淺析無線釣魚AP的檢測(cè)研究方案

馮祖洪，潘明芹

(北方民族大學(xué)，寧夏 銀川 750021)

?

淺析無線釣魚AP的檢測(cè)研究方案

馮祖洪，潘明芹

(北方民族大學(xué)，寧夏 銀川 750021)

摘要：本文針對(duì)無線釣魚接入點(diǎn)在無線網(wǎng)絡(luò)中的安全隱患問題，結(jié)合無線釣魚接入點(diǎn)的特征分析，提出了無線接入點(diǎn)安全性檢測(cè)的方法。進(jìn)而提出了一種對(duì)無線釣魚AP具體位置定位的方法。通過檢測(cè)定位無線釣魚AP具體位置，將其剔除，保證無線網(wǎng)絡(luò)的安全、消除網(wǎng)民的安全顧慮。

關(guān)鍵詞：無線釣魚AP；安全性檢測(cè)；收斂法

The Wireless AP Fishing of Shallow Detection Research Plan

Feng Zuhong,Pan Mingqin

(College of Computer Science and Engineering,Beifang University of Nationality,Yinchuan 750021,China)

引言

無線網(wǎng)絡(luò)在帶給人們方便、快捷、高效地網(wǎng)上沖浪的同時(shí)，一些不法分子卻利用公共場(chǎng)所的WiFi網(wǎng)絡(luò)進(jìn)行違法犯罪活動(dòng)，偽造AP熱點(diǎn)誘使用戶連接冒牌AP，達(dá)到各種偷竊，窺探用戶隱私等目的。更有甚者，攻擊者通過相關(guān)技術(shù)向無線用戶端注入木馬病毒等入侵行為。現(xiàn)階段，如何對(duì)這些違法犯罪分子進(jìn)行幀控也成為全社會(huì)面臨的重大難題。

針對(duì)在無線局域網(wǎng)中利用虛假無線AP進(jìn)行釣魚攻擊的威脅，本文提出了對(duì)無線AP的安全性檢測(cè)方法。首先分析無線釣魚AP的各方面特征，通過分析對(duì)比，發(fā)現(xiàn)無線釣魚接入點(diǎn)與正常接入點(diǎn)的鏈路區(qū)別。最終選取目標(biāo)網(wǎng)絡(luò)，根據(jù)MAC地址和網(wǎng)絡(luò)鏈路等特點(diǎn)分析，提出無線釣魚AP的安全性檢測(cè)方法。并在文中最后提出一種能檢測(cè)定位偽造無線接入點(diǎn)的方案。

1無線釣魚接入點(diǎn)的特征分析

1.1無線釣魚接入點(diǎn)

在諸多的無線網(wǎng)絡(luò)安全威脅中，虛假無線接入點(diǎn)的釣魚攻擊已成了一個(gè)重要的安全威脅。所謂的無線釣魚接入點(diǎn)攻擊就是指攻擊者在公共場(chǎng)所搭建一個(gè)偽裝的無線接入點(diǎn)(無線接入點(diǎn)即無線AP，是一個(gè)無線網(wǎng)絡(luò)的接入點(diǎn)，俗稱“熱點(diǎn)”，是無線網(wǎng)絡(luò)的核心，通常被當(dāng)作無線網(wǎng)絡(luò)擴(kuò)充使用)，通過設(shè)置與真實(shí)無線AP完全相同或接近相同的服務(wù)集標(biāo)識(shí)(SSID:Service Set Identifier)，誘使用戶連接上冒牌的無線接入點(diǎn)，進(jìn)一步竊取用戶名和密碼等攻擊。國(guó)外有部分學(xué)者稱之為“Evil Twin AP”(邪惡雙胞胎AP)或者“Rogue AP”(流氓AP)，它看上去和合法授權(quán)的AP一樣具有相同的SSID，但事實(shí)上它是攻擊者設(shè)置的用來竊取受害者的無線通信，無線釣魚AP不是由WLAN運(yùn)營(yíng)商(或相關(guān)管理部門)部署的，所以無線釣魚AP被定義為是不合法的接入點(diǎn)。

1.2無線釣魚AP的鏈路特點(diǎn)

無線釣魚AP既然是一個(gè)非法的接入點(diǎn)，那么從網(wǎng)絡(luò)鏈路上就應(yīng)該能夠找出其不同于合法接入點(diǎn)的特征。無線釣魚接入點(diǎn)接入互聯(lián)網(wǎng)，從客戶端到服務(wù)器端的鏈路上就會(huì)多出無線釣魚接入點(diǎn)這一跳。我們可以通過Ping特定服務(wù)器找出在無線網(wǎng)絡(luò)鏈路上的差別：

比如，我們?cè)谡ｆ溌废翽ing測(cè)試www.mail.qq.com，其結(jié)果顯示如下：

來自192.168.123.25的回復(fù)：字節(jié)=32時(shí)間=23msTTL=51

而連接在無線釣魚接入點(diǎn)上Ping測(cè)試www.mail.qq.com，其結(jié)果顯示如下：

來自192.168.123.25的回復(fù)：字節(jié)=32時(shí)間=42msTTL=51

通過兩個(gè)測(cè)試，其對(duì)比結(jié)果我們可以發(fā)現(xiàn)在應(yīng)答時(shí)間和TTL上的值會(huì)有所不同，可以看出連接無線釣魚接入點(diǎn)的鏈路往返的時(shí)間要比連接正常接入點(diǎn)往返的時(shí)間長(zhǎng)，連接無線釣魚接入點(diǎn)TTL的值要比連接正常接入點(diǎn)的值小。除此之外還可以通過Traceroute進(jìn)行路由追蹤，可以發(fā)現(xiàn)無線釣魚接入點(diǎn)的鏈路上要明顯比正常鏈路上多出一跳路由。

2無線接入點(diǎn)的安全性檢測(cè)方法

通過對(duì)無線釣魚接入點(diǎn)的特征分析，根據(jù)正常接入點(diǎn)與釣魚接入點(diǎn)的MAC地址和網(wǎng)絡(luò)鏈路的區(qū)別，主要從無線接入點(diǎn)的靜態(tài)信息和動(dòng)態(tài)信息兩方面來檢測(cè)其安全性。

2.1無線接入點(diǎn)靜態(tài)信息的安全檢測(cè)

無線接入點(diǎn)的靜態(tài)信息就是指不用連接無線網(wǎng)絡(luò)，直接利用本機(jī)網(wǎng)卡掃描搜索范圍內(nèi)的無線接入點(diǎn)獲取到的信息，如在Linux系統(tǒng)上，使用iw、iwlist等工具掃描到的結(jié)果，有MAC地址、SSID、ESSID、加密方式、信號(hào)強(qiáng)度、Channel等等。每個(gè)無線網(wǎng)絡(luò)接入點(diǎn)都會(huì)有一個(gè)全球唯一的地址，即MAC地址。MAC地址是由48個(gè)二進(jìn)制數(shù)組成，其中前24位是由國(guó)際組織固定地分配給相應(yīng)的廠商，而后24位是由廠商自己來分配的。由于在搭設(shè)無線網(wǎng)絡(luò)接入點(diǎn)時(shí)，通常會(huì)使用同一廠商的設(shè)備，這樣通常具有相同ESSID的無線網(wǎng)絡(luò)接入點(diǎn)的MAC地址的前24位通常都是一樣的。根據(jù)MAC地址的廠商標(biāo)志建立索引，對(duì)所獲取的各個(gè)MAC地址進(jìn)行歸類，檢查每一類MAC地址的數(shù)目。如果有多個(gè)真實(shí)接入點(diǎn)，那么這些接入點(diǎn)極有可能其MAC地址中的廠商標(biāo)志是一樣的，而虛假接入點(diǎn)一般會(huì)有不同的廠商標(biāo)志。所以通過測(cè)試分類，即可初步判斷哪些接入點(diǎn)可能是虛假接入點(diǎn)。由于虛假接入點(diǎn)可以通過修改發(fā)送幀中的信息讓受害者誤判MAC地址信息，所以MAC地址無法作為絕對(duì)的判斷信息，在此基礎(chǔ)上，還要進(jìn)一步進(jìn)行動(dòng)態(tài)檢測(cè)。

2.2無線接入點(diǎn)動(dòng)態(tài)信息的安全檢測(cè)

無線接入點(diǎn)的動(dòng)態(tài)信息就是指主動(dòng)連接搜索到的無線接入點(diǎn)，通過相關(guān)網(wǎng)絡(luò)操作獲取到相關(guān)信息，比如到達(dá)指定IP地址經(jīng)過的路由路徑、請(qǐng)求的應(yīng)答時(shí)間值、TTL值等。該方式可以通過對(duì)不同的網(wǎng)絡(luò)環(huán)境進(jìn)行調(diào)整，獲取虛假無線接入點(diǎn)無法偽造的信息，進(jìn)行對(duì)比，推測(cè)哪些可能是虛假無線接入點(diǎn)。

2.2.1基于到達(dá)指定IP地址路徑的檢測(cè)

對(duì)于在一個(gè)由相同的ESSID的無線網(wǎng)絡(luò)接入點(diǎn)組成的無線網(wǎng)絡(luò)，在相近的時(shí)間內(nèi)對(duì)于每一個(gè)主機(jī)到達(dá)指定的IP地址的路由路徑應(yīng)該是一樣的。當(dāng)連接到一個(gè)偽造的無線網(wǎng)絡(luò)接入點(diǎn)時(shí)，對(duì)到達(dá)一個(gè)指定的IP地址所經(jīng)過的路徑進(jìn)行記錄。然后當(dāng)連接到一個(gè)真實(shí)的無線網(wǎng)絡(luò)接入點(diǎn)時(shí)，對(duì)到達(dá)一個(gè)指定的IP地址所經(jīng)過的路徑進(jìn)行記錄。拿到兩組的記錄數(shù)據(jù)進(jìn)行對(duì)比分析，會(huì)發(fā)現(xiàn)二者的實(shí)驗(yàn)記錄是有所不同的。考慮到無線路由的上網(wǎng)和目標(biāo)是否可以到達(dá)的問題以及Traceroute的時(shí)間原因，我們用Tracerout搜索獲取的路徑信息，比較連接各個(gè)接入點(diǎn)后的最初5跳，并將前5跳的詳細(xì)信息保存下來進(jìn)行比較。在掃描時(shí)，由于網(wǎng)絡(luò)或者路由器等的原因，有時(shí)Tracerout掃描到的信息無法完全顯示出來，所以有的跳數(shù)會(huì)顯示為“* * * * * *”，針對(duì)此類情況，在比較時(shí)無法直接判斷，就先跳過這一跳。然后通過歸類的方法，將路由路徑相同(或相似)的路徑作為索引，通過檢查索引對(duì)應(yīng)的項(xiàng)的數(shù)目即可初步分析，是否有虛假無線接入點(diǎn)。我們根據(jù)每一類的項(xiàng)的數(shù)目分析，倘若某個(gè)路徑信息為索引只對(duì)應(yīng)一項(xiàng)，那么極有可能是虛假接入點(diǎn)。

2.2.2基于到達(dá)指定網(wǎng)絡(luò)可達(dá)性的延遲和TTL的檢測(cè)

在一個(gè)由相同的ESSID的無線網(wǎng)絡(luò)接入點(diǎn)組成的無線網(wǎng)絡(luò)里，對(duì)于到達(dá)相同的網(wǎng)絡(luò)的延時(shí)應(yīng)該是相同或相近的。值得提醒的是從主機(jī)到達(dá)指定網(wǎng)絡(luò)和主機(jī)到達(dá)默認(rèn)網(wǎng)關(guān)的延時(shí)差應(yīng)該是相等的。在偽造無線接入點(diǎn)的出口設(shè)置設(shè)為真的無線網(wǎng)絡(luò)接入點(diǎn)時(shí)，主機(jī)到達(dá)指定網(wǎng)絡(luò)和主機(jī)到達(dá)默認(rèn)網(wǎng)關(guān)的延時(shí)差會(huì)有很大的差別。通過這一特點(diǎn)可以用于檢查無線網(wǎng)絡(luò)接入點(diǎn)的真假。

在使用Ping命令進(jìn)行延時(shí)檢測(cè)的同時(shí)，還可以測(cè)試TTL的值，可以通過多個(gè)TTL的相關(guān)性發(fā)現(xiàn)虛假TTL所對(duì)應(yīng)的接入點(diǎn)。TTL檢測(cè)是根據(jù)構(gòu)造TTL值不同的IP報(bào)文并向遠(yuǎn)端服務(wù)器發(fā)送。根據(jù)TCP/IP協(xié)議，IP報(bào)文中的TTL值代表IP報(bào)文能在網(wǎng)絡(luò)中的生存時(shí)間。例如一IP報(bào)文的TTL值被設(shè)置為10，該報(bào)文每經(jīng)過一個(gè)路由器TTL的值就會(huì)減1，直到遞減為0而導(dǎo)致該報(bào)文丟棄。此時(shí)，接受該報(bào)文的路由器會(huì)像源端發(fā)送ICMP差錯(cuò)，我們可以依次遞增IP報(bào)文中的TTL值獲取報(bào)文經(jīng)過的網(wǎng)絡(luò)路徑上各個(gè)節(jié)點(diǎn)的地址，從而找出TTL所對(duì)應(yīng)的虛假無線接入點(diǎn)。也可以直接利用Ping命令返回的TTL的值進(jìn)行分析，發(fā)現(xiàn)虛假接入點(diǎn)。

3利用收斂法定位虛假無線接入點(diǎn)

虛假無線AP都是在網(wǎng)絡(luò)管理員不知情或未獲得許可的情況下安裝的，外部人員可以免費(fèi)訪問因特網(wǎng)或窺探內(nèi)網(wǎng)查看內(nèi)部信息，問題就變得嚴(yán)重了。為了避免虛假接入點(diǎn)帶來的種種安全隱患，利用上述檢測(cè)方法檢測(cè)出無線網(wǎng)絡(luò)中有虛假無線接入點(diǎn)的存在，找出虛假AP的位置，將其從無線網(wǎng)絡(luò)中剔除，保護(hù)無線網(wǎng)絡(luò)信息安全才是最終目的。

一般，適用于室內(nèi)傳輸?shù)臒o線網(wǎng)卡都是采用全向天線，即在水平方向上表現(xiàn)位360°，都均勻輻射。無論P(yáng)C機(jī)朝向如何，全向天線的信號(hào)強(qiáng)度是不變的，針對(duì)這種特性則適合采用收斂法，來定位其具體位置。除此之外，收斂法還需要WiFi信號(hào)強(qiáng)度測(cè)試儀，用來測(cè)試虛假無線接入點(diǎn)的RF信號(hào)，與接入點(diǎn)的距離越近其測(cè)得的信號(hào)就越強(qiáng)。

在進(jìn)行收斂式的搜索虛假無線AP，需要使用帶全天向的網(wǎng)卡和檢測(cè)信號(hào)強(qiáng)度的工具(首選)或軟件。在需要監(jiān)測(cè)的環(huán)境里，來回走動(dòng)，用強(qiáng)度信號(hào)儀監(jiān)測(cè)信號(hào)強(qiáng)度，粗略地估計(jì)查找虛假無線接入點(diǎn)的范圍。將搜索區(qū)想象成一個(gè)大矩形，然后將其分為四個(gè)象限，如圖1所示：

圖1　收斂法測(cè)試的原理圖

走到搜索區(qū)域的一角，記錄其信號(hào)強(qiáng)度。依次搜素檢測(cè)其它三個(gè)角落并記錄信號(hào)強(qiáng)度。比較記錄信號(hào)強(qiáng)度的值，確定目標(biāo)AP所在的位置，即測(cè)得的信號(hào)強(qiáng)度最強(qiáng)的區(qū)域。本例以左上象限為例，現(xiàn)在將此象限作為新的搜索區(qū)域，并將其劃分為四個(gè)小象限。在這個(gè)區(qū)域內(nèi)再依次搜索檢測(cè)其它三個(gè)角落的信號(hào)強(qiáng)度并將其記錄，然后再比較記錄信號(hào)強(qiáng)度的值。重復(fù)上面的步驟，將搜索區(qū)域劃分為更小的象限。此例，經(jīng)過3次劃分，12次測(cè)量就可以找到目標(biāo)AP。確定虛假無線接入點(diǎn)的位置后，將其從網(wǎng)絡(luò)中剔除，消除無線網(wǎng)絡(luò)中的安全隱患。

4結(jié)束語

無線接入點(diǎn)的安全性，已經(jīng)成為無線網(wǎng)絡(luò)安全的重要因素，結(jié)合無線釣魚AP的特征，本文提出了無線網(wǎng)絡(luò)接入點(diǎn)安全性檢測(cè)的方法。通過檢測(cè)發(fā)現(xiàn)無線網(wǎng)絡(luò)中存有虛假無線接入點(diǎn)，提出利用收斂法定位虛假無線接入點(diǎn)的方法。

本文提出的收斂法是基于全向天的網(wǎng)卡和信號(hào)強(qiáng)度儀，一般比較適合搜索檢測(cè)室內(nèi)或樓層相對(duì)活動(dòng)區(qū)域較小的偽無線接入點(diǎn)。因此，如何更高效、準(zhǔn)確地檢測(cè)定位不受地理環(huán)境影響的虛假無線AP是我們下一步的研究方向。

參考文獻(xiàn)：

[1]Carr,Joseph J.Directional or Omnidirectional Antenna Universal Radio Research.

[2]程科.新型電信詐騙:“釣魚網(wǎng)站”初探[J].中國(guó)公共安全，2011,(03):103-105

[3]禹安勝，金鐵，楊濤.網(wǎng)絡(luò)釣魚攻擊的威脅及防范[J].計(jì)算機(jī)安全，2010，10

[4]黎其武，武良軍.網(wǎng)絡(luò)釣魚犯罪問題研究[J].信息網(wǎng)絡(luò)安全，2011,(4):56-58

[5]莫林麗.無線局域網(wǎng)技術(shù)與安全性研究[J].科技信息，2009.08

[6]潘曉偉.無線局域網(wǎng)安全性探討[J].科技傳播，2011.01

[7]陳偉，顧楊，于樂.高隱蔽性的無線網(wǎng)絡(luò)主動(dòng)釣魚攻擊及防范研究[J].武漢大學(xué)學(xué)報(bào)(理學(xué)版)，2013,59(2)：171-177

[8]楊哲.無線網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)進(jìn)階[M].北京：電子工業(yè)出版社，2011.

中圖分類號(hào):TP393

文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1671-1602(2016)06-0020-02

作者簡(jiǎn)介：馮祖洪(1956-)，男，漢，江蘇無錫人，教授，碩士生導(dǎo)師，北方民族大學(xué)，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)與智能計(jì)算。潘明芹(1990-)，女，漢，山東棗莊人，碩士研究生，北方民族大學(xué)，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)。

基金項(xiàng)目：北方民族大學(xué)校級(jí)創(chuàng)新項(xiàng)目(創(chuàng)新編號(hào)：YCX1569)