公共WiFi安全檢測技術研究與實現(xiàn)

黃院平， 吳越， 孟凡超

(上海交通大學 信息安全工程學院, 上海 200240)

公共WiFi安全檢測技術研究與實現(xiàn)

黃院平， 吳越， 孟凡超

(上海交通大學 信息安全工程學院, 上海 200240)

當前公共WiFi發(fā)展迅猛，在滿足人們上網(wǎng)實用性需求的同時也凸顯出諸多安全性問題。簡要描述了公共WiFi安全檢測技術的研究動態(tài)，結合使用方便性和實際檢測效果，研究實現(xiàn)了一套能夠運行在移動終端、便于攜帶和使用、能直觀展示檢測結果的公共WiFi安全檢測系統(tǒng)，并講解了其實現(xiàn)原理。經(jīng)試驗測試評估，系統(tǒng)使用方便，滿足實際應用需求，對公共WiFi安全問題的檢測與防范具有一定的應用價值。

公共WiFi； 安全檢測技術； 偽AP； 安全評級； 終端實現(xiàn)

0 引言

近年來，全球的WiFi熱點迎來了爆發(fā)式增長。截至2016年6月，全球WiFi熱點總量超過15億，我國的活躍WiFi熱點數(shù)量也超過1.5億，其中公共WiFi熱點數(shù)量約1000萬。與傳統(tǒng)有線網(wǎng)絡相比，無線局域網(wǎng)(WLAN)具有靈活性強、安裝簡單、部署成本低、擴展能力好等優(yōu)點[1]，而且提供無線服務的設備一般發(fā)射信號功率較低，綠色環(huán)保。而公共WiFi作為打造現(xiàn)代“智慧城市”的重要一環(huán)，政府與運營商以及眾多商家合作，致力于建造更多的公共WiFi熱點，以滿足人們對無線上網(wǎng)的旺盛需求。然而根據(jù)調(diào)查，國內(nèi)的公共WiFi熱點超過30%在安全層面上存在缺陷，由此引起的用戶敏感信息泄露、賬號密碼被盜、網(wǎng)絡金融詐騙等各種案例已呈現(xiàn)出快速上升趨勢。惡意用戶利用偽造的熱點(Fake AP)進行釣魚，成本低、危害大，容易形成黑色產(chǎn)業(yè)鏈，嚴重威脅廣大網(wǎng)民切身利益；而國內(nèi)公共WiFi熱點在監(jiān)管層面長期以來也一直存在真空地帶，公共WiFi的安全性正面臨著嚴峻的考驗。

當前，我國手機網(wǎng)民已超過6.5億，其中92%會通過WiFi接入互聯(lián)網(wǎng)，平均每人每天連接WiFi時長超過一小時。如何在用戶終端通過WiFi接入互聯(lián)網(wǎng)之前方便快捷的發(fā)現(xiàn)并降低安全風險，將具有十分重要的意義。

1 相關工作

隨著WiFi熱點的普遍應用，WiFi安全技術的研究也得到了大力發(fā)展。目前國內(nèi)出現(xiàn)了不少WiFi安全軟件，而且功能繁多。但有些軟件的檢測效果并不理想，尤其是針對偽AP攻擊和DNS劫持的檢測，有些軟件僅對本公司的WiFi熱點檢測有效，對其他公司產(chǎn)品安全性的檢測結果差別很大，需要借助服務器，或者連接數(shù)據(jù)庫查詢WiFi熱點白名單列表(White AP List)才能完成檢測，不能直接在用戶終端實現(xiàn)，普通用戶使用起來不方便。

在針對偽AP攻擊檢測的研究方面，文獻[2]利用AP發(fā)送Beacon Frame的時間間隔偏差來檢測偽AP。在遇到優(yōu)先級高的幀插入時，Beacon Frame的發(fā)送間隔會發(fā)生微小偏差，這種隨機的偏差使得攻擊者無法在偽造的AP中預測，因而可以設計算法來檢測是否存在偽AP。文獻[3，4]利用多個客戶端，配合使用White AP List來檢測偽AP，這個List包含已認證AP的服務集標識(SSID)、IP和MAC地址。文獻[5]介紹了在部署了多個AP，移動客戶端使用內(nèi)網(wǎng)IP，都通過一個網(wǎng)關連到互聯(lián)網(wǎng)的前提下，利用不同的AP分步完成終端與服務端SSL認證過程的方式，來檢測使用移動數(shù)據(jù)連接作網(wǎng)關的“邪惡雙胞胎”(ETA)的方法。文獻[6]介紹了一種無需服務器輔助，只用移動客戶端程序，利用計算AP到外網(wǎng)同一目標的路由跳數(shù)(Routing Hop)來檢測ETA和中間人攻擊(MITM)的AP，有效降低了實現(xiàn)成本。

另外，專門檢查WiFi安全性的安全審計軟件通常運行在計算機上，在攜帶和使用上都有所不便；這些軟件大多都比較專業(yè)，對操作要求較高；而且審計結果顯示不直觀，無法使普通用戶迅速了解目標WiFi的安全情況。因此，一款能夠運行在移動終端、便于攜帶和使用、能直觀展示檢測結果的公共WiFi安全檢測系統(tǒng)就顯得非常有必要。

2 研究與實現(xiàn)

構建安全WiFi熱點的常用手段包括：隱藏SSID、物理地址過濾、使用有效的加密方式、使用端口訪問控制技術。為了有效實現(xiàn)WiFi熱點的安全性檢測，本系統(tǒng)(WiFiSeDe)的基本功能包括：SSID掃描、WiFi測速、鄰居設備掃描、DNS檢測、ARP攻擊檢測、偽AP檢測和一鍵掃描共7個部分。系統(tǒng)主界面，如圖1所示。

圖1 系統(tǒng)主界面

下面介紹系統(tǒng)的基本原理和實現(xiàn)過程。

(1) SSID掃描

SSID掃描是對終端設備周邊的WiFi熱點進行掃描，以獲取包括SSID名稱、SSID是否隱藏、終端設備IP和MAC地址、接入點AP的IP和MAC地址、首選和備選DNS服務器地址，以及信號強度、加密方式、所在頻段等信息，詳細結果以文本形式向用戶展示，是安全檢測的基礎內(nèi)容。

(2) WiFi測速

WiFi測速是為了獲取目標WiFi與互聯(lián)網(wǎng)的連接速度。本系統(tǒng)采用的方法是使用獨立線程讀取指定URL圖片完成下載操作，統(tǒng)計一定時間內(nèi)完成的字節(jié)數(shù)，計算網(wǎng)絡速度。

(3) 鄰居設備掃描

鄰居設備掃描是獲取接入同一WiFi網(wǎng)絡的其它設備信息。其基本原理是向連接在網(wǎng)段內(nèi)的所有設備發(fā)送UDP報文，觸發(fā)ARP表更新，通過ARP表的變化來檢測是否有鄰居設備并列出其參數(shù)信息。當檢測出鄰居設備時，可以認為該熱點未做二層隔離的可能性很大。

(4) DNS檢測

DNS劫持是常見的攻擊方式，其基本原理是攻擊者對目標網(wǎng)絡劫持域名解析的請求，使其不能正常響應或者跳轉到攻擊者指定的網(wǎng)址。DNS劫持會導致用戶泄露敏感信息、危及財產(chǎn)安全，但目前并沒有非常好的方法能準確地檢測出來。

市場上推出的軟件中對DNS劫持的檢測通常針對本公司的DNS地址有效，對其它公司則并不能真實有效檢測出來。本系統(tǒng)對DNS的檢測是為了給用戶一個警示作用。系統(tǒng)中保存了一批知名公司的相對安全的DNS服務器地址，在檢測到設備終端連接的DNS服務器地址不在這些地址范圍內(nèi)時，提醒用戶注意防范風險。

(5) ARP攻擊檢測

ARP攻擊是通過偽造IP地址和MAC地址的映射關系，從而監(jiān)視或偽造原通信方內(nèi)容，達到會話劫持、網(wǎng)頁注入等惡意攻擊的目的。為了檢測目標WiFi網(wǎng)絡中是否存在ARP攻擊，系統(tǒng)采用對比ARP表中已連接AP網(wǎng)關的MAC地址與SSID廣播設備的MAC是否一致來驗證。當然這個方法的實現(xiàn)有個前提，即要求提供公共WiFi的AP就是網(wǎng)關本身，并不是針對所有情形的WiFi網(wǎng)絡。

(6) 偽AP攻擊檢測

偽AP攻擊的原理是攻擊者通過無線路由、網(wǎng)卡設置，將SSID和MAC地址進行修改，偽裝成合法AP提供WiFi服務，誘騙用戶連接到此AP站點，從而竊取用戶敏感信息。

為有效降低用戶成本，使得用戶僅利用終端設備就能方便有效的實現(xiàn)偽AP的檢測，本系統(tǒng)實現(xiàn)了文獻[6]描述的方法，并進行了一些改進。針對使用WEP、WPA、WPA2等認證方式的傳統(tǒng)WiFi熱點，采用計算AP到WiFi網(wǎng)關的路由跳數(shù)方式來檢測偽AP；但這個方法也有限制，即不能對使用802.1X認證方式的WiFi進行檢測，原因是這種條件下，無法實現(xiàn)AP切換。當WiFi網(wǎng)絡有多AP時，分次逐個檢測。

對此類WiFi熱點的偽AP檢測算法模型，如圖2所示。圖2其檢測步驟為：

假設存在兩個AP，其SSID和MAC都相同，則獲取這兩個AP的IP地址進行比較。

① 若兩個AP的IP相等，分別追蹤兩個AP到WiFi網(wǎng)關的路由情況，比較跳數(shù)；

② 此時兩路由跳數(shù)不可能相等，因為根據(jù)網(wǎng)絡通信規(guī)則，同一網(wǎng)絡內(nèi)不可能出現(xiàn)IP相等且路由相同的通信設備，否則報地址沖突；

③ 若路由跳數(shù)不同，說明兩個AP中存在一個偽AP，但不能確定誰真誰偽，則系統(tǒng)給出提示，警告用戶該熱點不安全；

④ 若兩個AP的IP不等，則比較其是否在同一網(wǎng)段；

⑤ 若在同一網(wǎng)段：說明兩個AP是由同一公司或運營商布設，用于負載均衡的不同AP點，則提示用戶該熱點安全；

圖2 偽AP攻擊檢測算法模型

⑥ 若不在同一網(wǎng)段，分別追蹤兩個AP到WiFi網(wǎng)關的路由情況，比較跳數(shù)；

⑦ 跳數(shù)相同：存在偽AP，但不確定誰真誰偽，系統(tǒng)給出提示，警告用戶該熱點不安全；

⑧ 跳數(shù)不同：可確定跳數(shù)多的是中間人攻擊的偽AP，并告知用戶檢測結果。

(7) 一鍵掃描

一鍵掃描綜合了上述各項功能，對各項檢測結果進行加權統(tǒng)計，以直觀的“得分”方式給出目標WiFi網(wǎng)絡的綜合性安全評級，向用戶展示該WiFi熱點的安全情況。

設最終得分為SUM，各功能分數(shù)均為100分，是否存在問題為Qi(i=1,2,…,4，Qi=0表示該項功能檢測結果安全，Qi=4則表示最不安全),各項功能加權系數(shù)為ɑi(i=1,2,…,4)，如表1所示。

表1 系統(tǒng)各項功能加權系數(shù)

則計算最終得分的公式如下：

當SUM≥90時，認為該WiFi熱點是安全的；當80≤SUM<90時，警示用戶該熱點存在一定風險，存在的隱患是未做二層隔離，同時未使用推薦的DNS地址；當S<80時，警告用戶該熱點存在重大風險如ARP攻擊或者偽AP攻擊。

3 軟件測試

為了檢驗本系統(tǒng)實現(xiàn)的各項功能確實有效，本節(jié)對系統(tǒng)的功能做了基本測試。測試分兩部分進行：一是選取了部分CMCC、CMCC-WEB、ChinaNet、i-Shanghai、某地鐵WiFi，以及少量商店熱點等實際公共WiFi熱點，檢測可能存在的風險；二是利用網(wǎng)絡下載的攻擊工具進行模擬攻擊試驗。

同時，為了驗證偽AP檢測的有效性，分別利用無線路由器、筆記本電腦和智能手機，搭建AP場景用于試驗。

(1) SSID掃描與WiFi測速

此兩項檢測結果計入最終得分，僅作為測試功能指標。共測試576次，其中SSID掃描結果與智能手機自帶的WiFi掃描結果進行對比，570次基本沒有差別，6次差別較大； WiFi測速有527次正常測出網(wǎng)速，49次因信號質(zhì)量不好或網(wǎng)速不佳等原因?qū)е鲁绦蚩D未能測出網(wǎng)速。

(2) 鄰居設備掃描與DNS檢測

鄰居設備掃描共測試576次，其中549次掃描出鄰居設備，說明選取受檢的WiFi大部分沒有做二層隔離；DNS檢測共測試325次，其中169次提示用戶未使用推薦DNS地址，注意，這并不是意味著存在這么多次DNS劫持。

(3) ARP攻擊與偽AP攻擊檢測

此兩項檢測結果作為表1中加權系數(shù)較大的兩項計入最終得分。在上述選取的實際公共WiFi中對ARP攻擊與偽AP攻擊檢測共測試325次。

其中符合ARP攻擊檢測前提——即公共WiFi的AP就是網(wǎng)關本身共182次，檢測到存在ARP攻擊風險3次。為了進一步驗證ARP攻擊檢測方法的有效性，使用攻擊工具對熱點進行模擬攻擊試驗128次，其中115次檢測出攻擊結果，而同時使用某“手機**”在此類模擬攻擊試驗中沒有檢測出異常，驗證了該檢測方法的有效性。

對偽AP攻擊檢測中，檢測出偽AP一次。為了利于對比，利用已有的無線路由器、筆記本在檢出偽AP的WiFi熱點處搭建偽AP進行測試，系統(tǒng)同樣能檢出剛剛搭建的偽AP，說明該結果具備一定的可信度。

同時，選定一家符合測試條件的WiFi熱點，利用上述設備搭建AP，共測試128次；其中一個真AP，一個偽AP的64次，兩個都是真AP的64次。結果系統(tǒng)58次報熱點安全，70次報存在偽AP風險，可見存在誤報6次。

為了搞清誤報原因，利用分析工具對該熱點進行深入分析后發(fā)現(xiàn)，產(chǎn)生誤報的原因是距離變化導致的信號強度降低。當距離拉大，信號強度降低到某程度時，路由獲取的難度和時延加大。根據(jù)檢測算法進行路由跳數(shù)對比時，可能存在一個已經(jīng)返回路由跳數(shù)，另一個在默認時間內(nèi)得不到路由跳數(shù)，從而使得系統(tǒng)認為兩個路由跳數(shù)不同導致誤報。在保證信號強度處于合理水平時重做該項檢測32次，則不再產(chǎn)生誤報。

在針對實際選取的WiFi所做的試驗中，系統(tǒng)各選項測試的次數(shù)與結果對比如圖3所示。而針對ARP攻擊檢測與偽AP攻擊檢測的模擬攻擊試驗的結果如圖4所示。

可見在已有的模擬攻擊實驗中，ARP攻擊檢測漏報率為10.16%，偽AP檢測誤報率為9.38%。

另外在試驗中還發(fā)現(xiàn)，有些公共WiFi熱點的網(wǎng)關做了

圖3 實際WiFi熱點測試與檢出次數(shù)對比

圖4 ARP攻擊與偽AP模擬攻擊檢測試驗

安全策略，比如對ICMP數(shù)據(jù)包進行了阻斷。因為本系統(tǒng)的路由追蹤策略是通過ICMP完成的，這種情況將得不到路由結果，也影響到對偽AP的檢測。

5 總結

文章介紹了公共WiFi安全檢測技術的基本原理，設計實現(xiàn)的公共WiFi安全檢測系統(tǒng)可運行在移動終端、便于攜帶使用、能直觀展示檢測結果，經(jīng)上節(jié)的試驗表明，不管是選取的實際WiFi熱點，還是模擬攻擊場景，在滿足設定條件前提下，本系統(tǒng)基本滿足文中提到的實際需求，具備一定的應用價值。

本系統(tǒng)在實現(xiàn)過程中，提出了一些假設條件，例如ARP檢測選項要求公共WiFi的AP就是網(wǎng)關本身，偽AP攻擊檢測要求公共WiFi的認證方式是不能是802.1X等。下一步研究工作包括：逐步減少限制條件，擴大系統(tǒng)應用范圍；加大系統(tǒng)測試力度，增加試驗樣本數(shù)量，提高檢測結果置信度。

[1] 高峰,高澤華,文柳,等編著.《無線城市：電信級Wi-Fi網(wǎng)絡建設與運營(第2版)》[M].北京：人民郵電出版社， 2012:10-13.

[2] Kao K F, Chen W C, Chang J C, et al. An Accurate Fake Access Point Detection Method Based on Deviation of Beacon Time Interval[C]// IEEE Eighth International Conference on Software Security and ReliabilityCompanion. IEEE, 2014:1-2.

[3] Vanjale S B, Mane P B, Patil S V. Wireless LAN Intrusion Detection and Prevention system for Malicious Access Point[C]// International Conference on Computing for Sustainable Global Development. IEEE, 2015:487-490.

[4] Alotaibi B, Elleithy K. An empirical fingerprint framework to detect Rogue Access Points[C]// IEEE Long Island Systems, Applications and Technology Conference, Lisat. 2015:30.

[5] Nakhila O, Dondyk E, Amjad M F, et al. User-side Wi-Fi Evil Twin Attack detection using SSL/TCP protocols[J]. 2015:239-244.

[6] Nikbakhsh S, Manaf A B A, Zamani M, et al. A Novel Approach for Rogue Access Point Detection on the Client-Side[C]// International Conference on Advanced Information NETWORKING and Applications Workshops. 2012:684-687.

Research and Implementation of Public WiFi Security Detection Technology

Huang Yuanping, Wu Yue, Meng Fanchao

(School of Information Security Engineering, Shanghai Jiao Tong University 200240)

At present, public WiFi meets the practical requirement for the Internet access and rapidly develops, but it exists many security problems. Researches of public WiFi security detection technology is described in this paper.Combined with the convenience and practical detection effect, a public WiFi security detection system has been researched and implemented, run on mobile terminals and is easyte use. Meanwhile, its implementation principle is explained in the paper. After testing and evaluation, the system is proved to be easy to use, can meet the practical requirements, and has a certain application value for detection and prevention of public WiFi security problems.

Public WiFi; Security detection technology; Fake AP; Security grade; Implementation on terminal

國家自然科學基金(61271220)

黃院平(1980-),男, 碩士研究生,上海交通大學信息安全工程學院,研究方向：無線網(wǎng)絡安全. 吳越(1968-),男,碩士生導師,副教授,研究方向：無線網(wǎng)絡安全. 孟凡超(1992-),男,碩士研究生,研究方向：無線網(wǎng)絡安全.

1007-757X(2017)04-0001-03

TP311

A

2016.12.03)