無(wú)線WIFI網(wǎng)絡(luò)釣魚(yú)攻擊的原理與防范

尹川銘 北方民族大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院研究生處

無(wú)線WIFI網(wǎng)絡(luò)釣魚(yú)攻擊的原理與防范

尹川銘 北方民族大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院研究生處

無(wú)線WIFI網(wǎng)絡(luò)在帶給人們方便，快捷的同時(shí)，由于其自身存在的安全缺陷，成為了攻擊者首要的攻擊對(duì)象。本文深入WIFI網(wǎng)絡(luò)的工作機(jī)制，探討了DNS解析原理，并在此基礎(chǔ)上對(duì)DNS欺騙攻擊進(jìn)行了詳細(xì)的探究與分析，并提出了相應(yīng)的防范措施。介紹了DNS劫持攻擊原理與防范方法。

釣魚(yú)攻擊 DNS欺騙 DNS劫持

在信息革命時(shí)代，中國(guó)的互聯(lián)網(wǎng)建設(shè)得到了飛速發(fā)展。無(wú)線WIFI網(wǎng)絡(luò)作為互聯(lián)網(wǎng)的接入部分，直接面向用戶(hù)，更是成為家喻戶(hù)曉的上網(wǎng)方式。然而無(wú)線WIFI網(wǎng)絡(luò)安全問(wèn)題日益嚴(yán)峻。2015年6月1號(hào)，中國(guó)第二屆國(guó)家網(wǎng)絡(luò)安全宣傳周在北京正式開(kāi)幕，報(bào)告指出免費(fèi)WIFI“陷阱”已造成經(jīng)濟(jì)損失每年高達(dá)到50億。本文就利用無(wú)線WIFI網(wǎng)絡(luò)釣魚(yú)攻擊的原理進(jìn)行探討，并提出了有效的防范措施。

1 釣魚(yú)攻擊

釣魚(yú)攻擊（Phishing），釣魚(yú)攻擊最顯著的特點(diǎn)就是偽造與竊取。攻擊者在竊取用戶(hù)的敏感信息后從事非法活動(dòng)，如詐騙，盜取用戶(hù)錢(qián)財(cái)，倒賣(mài)用戶(hù)信息等，賺取非法利益。給用戶(hù)帶來(lái)極大損失，為互聯(lián)網(wǎng)環(huán)境帶來(lái)極大的安全隱患。

2 DNS

DNS（Domain Name System）及域名解析系統(tǒng)，作為互聯(lián)網(wǎng)上的分布式系統(tǒng)，使用有含義的域名來(lái)替代復(fù)雜難于記性的IP地址來(lái)訪問(wèn)網(wǎng)站。

DNS解析大致可分為三種方式，主機(jī)chahe查詢(xún)，LocalDNS查詢(xún)，遞歸查詢(xún)。解析過(guò)程如下：

當(dāng)系統(tǒng)發(fā)起解析請(qǐng)求時(shí)，會(huì)先檢查本地hosts文件是否存在相應(yīng)的域名-IP映射，如果有則返回IP，解析完成。如果沒(méi)有相應(yīng)的映射，則查找本地DNS解析緩存，如果有則解析完成。

如果本地hosts與DNS解析緩存都沒(méi)有解析成功，則向LocalDNS服務(wù)器發(fā)起查詢(xún)，本地DNS服務(wù)器會(huì)先查詢(xún)本地配置資源，如果有則返回IP給客戶(hù)機(jī)，解析完成，本解析具有權(quán)威性。如果本地配置資源解析失敗，則查詢(xún)LocalDNS解析緩存，如果有則返回解析結(jié)果給客戶(hù)機(jī)，解析完成，本解析具不有權(quán)威性。

如果LocalDNS解析失敗，則進(jìn)行遞歸查詢(xún)。如果LocalDNS設(shè)置成非轉(zhuǎn)發(fā)模式，則發(fā)送查詢(xún)到根DNS服務(wù)器，根DNS服務(wù)器根據(jù)查詢(xún)域名返回相信的頂級(jí)域名DNS服務(wù)器的IP。LocalDNS服務(wù)器向返回的頂級(jí)域名服務(wù)器發(fā)起查詢(xún)請(qǐng)求，頂級(jí)域名服務(wù)器根據(jù)查詢(xún)請(qǐng)求返回下一級(jí)域名服務(wù)器IP，以此遞歸下去，直到解析完成。如果如果LocalDNS設(shè)置成非轉(zhuǎn)發(fā)模式，則向上級(jí)DNS服務(wù)器發(fā)起查詢(xún)，上級(jí)服務(wù)器收到查詢(xún)請(qǐng)求會(huì)根據(jù)是否設(shè)置成轉(zhuǎn)發(fā)模式，進(jìn)行上級(jí)DNS查詢(xún)，或者向根DNS發(fā)起查詢(xún)。

3 DNS欺騙攻擊與防范

在此將DNS欺騙狹義的分為DNS欺騙（不包括DNS應(yīng)答報(bào)文偽造攻擊）與DNS劫持。

DNS欺騙攻擊往往與偽AP密不可分。基于偽AP的DNS欺騙攻擊，攻擊者在攻擊之前需要搭建偽AP，然后設(shè)置偽AP的SSID為知名的公共WIFI服務(wù)集標(biāo)識(shí)，如CMCC，ChinaUnicom，Chinanet等，或者設(shè)置成攻擊區(qū)域已存在WIFI的同名標(biāo)識(shí)，亦或者設(shè)置成獨(dú)有的免費(fèi)WIFI。

根據(jù)802.11協(xié)議簇，WIFI終端優(yōu)先接入高dBm的無(wú)線網(wǎng)絡(luò)，攻擊者往往增加偽AP的發(fā)射功率，誘使更多的用戶(hù)接入偽AP。

用戶(hù)的手持終端，如智能手機(jī)，PAD等移動(dòng)設(shè)備往往根據(jù)DHCP協(xié)議自動(dòng)獲取IP和DNS信息。攻擊利用這一漏洞，設(shè)置AP的DNS信息為攻擊者事先搭建好的虛假DNS服務(wù)器，這樣用戶(hù)設(shè)備的DNS信息就指向了攻擊者事先搭建好的虛假DNS服務(wù)器。攻擊者在虛假DNS服務(wù)器建立虛假的域名-IP映射，使域名指向釣魚(yú)網(wǎng)站。當(dāng)用戶(hù)發(fā)起解析請(qǐng)求時(shí)，如解析www.ccb.com(建設(shè)銀行)時(shí)，返回的是攻擊者搭建的建設(shè)銀行的頁(yè)面，用戶(hù)在不知情的狀況下泄露了自己網(wǎng)上銀行的用戶(hù)名密碼等信息。

通過(guò)上述攻擊過(guò)程可以發(fā)現(xiàn)，攻擊的重點(diǎn)在于向用戶(hù)設(shè)備傳遞虛假的DNS信息，使其指向虛假的DNS服務(wù)器。因此用戶(hù)可以關(guān)閉設(shè)備自動(dòng)獲取DNS，手動(dòng)設(shè)置成知名DNS，如114.114.114.114或223.5.5.5等。對(duì)于不能設(shè)置的終端，可以使用專(zhuān)用的APP進(jìn)行DNS信息的設(shè)置，也就有效的防止了DNS欺騙攻擊。

4 DNS劫持攻擊與防范

DNS使用UDP協(xié)議53端口進(jìn)行通信，當(dāng)進(jìn)行DNS解析時(shí)，主機(jī)會(huì)收到DNS應(yīng)答報(bào)文，應(yīng)答報(bào)文通過(guò)16位標(biāo)識(shí)字段來(lái)區(qū)分是對(duì)哪個(gè)DNS查詢(xún)的回應(yīng)。以此攻擊者可以偽造DNS應(yīng)答報(bào)文，若攻擊者偽造的DNS應(yīng)答報(bào)文先于正確的DNS應(yīng)答報(bào)文到達(dá)用戶(hù)主機(jī)，主機(jī)會(huì)僅響應(yīng)偽造的DNS應(yīng)答報(bào)文，而丟棄正確的DNS應(yīng)答報(bào)文。攻擊著可以根據(jù)劫持的DNS查詢(xún)報(bào)文輕易的偽造出虛假DNS應(yīng)答報(bào)文，主機(jī)會(huì)根據(jù)虛假的DNS查詢(xún)結(jié)果訪問(wèn)攻擊者搭建的釣魚(yú)網(wǎng)站。

DNS劫持利用了DNS設(shè)計(jì)出缺少對(duì)安全問(wèn)題的考慮所帶來(lái)的安全漏洞。針對(duì)DNS劫持攻擊用戶(hù)可以使用IP地址訪問(wèn)含有重要信息的網(wǎng)站，如使用106.37.193.78來(lái)訪問(wèn)建設(shè)銀行而不是www.ccb. com。使用HttpDNS進(jìn)行域名解析而不是不安全的DNS。

5 結(jié)語(yǔ)

總而言之，無(wú)線網(wǎng)絡(luò)的技術(shù)在不斷進(jìn)步，黑客的攻擊方式也在日新月異。推廣網(wǎng)絡(luò)安全技術(shù)是行之有效的解決方法。

[1]金雙齊,凌捷.無(wú)線網(wǎng)絡(luò)釣魚(yú)AP攻擊檢測(cè)技術(shù)研究[J].計(jì)算機(jī)應(yīng)用與軟件,2016,(10):307-310