Wi-Fi無線釣魚攻擊分析及應(yīng)對技術(shù)研究

譚 彥，厲 萍，盧洪濤，鄧博存

（1.中國電信股份有限公司廣東研究院 廣州 510630；2.中國電信股份有限公司廣東分公司 廣州 510081）

1 引言

目前在熱點地區(qū)，Wi-Fi是用于無線上網(wǎng)的主要方式之一，用戶樂于使用這種方便而且速度快的上網(wǎng)手段。但是隨著黑客使用釣魚Wi-Fi攻擊手段有可能盜取用戶賬號和密碼的事件見諸報章，引起了公眾對使用Wi-Fi過程中安全性的疑慮。而所謂Wi-Fi無線釣魚攻擊，是指用戶接入假冒的“釣魚”無線網(wǎng)絡(luò)接入點而遭到攻擊的安全問題，這種攻擊方式能夠奏效的原因是利用了Wi-Fi系統(tǒng)協(xié)議架構(gòu)中缺乏用戶對接入點（access point，AP）合法性驗證的相關(guān)措施而產(chǎn)生的漏洞，本文通過深入研究分析這種攻擊方式的攻擊原理及過程，提出3種適合于運營商應(yīng)用的應(yīng)對技術(shù)。

2 Wi-Fi無線釣魚攻擊方式及分析

Wi-Fi釣魚攻擊者首先會建立一個假冒的無線網(wǎng)絡(luò)接入點，誘騙用戶接入其無線接入點。但是，一旦用戶接入了其所建立的無線網(wǎng)絡(luò)，攻擊者就可以對用戶使用的系統(tǒng)進(jìn)行掃描、入侵和攻擊，部分用戶的計算機會被其控制，被控計算機可能遭遇密碼泄露、機密文件被盜取、感染木馬等安全威脅。以下對該過程中涉及的技術(shù)問題和原理進(jìn)行深入的分析。

2.1 仿冒的無線網(wǎng)絡(luò)廣播

（1）無線電波的仿冒

Wi-Fi以無線電波作為物理傳輸媒介，這種媒介本質(zhì)上就是開放且易被利用的。但I(xiàn)EEE 802.11通信協(xié)議的設(shè)計者并未考慮無線電波的這種特性，也沒有納入安全性協(xié)議的考慮，這就使黑客可以在物理層上對無線電波進(jìn)行仿冒。

（2）仿冒SSID

在基礎(chǔ)結(jié)構(gòu)型的Wi-Fi網(wǎng)絡(luò)中，使用SSID（service set identifier）定義不同的網(wǎng)絡(luò)服務(wù)，工作站通過連接不同的SSID獲得特定的無線網(wǎng)絡(luò)資源。而SSID通過信標(biāo)（beacon）幀向外廣播來聲明該網(wǎng)絡(luò)的存在，beacon幀結(jié)構(gòu)如圖1所示。移動式工作站獲取到beacon幀中的相關(guān)信息后，才得知哪些無線網(wǎng)絡(luò)資源可供申請加入。這個過程中的問題在于設(shè)計協(xié)議的時候，沒有考慮到整個過程中幀信息的唯一性，也就是說，任何其他基礎(chǔ)結(jié)構(gòu)型架構(gòu)的Wi-Fi網(wǎng)絡(luò)，都可以使用相同的beacon幀向外廣播相同的SSID，但SSID對應(yīng)的無線網(wǎng)絡(luò)資源卻可以是不同的。

2.2 脆弱的無線認(rèn)證體系

通過對無線認(rèn)證體系的攻擊，攻擊者能夠使合法AP中斷與正常連接的客戶端的連接，客戶端無線網(wǎng)卡在中斷原有連接后，根據(jù)機制，會重新選擇接入點，這就為攻擊者實施釣魚攻擊創(chuàng)造了條件。

圖1 信標(biāo)（beacon）幀結(jié)構(gòu)

（1）IEEE 802.11認(rèn)證體系的脆弱性

由于IEEE 802.11在設(shè)計之時僅強調(diào)使用的簡便性，因此，安全性被置于比較次要的位置，考慮得不夠完善。例如，運行在開放頻段中，管理和控制報文都是明文傳輸，沒有經(jīng)過加密等。由于該協(xié)議的以上特點，它在實際使用中存在著一系列的安全弱點，總結(jié)如下。

·認(rèn)證方式簡單，存在授權(quán)用戶可能會訪問到非授權(quán)接入點的弱點。僅采用MAC地址進(jìn)行認(rèn)證，沒有對設(shè)備的身份進(jìn)行驗證。這樣用戶極容易連接到非授權(quán)的釣魚網(wǎng)絡(luò)資源，當(dāng)用戶接入非授權(quán)的網(wǎng)絡(luò)資源之后，釣魚攻擊者就可以騙取用戶的名稱和密碼。

·沒有消息完整性檢驗，導(dǎo)致重放等弱點。沒有消息完整性驗證，可以修改任何無線數(shù)據(jù)幀的內(nèi)容，因此導(dǎo)致無線網(wǎng)絡(luò)中傳輸?shù)膸⒉皇峭耆尚诺摹?/p>

·偽客戶端，攻擊者的身份難以被確認(rèn)，AP受到攻擊后容易中斷服務(wù)。攻擊方式可以是IEEE 802.11物理層的攻擊，也可以是鏈路層的攻擊，導(dǎo)致其他客戶端的服務(wù)被中斷。

（2）TCP/IP體系的脆弱性

由于TCP/IP本身的脆弱性，釣魚攻擊者在誘導(dǎo)客戶端連接上仿冒的無線接入點后，進(jìn)一步使用ARP攻擊結(jié)合DHCP攻擊的方法接管客戶端的會話，這樣就為釣魚攻擊者下一步的對流量進(jìn)行分析引導(dǎo)創(chuàng)造了條件，達(dá)到誘騙的目的。

·ARP的脆弱性：ARP簡單易用，但是卻沒有任何安全機制，攻擊者可以發(fā)送偽造ARP報文對網(wǎng)絡(luò)進(jìn)行攻擊，欺騙網(wǎng)絡(luò)中的主機或者網(wǎng)關(guān)，達(dá)到控制流量走向的目的。Wi-Fi釣魚攻擊主要使用到的ARP攻擊方式有仿冒網(wǎng)關(guān)攻擊、仿冒用戶攻擊、泛洪攻擊等。

·DHCP的脆弱性：由于DHCP在設(shè)計時并沒有過多地考慮安全性的問題，特別是沒有考慮服務(wù)器與客戶端之間雙向認(rèn)證的問題，這直接導(dǎo)致在進(jìn)行DHCP交互時，雖然服務(wù)器可以通過客戶機MAC地址實現(xiàn)很有限的認(rèn)證，但客戶機卻無法實現(xiàn)對服務(wù)器的認(rèn)證。

正是基于這個協(xié)議設(shè)計的缺陷，釣魚攻擊者可以利用偽造的DHCP服務(wù)器，與合法用戶進(jìn)行DHCP交互，從而為其提供錯誤的配置信息，為后續(xù)的攻擊奠定基礎(chǔ)。具體來講，當(dāng)一個局域網(wǎng)中出現(xiàn)多臺DHCP服務(wù)器時，客戶端會根據(jù)不同服務(wù)器發(fā)出的DHCP offer報文到達(dá)的先后順序決定所選中的服務(wù)器，這時，若釣魚攻擊者搶先在合法的服務(wù)器發(fā)出報文前發(fā)送DHCP offer報文給客戶端，客戶端就會選擇使用仿冒的DHCP服務(wù)器提供的IP地址。進(jìn)一步地，利用偽造的DHCP服務(wù)器實現(xiàn)對原有服務(wù)器的搶占式拒絕服務(wù)，并向客戶機提供偽造的網(wǎng)關(guān)與DNS服務(wù)器IP地址，從而可以誘使用戶連接上釣魚網(wǎng)站，實現(xiàn)盜取用戶信息的目的。

（3）Portal認(rèn)證體系的脆弱性

由于用戶在進(jìn)行認(rèn)證時，沒有對Portal的合法性進(jìn)行驗證的手段，因此，釣魚攻擊者可以搭建仿冒的Portal頁面，誘惑用戶進(jìn)行連接，從而實施中間人攻擊。中間人攻擊通過接管用戶與服務(wù)器之間的會話對用戶通信進(jìn)行欺騙。攻擊者一般首先通過控制運營商的網(wǎng)絡(luò)設(shè)備又或者通過ARP欺騙或IP欺騙的方式接管會話，引導(dǎo)用戶訪問仿冒的Portal頁面，從而使用戶誤以為自己正與合法的服務(wù)器進(jìn)行通信。

2.3 易被解碼的明文數(shù)據(jù)傳輸

如果用戶通過釣魚Wi-Fi網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的傳遞和交換時，就會產(chǎn)生其報文被攻擊者進(jìn)行解碼的風(fēng)險，具體來講可能造成的安全威脅主要如下。

·竊聽、破譯傳輸信息：客戶如果使用未經(jīng)加密的Wi-Fi網(wǎng)絡(luò)進(jìn)行重要數(shù)據(jù)和報文的傳遞，攻擊者能夠通過偵聽等方式，獲取傳輸?shù)男畔?nèi)容，造成信息泄漏或癱瘓。

·重放攻擊：即使攻擊者無法破譯報文內(nèi)容，也無法對報文進(jìn)行篡改或刪減，但也可以通過重新發(fā)送收到的數(shù)據(jù)分組的方式，進(jìn)行重放攻擊。

3 應(yīng)對技術(shù)研究

根據(jù)以上分析總結(jié)得出，無線釣魚網(wǎng)絡(luò)攻擊利用的是無線空口的脆弱性、加密認(rèn)證體系的脆弱性和TCP/IP網(wǎng)絡(luò)的脆弱性等。根據(jù)不同的脆弱性特點，應(yīng)對的技術(shù)主要有3種，分別是無線環(huán)境的幀監(jiān)測方法、三元架構(gòu)的雙向鑒別方法和網(wǎng)絡(luò)指紋識別技術(shù)。以上3種技術(shù)，其針對的脆弱性不同，使其適用的場景各有不同，具體的說明如下。

3.1 無線環(huán)境的幀監(jiān)測方法

檢查空口明文傳輸?shù)臒o線管理幀，提取其中惡意攻擊的或偽裝的無線管理幀的特征信息，將特征信息與預(yù)置的規(guī)則進(jìn)行比對，是無線環(huán)境的幀監(jiān)測方法基本技術(shù)原理。該方法針對無線空口數(shù)據(jù)幀傳輸?shù)拇嗳跣裕ㄟ^識別無線幀的合法性，發(fā)現(xiàn)仿冒的無線信號。

無線環(huán)境的幀監(jiān)測方法通過在Wi-Fi熱點網(wǎng)絡(luò)場景中部署無線檢測設(shè)備，對無線網(wǎng)絡(luò)環(huán)境中的各種Wi-Fi接入點設(shè)備空中傳播的無線管理幀進(jìn)行檢測，以確定Wi-Fi網(wǎng)絡(luò)中是否存在釣魚網(wǎng)絡(luò)，Wi-Fi無線檢測設(shè)備的無線幀監(jiān)測功能一般包括3個主要的部分：設(shè)備檢測、策略管理、釣魚設(shè)備識別。

·設(shè)備檢測：可疑設(shè)備檢測首先通過監(jiān)聽周圍的無線信號和報文，提取信號和報文的特征信息并最終創(chuàng)建無線環(huán)境中其他設(shè)備的信息摘要。實際部署時，可以把AP設(shè)定工作在檢測模式以滿足檢測的需求。

·策略管理：定義了確定釣魚設(shè)備的相關(guān)規(guī)則組合，可疑AP設(shè)備的信息摘要需要與具體的判斷策略進(jìn)行逐一匹配。

·釣魚設(shè)備識別：是整個無線環(huán)境設(shè)備幀監(jiān)測方法的核心，會根據(jù)釣魚設(shè)備識別策略中規(guī)則的匹配結(jié)果，最終確定哪些設(shè)備為釣魚設(shè)備。

在實際應(yīng)用時，對釣魚網(wǎng)絡(luò)的檢測過程如下：

（1）檢測設(shè)備，通過對接收到的信號和IEEE 802.11無線幀進(jìn)行分析，創(chuàng)建被檢測到的設(shè)備摘要信息；

（2）釣魚設(shè)備識別模塊根據(jù)配置的策略，判斷被檢測到的設(shè)備是否為釣魚設(shè)備；

（3）如果設(shè)備確定為釣魚設(shè)備時，系統(tǒng)會產(chǎn)生相應(yīng)的日志信息和trap信息；

（4）如果啟動了釣魚設(shè)備抑制功能，則系統(tǒng)將啟動對被檢測到的釣魚設(shè)備的抑制處理。

3.2 三元架構(gòu)的雙向鑒別方法

WAPI標(biāo)準(zhǔn)提出采用三元架構(gòu)的雙向鑒別方法實現(xiàn)鑒別AP設(shè)備的身份，從而確保無線客戶端所連接的AP的合法性。該方法主要針對無線加密認(rèn)證體系中，對AP設(shè)備身份沒有進(jìn)行鑒別認(rèn)證的脆弱性，采用證書技術(shù)，使客戶端和AP之間能夠相互鑒別其合法身份，從而避免連接上釣魚AP。另外，在客戶端連接上合法AP之后，還能通過WAPI加密技術(shù)為用戶傳輸?shù)臄?shù)據(jù)進(jìn)行加密，防止無線嗅探。

WAPI鑒別協(xié)議交互過程如圖2所示。在WAPI安全體制下，無線客戶端和接入點AP二者處于對等地位，二者均具有用于驗證使用的獨立身份憑證，當(dāng)需要確認(rèn)對方身份的合法性時，二者可在公信的第三方AS控制下相互鑒別：接入點AP可以通過AS證書鑒別響應(yīng)驗證無線客戶端的合法性，無線客戶端同樣也可以通過AS驗證接入點AP設(shè)備的合法性。雙向鑒別既可防止未經(jīng)授權(quán)的無線客戶端接入Wi-Fi網(wǎng)絡(luò)，同時也可防止假冒的AP設(shè)備提供非法的接入服務(wù)。

圖2 WAPI鑒別協(xié)議交互過程

在WAPI中使用數(shù)字證書作為用戶身份憑證，在鑒別過程中采用橢圓曲線簽名算法，并使用安全的消息雜湊算法保障消息的完整性，攻擊者難以對鑒別信息進(jìn)行修改和偽造，安全強度高。

3.3 網(wǎng)絡(luò)指紋識別技術(shù)

網(wǎng)絡(luò)指紋識別技術(shù)以驗證運營商無線網(wǎng)絡(luò)系統(tǒng)的指紋作為驗證AP身份的主要手段，用戶可以通過內(nèi)置運營商無線網(wǎng)絡(luò)指紋數(shù)據(jù)庫或查詢運營商提供的在線指紋數(shù)據(jù)庫獲得鑒別結(jié)果。該方法主要針對TCP/IP網(wǎng)絡(luò)中，對DHCP、ARP、Web等服務(wù)的脆弱性，采用指紋識別的方法快速對Wi-Fi涉及的后臺系統(tǒng)進(jìn)行鑒別，以確保用戶認(rèn)證過程中所涉及的系統(tǒng)服務(wù)的合法性。

運營商的無線網(wǎng)絡(luò)指紋包括運營商無線接入點的服務(wù)標(biāo)識、動態(tài)獲取的IP地址、Portal的URL地址等運營商網(wǎng)絡(luò)的專有信息，可以通過收集運營商網(wǎng)絡(luò)中的所有設(shè)備信息建立指紋數(shù)據(jù)庫。

網(wǎng)絡(luò)指紋驗證過程是一項較為復(fù)雜安全控制過程，它的流程大約分為以下3個步驟：

（1）運營商建立所運營網(wǎng)絡(luò)的無線網(wǎng)絡(luò)指紋庫；

（2）客戶端驗證離線指紋庫對無線接入點進(jìn)行快速鑒別；

（3）無法鑒別的無線接入點通過在線指紋庫獲得鑒別結(jié)果。

網(wǎng)絡(luò)指紋驗證技術(shù)結(jié)合了SSL傳輸加密、網(wǎng)絡(luò)指紋庫、數(shù)據(jù)加密、指紋識別以及未來可拓展至的專門的安全芯片等安全技術(shù)控制來確保驗證過程的安全可靠，主要有以下幾個方面：

·在進(jìn)行指紋比對時，需同時采取對客戶端進(jìn)行雙向身份驗證、對指紋特征碼限定時效范圍、生成憑據(jù)以標(biāo)志用戶身份等措施實現(xiàn)驗證過程的可靠性，從而消除欺騙客戶端、服務(wù)器端的安全隱患；

·通過特定算法得到指紋特征碼并融入時間戳加密技術(shù)，使得特征比對信息在短時間內(nèi)一次性有效，驗證完畢則無效，避免受到重放攻擊；

·生成特定的憑據(jù)以標(biāo)志用戶身份，這樣假如在用戶驗證的同一時刻，黑客拿到指紋，但是黑客端電腦沒有憑據(jù)則認(rèn)證也無效，避免了黑客對服務(wù)端發(fā)起拒絕式攻擊而使驗證過程無效。

3.4 3種技術(shù)方法的對比

通過對3種應(yīng)對方法原理和應(yīng)用方案的分析介紹，可見其各有優(yōu)缺點而且針對的脆弱性都有所區(qū)別，在實際應(yīng)用中應(yīng)結(jié)合實際情況進(jìn)行考慮。3種方案的對比見表1。

4 結(jié)束語

Wi-Fi無線釣魚攻擊方式是一種混合了多種協(xié)議漏洞的比較復(fù)雜的攻擊方式，實際場景下比較難防御，能夠產(chǎn)生用戶信息泄露、系統(tǒng)入侵、網(wǎng)絡(luò)終止服務(wù)等安全風(fēng)險，當(dāng)中涉及的工具經(jīng)過修改甚至可以用于對3G、LTE網(wǎng)絡(luò)的攻擊，危害性巨大。總括而言，Wi-Fi無線釣魚攻擊之所以難以防御，是由于IEEE 802.11、TCP/IP自設(shè)計之初所存在的容易仿冒、缺乏身份驗證等弱點，要求實際應(yīng)用防御的方案有很高的要求，必須綜合考慮到各種協(xié)議的特點。本文從深入研究Wi-Fi無線釣魚攻擊的原理和過程出發(fā)，提出了3種應(yīng)對的技術(shù)解決方法，并對其優(yōu)缺點、針對的脆弱性方面進(jìn)行了對比分析，各種方法適用于安全需求不同的場景，在實際應(yīng)用中應(yīng)結(jié)合實際情況進(jìn)行綜合考慮。因此，面對無線釣魚網(wǎng)絡(luò)威脅，一方面除了根據(jù)實際需要綜合使用多種防御方法外，關(guān)鍵之處還是需要多進(jìn)行安全意識宣傳，以提高用戶使用無線網(wǎng)絡(luò)的安全意識，勸導(dǎo)用戶盡量不要使用可疑的無線網(wǎng)絡(luò)。

表1 應(yīng)對無線釣魚網(wǎng)絡(luò)攻擊的解決方法對比

1 譚彥，周俊.運營級Wi-Fi網(wǎng)絡(luò)安全策略.電信技術(shù)，2011(11):14～17

2 高峰，高澤華，文柳等.無線城市電信級Wi-Fi網(wǎng)絡(luò)建設(shè)與運營.北京:人民郵電出版社，2011

3 湯彥丹.構(gòu)建基于有線寬帶網(wǎng)的運營級WLAN網(wǎng)絡(luò).通信技術(shù)，2008（8）:132～134

4 GB15629.11-2003無線局域網(wǎng)媒體訪問控制和物理層規(guī)范，2003