wifi安全監測與防護系統開發研究

顧成武 黃梓豪 孟祥國 劉恒

摘要：針對無線網絡數據在傳播過程中容易被攻擊的問題，提出了一種wifi安全監測與防護系統。從監測與防護兩個方面進行設計，對隱藏的威脅進行感知與過濾，同時動態分配網絡帶寬，避免資源浪費。面對異常SSID與ARP攻擊進行檢測與防御，并構建一體化平臺實現系統的管理。

關鍵詞：信息安全；wifi安全監測；網絡攻擊防護

中圖分類號：TP311 文獻標識碼：A

文章編號：1009-3044（2019）09-0026-02

1引言

隨著網絡的快速普及，無線網絡以其開放、共享的特性對社會的影響越來越大，人們對無線網絡的要求也越來越高，公眾及企業對wifi的需求已逐步從覆蓋（能用）向體驗（好用）方面發展，提升wifi的服務與質量是大數據時代的潮流與趨勢。

另一方面，無線網絡因為數據在空氣中傳輸的特性，方便對數據進行捕獲，容易受到攻擊者的青睞[1]。大多家庭的wifi密碼設置十分簡易，甚至一些用戶直接使用默認密碼，這導致許多wifi遭到ARP攻擊或DNS劫持攻擊。一旦遭遇DNS劫持攻擊，用戶在登錄網站時輸入的賬號密碼、甚至是用于網上支付的支付密碼都會被攻擊者盜取，嚴重威脅到用戶的財產安全。

同時，一些傳統的無線網絡設備，功能固定，升級和維護只能使用廠家的固件，無法由別的人開發與擴展使用功能，具備一定的局限性。本系統使用一個嵌入式的Linux發行版，作為最底層的系統。Linux具有開源的特性，可以為用戶帶來更多的選擇。用戶可以將相應的c/c++代碼，通過專門的編譯器來編譯成一個相應的可執行程序，來不斷擴展整個系統的功能，具備更大的靈活性與更佳的體驗。

所以，研究wifi安全監測與防護技術，開發對應的一體化管理軟件具有明顯的實際意義和社會價值。

2相關概念

1）OpenWRT系統：

OpenWRT是一個開源的嵌入式Linux系統，提供了一些能對數據包進行分析和處理的接口，常被用來網絡設備軟件的開發[2]。

2）BeaconFram：

BeaconFrame作為一種定時廣播發送的幀，主要有兩種用途：一種用途是通知網絡AP是否存在，另一種用途的使用場景是Station與AP建立聯系的時候。使用Scan掃描之后，Station會得到Beacon，會從中獲知AP的存在；在掃描時，也可以直接通過主動發送Probe來判斷網絡中AP的存在性。換句話說， Station與AP建立聯系的方式主要有主動掃描和被動掃描兩種。除此之外，在Beacon Frame中還包含了Power Save、以及地區等信息。

3）ARP攻擊：

ARP攻擊的具體表現形式是ARP欺騙。攻擊者通過偽造IP地址與MAC地址，使網絡中的ARP通信量激增，以達到阻塞網絡的目的。攻擊者會持續不斷的發出偽造的ARP響應包，使目標主機ARP緩存中的IP-MAC條目被更改，此時，網絡就會中斷或受到中間人攻擊[3]。可以通過編寫程序來獲取當前局域網內的數據包，分析是否有一個IP對應多個MAC地址，進而定位攻擊者，將對應的設備拉入黑名單。

3需求分析

“監測”與“防護”是本項目的主要業務需求。鑒于用戶在使用設備的過程中，難以確保自己的隱私和數據不被輕易泄露，所以設備應該像電腦中的“殺毒軟件”保護電腦的安全一樣，能夠檢測環境中是否存在異常。“監測”指設備會檢測當前環境是否正常，這也是監測的目的。“防護”指在發現異常的時候的保護措施，如果發現問題而不去解決問題，則沒有解決用戶數據與隱私面臨泄露的風險，達不到防護的目標。

結合實際情況，業務需求可以更加細致的劃分為以下幾個方面：

1）威脅感知：對于一些敏感的數據包做出合理的響應機制，能夠對設備本身發起的攻擊進行防御。

2）威脅過濾：丟棄或返回一些故意偽造的數據包，干擾攻擊者的判斷。如果攻擊者已經在當前設備的網絡環境中，能夠對攻擊者進行屏蔽。

3）智能帶寬控制：合理分配網絡帶寬，避免使用者過多時，網絡資源的不足；使用者較少時，網絡資源的浪費。

4）構建一體化管理平臺：要避免管理者額外地安裝軟件，方便地對整個wifi安全監測與防護系統進行管理與日志審計。

5）安全檢測：能夠分析當前網絡環境中的設備情況是否異常（包括不僅限于偽熱點，ARP欺騙，DHCP攻擊等），避免讓入侵者有機可乘。

4系統設計與實現

在硬件方面，本系統的物理設備本身就能就數據包的轉發和路由的選擇，存在硬件基礎。在軟件方面，本系統使用OpenWRT作為軟件基礎。主要實現了以下功能：

1）異常SSID檢測：

通過編寫相關程序來分析AP定期發送的BeaconFrame中的某些字節，來獲取發送這些BeaconFrame的AP的MAC與SSID。程序再根據這些信息，判斷當前環境中是否有相同的SSID設備，當SSID相同時，是否存在“偽熱點”。其實現如圖1所示：

2）ARP攻擊檢測與防御：

通過編寫程序來獲取當前局域網內的數據包，分析是否有一個IP對應多個MAC地址，進而定位攻擊者，將對應的設備列入黑名單處理。

3）端口掃描與防御：

一般正常的用戶，并不會去批量的探測局域網內的相關主機的端口是否開啟，參考“蜜罐”機制，設備錯誤的告知掃描設備一些端口的開放情況，當掃描設備嘗試去訪問這些特殊的端口時，可以判定為是攻擊者，將由防火墻進行處理，如圖2所示。

4）MAC地址廠商識別：

根據IEEE規定的OUI（OrganizationallyUniqueIdentifier），MAC地址前6位（16進制下）由相關的機構進行統一分配，也就是說，可以調研相關的廠商MAC地址數據庫，寫入系統中。然后程序獲取當前的一些設備的MAC地址，再與數據庫中的進行匹配，根據前6位來判定設備廠商，從而實現MAC地址廠商識別。

5）智能帶寬控制：

采用Max-MinFairness算法，對網絡帶寬進行公平分配。WiFi負載監測如圖3所示：

5總結

本文利用開源的OpenWRT開發了一個wifi安全監測與防護系統，完成了異常SSID監測，ARP攻擊檢測，端口掃描及防御，廠商MAC地址識別，動態帶寬分配等功能的開發，同時構建了一體化的系統管理平臺。其中，在廠商MAC地址識別方面，還可以進一步擴展到根據不同設備廠商設備之間的功率機衰減差異判斷MAC地址是否是偽造的。

參考文獻：

[1] 李亞方.WIFI無線網絡技術及其安全問題分析[J].網絡安全技術與應用，2016（12）：114-117.

[2] 張博，曲強.基于OpenWrt的無線監控系統[J].電子世界，2016（8）：78-79.

[3] 智陽光，胡曦明，馬苗.淺析ARP攻擊原理及其防御[J].網絡安全技術與應用，2017（：7）：30-32.

【通聯編輯：梁書】