無線WIFI網絡釣魚攻擊的原理與防范

尹川銘 北方民族大學計算機科學與工程學院研究生處

無線WIFI網絡釣魚攻擊的原理與防范

尹川銘 北方民族大學計算機科學與工程學院研究生處

無線WIFI網絡在帶給人們方便，快捷的同時，由于其自身存在的安全缺陷，成為了攻擊者首要的攻擊對象。本文深入WIFI網絡的工作機制，探討了DNS解析原理，并在此基礎上對DNS欺騙攻擊進行了詳細的探究與分析，并提出了相應的防范措施。介紹了DNS劫持攻擊原理與防范方法。

釣魚攻擊 DNS欺騙 DNS劫持

在信息革命時代，中國的互聯網建設得到了飛速發展。無線WIFI網絡作為互聯網的接入部分，直接面向用戶，更是成為家喻戶曉的上網方式。然而無線WIFI網絡安全問題日益嚴峻。2015年6月1號，中國第二屆國家網絡安全宣傳周在北京正式開幕，報告指出免費WIFI“陷阱”已造成經濟損失每年高達到50億。本文就利用無線WIFI網絡釣魚攻擊的原理進行探討，并提出了有效的防范措施。

1 釣魚攻擊

釣魚攻擊（Phishing），釣魚攻擊最顯著的特點就是偽造與竊取。攻擊者在竊取用戶的敏感信息后從事非法活動，如詐騙，盜取用戶錢財，倒賣用戶信息等，賺取非法利益。給用戶帶來極大損失，為互聯網環境帶來極大的安全隱患。

2 DNS

DNS（Domain Name System）及域名解析系統，作為互聯網上的分布式系統，使用有含義的域名來替代復雜難于記性的IP地址來訪問網站。

DNS解析大致可分為三種方式，主機chahe查詢，LocalDNS查詢，遞歸查詢。解析過程如下：

當系統發起解析請求時，會先檢查本地hosts文件是否存在相應的域名-IP映射，如果有則返回IP，解析完成。如果沒有相應的映射，則查找本地DNS解析緩存，如果有則解析完成。

如果本地hosts與DNS解析緩存都沒有解析成功，則向LocalDNS服務器發起查詢，本地DNS服務器會先查詢本地配置資源，如果有則返回IP給客戶機，解析完成，本解析具有權威性。如果本地配置資源解析失敗，則查詢LocalDNS解析緩存，如果有則返回解析結果給客戶機，解析完成，本解析具不有權威性。

如果LocalDNS解析失敗，則進行遞歸查詢。如果LocalDNS設置成非轉發模式，則發送查詢到根DNS服務器，根DNS服務器根據查詢域名返回相信的頂級域名DNS服務器的IP。LocalDNS服務器向返回的頂級域名服務器發起查詢請求，頂級域名服務器根據查詢請求返回下一級域名服務器IP，以此遞歸下去，直到解析完成。如果如果LocalDNS設置成非轉發模式，則向上級DNS服務器發起查詢，上級服務器收到查詢請求會根據是否設置成轉發模式，進行上級DNS查詢，或者向根DNS發起查詢。

3 DNS欺騙攻擊與防范

在此將DNS欺騙狹義的分為DNS欺騙（不包括DNS應答報文偽造攻擊）與DNS劫持。

DNS欺騙攻擊往往與偽AP密不可分。基于偽AP的DNS欺騙攻擊，攻擊者在攻擊之前需要搭建偽AP，然后設置偽AP的SSID為知名的公共WIFI服務集標識，如CMCC，ChinaUnicom，Chinanet等，或者設置成攻擊區域已存在WIFI的同名標識，亦或者設置成獨有的免費WIFI。

根據802.11協議簇，WIFI終端優先接入高dBm的無線網絡，攻擊者往往增加偽AP的發射功率，誘使更多的用戶接入偽AP。

用戶的手持終端，如智能手機，PAD等移動設備往往根據DHCP協議自動獲取IP和DNS信息。攻擊利用這一漏洞，設置AP的DNS信息為攻擊者事先搭建好的虛假DNS服務器，這樣用戶設備的DNS信息就指向了攻擊者事先搭建好的虛假DNS服務器。攻擊者在虛假DNS服務器建立虛假的域名-IP映射，使域名指向釣魚網站。當用戶發起解析請求時，如解析www.ccb.com(建設銀行)時，返回的是攻擊者搭建的建設銀行的頁面，用戶在不知情的狀況下泄露了自己網上銀行的用戶名密碼等信息。

通過上述攻擊過程可以發現，攻擊的重點在于向用戶設備傳遞虛假的DNS信息，使其指向虛假的DNS服務器。因此用戶可以關閉設備自動獲取DNS，手動設置成知名DNS，如114.114.114.114或223.5.5.5等。對于不能設置的終端，可以使用專用的APP進行DNS信息的設置，也就有效的防止了DNS欺騙攻擊。

4 DNS劫持攻擊與防范

DNS使用UDP協議53端口進行通信，當進行DNS解析時，主機會收到DNS應答報文，應答報文通過16位標識字段來區分是對哪個DNS查詢的回應。以此攻擊者可以偽造DNS應答報文，若攻擊者偽造的DNS應答報文先于正確的DNS應答報文到達用戶主機，主機會僅響應偽造的DNS應答報文，而丟棄正確的DNS應答報文。攻擊著可以根據劫持的DNS查詢報文輕易的偽造出虛假DNS應答報文，主機會根據虛假的DNS查詢結果訪問攻擊者搭建的釣魚網站。

DNS劫持利用了DNS設計出缺少對安全問題的考慮所帶來的安全漏洞。針對DNS劫持攻擊用戶可以使用IP地址訪問含有重要信息的網站，如使用106.37.193.78來訪問建設銀行而不是www.ccb. com。使用HttpDNS進行域名解析而不是不安全的DNS。

5 結語

總而言之，無線網絡的技術在不斷進步，黑客的攻擊方式也在日新月異。推廣網絡安全技術是行之有效的解決方法。

[1]金雙齊,凌捷.無線網絡釣魚AP攻擊檢測技術研究[J].計算機應用與軟件,2016,(10):307-310