淺析無線釣魚AP的檢測研究方案

馮祖洪，潘明芹

(北方民族大學，寧夏 銀川 750021)

?

淺析無線釣魚AP的檢測研究方案

馮祖洪，潘明芹

(北方民族大學，寧夏 銀川 750021)

摘要：本文針對無線釣魚接入點在無線網絡中的安全隱患問題，結合無線釣魚接入點的特征分析，提出了無線接入點安全性檢測的方法。進而提出了一種對無線釣魚AP具體位置定位的方法。通過檢測定位無線釣魚AP具體位置，將其剔除，保證無線網絡的安全、消除網民的安全顧慮。

關鍵詞：無線釣魚AP；安全性檢測；收斂法

The Wireless AP Fishing of Shallow Detection Research Plan

Feng Zuhong,Pan Mingqin

(College of Computer Science and Engineering,Beifang University of Nationality,Yinchuan 750021,China)

引言

無線網絡在帶給人們方便、快捷、高效地網上沖浪的同時，一些不法分子卻利用公共場所的WiFi網絡進行違法犯罪活動，偽造AP熱點誘使用戶連接冒牌AP，達到各種偷竊，窺探用戶隱私等目的。更有甚者，攻擊者通過相關技術向無線用戶端注入木馬病毒等入侵行為。現階段，如何對這些違法犯罪分子進行幀控也成為全社會面臨的重大難題。

針對在無線局域網中利用虛假無線AP進行釣魚攻擊的威脅，本文提出了對無線AP的安全性檢測方法。首先分析無線釣魚AP的各方面特征，通過分析對比，發現無線釣魚接入點與正常接入點的鏈路區別。最終選取目標網絡，根據MAC地址和網絡鏈路等特點分析，提出無線釣魚AP的安全性檢測方法。并在文中最后提出一種能檢測定位偽造無線接入點的方案。

1無線釣魚接入點的特征分析

1.1無線釣魚接入點

在諸多的無線網絡安全威脅中，虛假無線接入點的釣魚攻擊已成了一個重要的安全威脅。所謂的無線釣魚接入點攻擊就是指攻擊者在公共場所搭建一個偽裝的無線接入點(無線接入點即無線AP，是一個無線網絡的接入點，俗稱“熱點”，是無線網絡的核心，通常被當作無線網絡擴充使用)，通過設置與真實無線AP完全相同或接近相同的服務集標識(SSID:Service Set Identifier)，誘使用戶連接上冒牌的無線接入點，進一步竊取用戶名和密碼等攻擊。國外有部分學者稱之為“Evil Twin AP”(邪惡雙胞胎AP)或者“Rogue AP”(流氓AP)，它看上去和合法授權的AP一樣具有相同的SSID，但事實上它是攻擊者設置的用來竊取受害者的無線通信，無線釣魚AP不是由WLAN運營商(或相關管理部門)部署的，所以無線釣魚AP被定義為是不合法的接入點。

1.2無線釣魚AP的鏈路特點

無線釣魚AP既然是一個非法的接入點，那么從網絡鏈路上就應該能夠找出其不同于合法接入點的特征。無線釣魚接入點接入互聯網，從客戶端到服務器端的鏈路上就會多出無線釣魚接入點這一跳。我們可以通過Ping特定服務器找出在無線網絡鏈路上的差別：

比如，我們在正常鏈路下Ping測試www.mail.qq.com，其結果顯示如下：

來自192.168.123.25的回復：字節=32時間=23msTTL=51

而連接在無線釣魚接入點上Ping測試www.mail.qq.com，其結果顯示如下：

來自192.168.123.25的回復：字節=32時間=42msTTL=51

通過兩個測試，其對比結果我們可以發現在應答時間和TTL上的值會有所不同，可以看出連接無線釣魚接入點的鏈路往返的時間要比連接正常接入點往返的時間長，連接無線釣魚接入點TTL的值要比連接正常接入點的值小。除此之外還可以通過Traceroute進行路由追蹤，可以發現無線釣魚接入點的鏈路上要明顯比正常鏈路上多出一跳路由。

2無線接入點的安全性檢測方法

通過對無線釣魚接入點的特征分析，根據正常接入點與釣魚接入點的MAC地址和網絡鏈路的區別，主要從無線接入點的靜態信息和動態信息兩方面來檢測其安全性。

2.1無線接入點靜態信息的安全檢測

無線接入點的靜態信息就是指不用連接無線網絡，直接利用本機網卡掃描搜索范圍內的無線接入點獲取到的信息，如在Linux系統上，使用iw、iwlist等工具掃描到的結果，有MAC地址、SSID、ESSID、加密方式、信號強度、Channel等等。每個無線網絡接入點都會有一個全球唯一的地址，即MAC地址。MAC地址是由48個二進制數組成，其中前24位是由國際組織固定地分配給相應的廠商，而后24位是由廠商自己來分配的。由于在搭設無線網絡接入點時，通常會使用同一廠商的設備，這樣通常具有相同ESSID的無線網絡接入點的MAC地址的前24位通常都是一樣的。根據MAC地址的廠商標志建立索引，對所獲取的各個MAC地址進行歸類，檢查每一類MAC地址的數目。如果有多個真實接入點，那么這些接入點極有可能其MAC地址中的廠商標志是一樣的，而虛假接入點一般會有不同的廠商標志。所以通過測試分類，即可初步判斷哪些接入點可能是虛假接入點。由于虛假接入點可以通過修改發送幀中的信息讓受害者誤判MAC地址信息，所以MAC地址無法作為絕對的判斷信息，在此基礎上，還要進一步進行動態檢測。

2.2無線接入點動態信息的安全檢測

無線接入點的動態信息就是指主動連接搜索到的無線接入點，通過相關網絡操作獲取到相關信息，比如到達指定IP地址經過的路由路徑、請求的應答時間值、TTL值等。該方式可以通過對不同的網絡環境進行調整，獲取虛假無線接入點無法偽造的信息，進行對比，推測哪些可能是虛假無線接入點。

2.2.1基于到達指定IP地址路徑的檢測

對于在一個由相同的ESSID的無線網絡接入點組成的無線網絡，在相近的時間內對于每一個主機到達指定的IP地址的路由路徑應該是一樣的。當連接到一個偽造的無線網絡接入點時，對到達一個指定的IP地址所經過的路徑進行記錄。然后當連接到一個真實的無線網絡接入點時，對到達一個指定的IP地址所經過的路徑進行記錄。拿到兩組的記錄數據進行對比分析，會發現二者的實驗記錄是有所不同的。考慮到無線路由的上網和目標是否可以到達的問題以及Traceroute的時間原因，我們用Tracerout搜索獲取的路徑信息，比較連接各個接入點后的最初5跳，并將前5跳的詳細信息保存下來進行比較。在掃描時，由于網絡或者路由器等的原因，有時Tracerout掃描到的信息無法完全顯示出來，所以有的跳數會顯示為“* * * * * *”，針對此類情況，在比較時無法直接判斷，就先跳過這一跳。然后通過歸類的方法，將路由路徑相同(或相似)的路徑作為索引，通過檢查索引對應的項的數目即可初步分析，是否有虛假無線接入點。我們根據每一類的項的數目分析，倘若某個路徑信息為索引只對應一項，那么極有可能是虛假接入點。

2.2.2基于到達指定網絡可達性的延遲和TTL的檢測

在一個由相同的ESSID的無線網絡接入點組成的無線網絡里，對于到達相同的網絡的延時應該是相同或相近的。值得提醒的是從主機到達指定網絡和主機到達默認網關的延時差應該是相等的。在偽造無線接入點的出口設置設為真的無線網絡接入點時，主機到達指定網絡和主機到達默認網關的延時差會有很大的差別。通過這一特點可以用于檢查無線網絡接入點的真假。

在使用Ping命令進行延時檢測的同時，還可以測試TTL的值，可以通過多個TTL的相關性發現虛假TTL所對應的接入點。TTL檢測是根據構造TTL值不同的IP報文并向遠端服務器發送。根據TCP/IP協議，IP報文中的TTL值代表IP報文能在網絡中的生存時間。例如一IP報文的TTL值被設置為10，該報文每經過一個路由器TTL的值就會減1，直到遞減為0而導致該報文丟棄。此時，接受該報文的路由器會像源端發送ICMP差錯，我們可以依次遞增IP報文中的TTL值獲取報文經過的網絡路徑上各個節點的地址，從而找出TTL所對應的虛假無線接入點。也可以直接利用Ping命令返回的TTL的值進行分析，發現虛假接入點。

3利用收斂法定位虛假無線接入點

虛假無線AP都是在網絡管理員不知情或未獲得許可的情況下安裝的，外部人員可以免費訪問因特網或窺探內網查看內部信息，問題就變得嚴重了。為了避免虛假接入點帶來的種種安全隱患，利用上述檢測方法檢測出無線網絡中有虛假無線接入點的存在，找出虛假AP的位置，將其從無線網絡中剔除，保護無線網絡信息安全才是最終目的。

一般，適用于室內傳輸的無線網卡都是采用全向天線，即在水平方向上表現位360°，都均勻輻射。無論PC機朝向如何，全向天線的信號強度是不變的，針對這種特性則適合采用收斂法，來定位其具體位置。除此之外，收斂法還需要WiFi信號強度測試儀，用來測試虛假無線接入點的RF信號，與接入點的距離越近其測得的信號就越強。

在進行收斂式的搜索虛假無線AP，需要使用帶全天向的網卡和檢測信號強度的工具(首選)或軟件。在需要監測的環境里，來回走動，用強度信號儀監測信號強度，粗略地估計查找虛假無線接入點的范圍。將搜索區想象成一個大矩形，然后將其分為四個象限，如圖1所示：

圖1　收斂法測試的原理圖

走到搜索區域的一角，記錄其信號強度。依次搜素檢測其它三個角落并記錄信號強度。比較記錄信號強度的值，確定目標AP所在的位置，即測得的信號強度最強的區域。本例以左上象限為例，現在將此象限作為新的搜索區域，并將其劃分為四個小象限。在這個區域內再依次搜索檢測其它三個角落的信號強度并將其記錄，然后再比較記錄信號強度的值。重復上面的步驟，將搜索區域劃分為更小的象限。此例，經過3次劃分，12次測量就可以找到目標AP。確定虛假無線接入點的位置后，將其從網絡中剔除，消除無線網絡中的安全隱患。

4結束語

無線接入點的安全性，已經成為無線網絡安全的重要因素，結合無線釣魚AP的特征，本文提出了無線網絡接入點安全性檢測的方法。通過檢測發現無線網絡中存有虛假無線接入點，提出利用收斂法定位虛假無線接入點的方法。

本文提出的收斂法是基于全向天的網卡和信號強度儀，一般比較適合搜索檢測室內或樓層相對活動區域較小的偽無線接入點。因此，如何更高效、準確地檢測定位不受地理環境影響的虛假無線AP是我們下一步的研究方向。

參考文獻：

[1]Carr,Joseph J.Directional or Omnidirectional Antenna Universal Radio Research.

[2]程科.新型電信詐騙:“釣魚網站”初探[J].中國公共安全，2011,(03):103-105

[3]禹安勝，金鐵，楊濤.網絡釣魚攻擊的威脅及防范[J].計算機安全，2010，10

[4]黎其武，武良軍.網絡釣魚犯罪問題研究[J].信息網絡安全，2011,(4):56-58

[5]莫林麗.無線局域網技術與安全性研究[J].科技信息，2009.08

[6]潘曉偉.無線局域網安全性探討[J].科技傳播，2011.01

[7]陳偉，顧楊，于樂.高隱蔽性的無線網絡主動釣魚攻擊及防范研究[J].武漢大學學報(理學版)，2013,59(2)：171-177

[8]楊哲.無線網絡安全攻防實戰進階[M].北京：電子工業出版社，2011.

中圖分類號:TP393

文獻標志碼：A

文章編號：1671-1602(2016)06-0020-02

作者簡介：馮祖洪(1956-)，男，漢，江蘇無錫人，教授，碩士生導師，北方民族大學，研究方向：計算機網絡與智能計算。潘明芹(1990-)，女，漢，山東棗莊人，碩士研究生，北方民族大學，研究方向：計算機網絡。

基金項目：北方民族大學校級創新項目(創新編號：YCX1569)