）技術(shù)是802.11協(xié)議在WLAN上的具體應(yīng)用。

目前，主要有針對(duì)Wi-Fi三大特性的攻擊：私密性、完整性和可用性[1]。無(wú)線接入點(diǎn)（Wireless Access Point，AP）是移動(dòng)客戶端接入有線網(wǎng)絡(luò)的渠道。根據(jù)802.11協(xié)議，區(qū)域內(nèi)如果存在多個(gè)AP擁有相同的服務(wù)集標(biāo)識(shí)（Service Set Identifier，SSID）時(shí)，信號(hào)強(qiáng)度最高的AP將作為多數(shù)客戶端的首選，以保證網(wǎng)絡(luò)的質(zhì)量[2]。此時(shí)，如果區(qū)域內(nèi)有偽造的AP，客戶端將會(huì)主動(dòng)連接偽AP，而不會(huì)發(fā)出任何提示，用戶很難識(shí)別此類情況。一旦用戶連接上偽AP，攻擊者將可竊取用戶的所有交互數(shù)據(jù)，使網(wǎng)絡(luò)的私密性得到破壞。

1 偽造AP攻擊

1.1 誘導(dǎo)客戶端連接

攻擊者使用工具對(duì)區(qū)域內(nèi)的已有AP信息進(jìn)行探測(cè)，獲取目標(biāo)信息后，將偽AP設(shè)置為與已有AP相同的信息，并設(shè)置更高的信號(hào)強(qiáng)度，以誘導(dǎo)客戶端進(jìn)行連接。當(dāng)區(qū)域內(nèi)有客戶端需要建立連接時(shí)，該客戶端就會(huì)自動(dòng)選擇更強(qiáng)信號(hào)的偽AP。

如果單一采用這樣的方式誘導(dǎo)客戶端進(jìn)行連接，則需要一直等待區(qū)域內(nèi)有設(shè)備需要建立連接時(shí)，才能誘導(dǎo)客戶端連接上偽AP。因此，使用該方式攻擊等待時(shí)間長(zhǎng)，效率較低。實(shí)際中，攻擊者會(huì)結(jié)合其他技術(shù)強(qiáng)制區(qū)域內(nèi)的客戶端與已連接的Wi-Fi斷開(kāi)。這時(shí)，客戶端會(huì)自動(dòng)重連，重連時(shí)便可誘導(dǎo)客戶端連接至偽AP。

1.2 強(qiáng)制客戶端斷開(kāi)連接

強(qiáng)制客戶端斷開(kāi)連接，可使客戶端在重連時(shí)，自動(dòng)選擇更強(qiáng)信號(hào)的偽AP進(jìn)行連接。結(jié)合這樣的技術(shù)，可以使等待的時(shí)間更短，效率更高。

（1）物理層攻擊

使客戶端與AP斷開(kāi)連接的方法分為物理層攻擊和介質(zhì)訪問(wèn)控制層（Media Access Control，MAC）攻擊。由于802.11協(xié)議采用載波監(jiān)聽(tīng)多路訪問(wèn)/沖突避免（Carrier Sense Multiple Access with Collision Avoid，CSMA/CA）機(jī)制來(lái)識(shí)別信道是否繁忙[3]，因此當(dāng)攻擊者頻繁占用信道發(fā)送干擾信號(hào)時(shí)，客戶端或AP會(huì)認(rèn)為信道繁忙而斷開(kāi)連接，這就是從物理層進(jìn)行攻擊。

（2）MAC層攻擊

客戶端與AP建立連接有三種狀態(tài)，分別是未認(rèn)證未連接、已認(rèn)證未連接和已認(rèn)證已連接[4]。802.11協(xié)議的解除認(rèn)證請(qǐng)求和解除連接請(qǐng)求都不需要密碼認(rèn)證機(jī)制，只需對(duì)MAC地址進(jìn)行識(shí)別。因此攻擊者只需要通過(guò)偽造合法客戶端的MAC地址，便可向AP發(fā)出解除連接請(qǐng)求的數(shù)據(jù)包，從而迫使客戶端與AP斷開(kāi)連接。除了上述兩種攻擊方式外，針對(duì)MAC層的攻擊方法還有休眠攻擊、資源耗盡攻擊、協(xié)議漏洞攻擊等。

在上述兩種攻擊中，針對(duì)物理層的攻擊會(huì)使區(qū)域中的無(wú)線信號(hào)能量激增。但針對(duì)MAC層的攻擊通常較為隱蔽，難以發(fā)現(xiàn)。

2 危害

當(dāng)遭受偽AP攻擊時(shí)，客戶端可能會(huì)暫時(shí)斷開(kāi)當(dāng)前Wi-Fi的連接導(dǎo)致無(wú)法訪問(wèn)互聯(lián)網(wǎng)服務(wù)。一旦客戶端連接上偽AP后，偽AP作為客戶端的網(wǎng)關(guān)，客戶端訪問(wèn)互聯(lián)網(wǎng)的所有數(shù)據(jù)包都將通過(guò)偽AP轉(zhuǎn)發(fā)，此時(shí)將遭受更為嚴(yán)重的后果，包括用戶表單泄露、域名系統(tǒng)（Domain Name System，DNS）劫持等。

2.1 用戶表單泄露

在偽AP節(jié)點(diǎn)處，攻擊者可以使用Wireshark、Sniffer等抓包工具，抓取用戶與互聯(lián)網(wǎng)交互的數(shù)據(jù)包，并分析獲得其中的所有數(shù)據(jù)。用戶在上網(wǎng)時(shí)，經(jīng)常需要輸入用戶名、密碼、身份證、手機(jī)號(hào)等各類表單信息，并通過(guò)HTTP協(xié)議的GET或POST請(qǐng)求提交至服務(wù)器處理。攻擊者利用這一特性便可抓取用戶提交的各類表單信息。

圖1為在AP節(jié)點(diǎn)處抓取的用戶在某網(wǎng)站登錄時(shí)提交的POST表單信息，從中可輕易獲取到用戶名、密碼等關(guān)鍵信息。

圖1 用戶提交的表單抓取

2.2 DNS劫持

DNS用于將域名與服務(wù)器的真實(shí)IP地址進(jìn)行映射，可以讓用戶通過(guò)域名來(lái)訪問(wèn)對(duì)應(yīng)IP地址。在偽AP節(jié)點(diǎn)處，攻擊者可自行搭建DNS服務(wù)器。當(dāng)用戶連接上偽AP后，會(huì)將偽AP的DHCP服務(wù)器發(fā)回的DNS地址作為首選DNS地址。此時(shí)，攻擊者可使用戶的DNS服務(wù)器地址指向攻擊者自行搭建的DNS服務(wù)器地址。

攻擊者在偽DNS服務(wù)器處，可以將任意網(wǎng)站的域名解析記錄更改為攻擊者預(yù)先搭建的釣魚(yú)網(wǎng)站服務(wù)器IP地址，這就是DNS劫持。此時(shí)，用戶通過(guò)輸入域名的方式訪問(wèn)該網(wǎng)站時(shí)，用戶訪問(wèn)的不是真實(shí)的網(wǎng)站，而是釣魚(yú)網(wǎng)站。一旦用戶在釣魚(yú)網(wǎng)站上輸入密碼或短信驗(yàn)證碼，就有賬戶或資金被盜風(fēng)險(xiǎn)。

3 防范措施

3.1 信號(hào)強(qiáng)度定位偽AP法

王文婷[5]提出了基于路徑損耗的距離比消參搜索定位法。由于WLAN信號(hào)強(qiáng)度可隨距離變遠(yuǎn)而變小，可在多次不同區(qū)域采集AP的信號(hào)強(qiáng)度，并估計(jì)出最佳路徑損耗指數(shù)以消除該未知參數(shù)，從而對(duì)偽AP位置進(jìn)行估計(jì)。該方法需要在有被保護(hù)需求的區(qū)域范圍內(nèi)，在不同位置部署多個(gè)檢測(cè)設(shè)備，來(lái)收集AP信號(hào)強(qiáng)度值，并運(yùn)算出偽AP具體位置，代價(jià)較為昂貴。

3.2 設(shè)備信息檢測(cè)偽AP法

Sriram等人[6]提出一種基于設(shè)備信息檢測(cè)偽AP的方法，該方法會(huì)將檢測(cè)的Wi-Fi信息與預(yù)先采集的真實(shí)Wi-Fi信息進(jìn)行比對(duì)，如果不一致則為偽AP。由于MAC物理地址等設(shè)備信息很容易被偽裝，因此該方法的準(zhǔn)確度較差。

3.3 路由跟蹤檢測(cè)偽AP法

Nikbakhsh等人[7]提出了一種基于路由跟蹤算法來(lái)判斷偽AP是否存在的方法，通過(guò)比對(duì)區(qū)域中兩個(gè)具有相同信息AP的路由跟蹤信息是否相同，即可判斷該區(qū)域是否存在偽AP。當(dāng)檢測(cè)到該區(qū)域存在兩個(gè)AP的路由跟蹤信息不同時(shí)，即可判斷存在偽AP，但無(wú)法識(shí)別出哪一個(gè)為偽AP。

3.4 設(shè)備指紋識(shí)別偽AP法

鄭等人[8]提出一種基于設(shè)備指紋特征來(lái)識(shí)別偽AP的方法，通過(guò)測(cè)量合法AP的信道狀態(tài)信息中的子載波相位信息，并使用神經(jīng)網(wǎng)絡(luò)訓(xùn)練出該設(shè)備的指紋。檢測(cè)時(shí)，將會(huì)使用多份指紋進(jìn)行檢測(cè)并投票，如果偽AP的票數(shù)多，則可識(shí)別出該IP為偽AP。該方法不需要預(yù)知偽AP特征，并且檢測(cè)便捷、成本較低。但要想獲得較高的準(zhǔn)確率，前期訓(xùn)練神經(jīng)網(wǎng)絡(luò)模型時(shí)需要采集大量的樣本數(shù)據(jù)，且更換合法AP后需要重新訓(xùn)練模型。

3.5 加密傳輸用戶數(shù)據(jù)

服務(wù)提供者使用SSL協(xié)議加密傳輸用戶數(shù)據(jù)，可避免用戶與服務(wù)器交互的信息，如提交的POST表單等，被直接暴露在不安全信道中。此類方法能在傳輸過(guò)程中一定程度上地保障數(shù)據(jù)安全性，對(duì)各類通過(guò)截獲數(shù)據(jù)包盜取用戶信息的攻擊方式有一定的防范效果，但該方法不能針對(duì)偽AP做特異性防護(hù)。

4 結(jié)束語(yǔ)

隨著Wi-Fi在人們?nèi)粘Ｉ钪邪缪葜絹?lái)越重要的角色，人們更多地關(guān)注如何提升無(wú)線局域網(wǎng)安全性。攻擊者利用802.11協(xié)議的一些漏洞搭建偽AP，通過(guò)發(fā)射更大的信號(hào)強(qiáng)度，誘導(dǎo)客戶端連接至偽AP，并趁機(jī)竊取用戶隱私數(shù)據(jù)。至今為止，已有許多學(xué)者對(duì)偽AP的防范措施進(jìn)行了研究，但各種方法仍存在一定的缺陷。在上述幾種方法中，基于路徑損耗的距離比消參搜索定位法能從地理位置上找出偽AP，適用于防范要求嚴(yán)格的場(chǎng)合，但測(cè)量和計(jì)算均較為復(fù)雜。基于設(shè)備指紋特征來(lái)識(shí)別偽AP的方法可以快速判斷出哪一個(gè)是偽AP，但合法AP更換后需要重新訓(xùn)練模型。

除了在終端設(shè)備處對(duì)無(wú)線局域網(wǎng)攻擊進(jìn)行防止，在用戶數(shù)據(jù)交互時(shí)也需要采取更嚴(yán)格的認(rèn)證措施，包括服務(wù)提供者使用SSL協(xié)議加密用戶數(shù)據(jù)等。同時(shí)，用于也需要提升自身防范意識(shí)，為個(gè)人Wi-Fi設(shè)置復(fù)雜的密碼，謹(jǐn)慎連接未知Wi-Fi。未來(lái)，需要進(jìn)一步探索無(wú)線局域網(wǎng)安全問(wèn)題?？蓪⒏骷夹g(shù)的優(yōu)勢(shì)互相結(jié)合，尋找出更經(jīng)濟(jì)、便捷和對(duì)變化適應(yīng)力強(qiáng)的方法。

[1]楊春雷，銀偉，邢國(guó)強(qiáng).802.11無(wú)線網(wǎng)絡(luò)拒絕服務(wù)攻擊與安全防護(hù)技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（12）：85-87.

[2]朱莉.無(wú)線校園網(wǎng)絡(luò)釣魚(yú)AP攻擊檢測(cè)技術(shù)研究[J].船舶職業(yè)教育，2021，9（01）：74-77.

[3]Paul U.，Kashyap A.，Maheshwari R.，et al.Passive Measurement of Interference in Wi-Fi Networks with Application in Misbehavior Detection[J].IEEE Transactions on Mobile Computing，2013，12（3）：434-446.

[4]賴特.無(wú)線Wi-Fi接入點(diǎn)欺騙及其檢測(cè)技術(shù)研究[J].信息與電腦（理論版），2020，32（03）：154-156.

[5]王文婷.無(wú)線釣魚(yú)AP搜索定位及檢測(cè)技術(shù)研究[D].西安電子科技大學(xué)，2020.

[6]Sriram V.S.S.，Sahoo G.，Agrawal K.K.Detecting and eliminating Rogue Access Points in IEEE-802.11 WLAN-a multi-agent sourcing Methodology[C]//2010 IEEE 2nd International Advance Computing Conference（IACC）.IEEE，2010：256-260.

[7]Nikbakhsh S.，Manaf A.B.A.，Zamani M.，et al.A Novel Approach for Rogue Access Point Detection on the Client-Side[C]//2012 26th International Conference on Advanced Information Networking and Applications Workshops.IEEE，2012：684-687.

[8]鄭瑞環(huán)，潘亞雄，胡勇.基于無(wú)線設(shè)備指紋的偽AP檢測(cè)技術(shù)研究[J].信息安全研究，2020，6（05）：441-447.