無(wú)線局域網(wǎng)的通信安全問(wèn)題研究

張紅波

（新鄉(xiāng)職業(yè)技術(shù)學(xué)院，河南 新鄉(xiāng) 453000）

0 引 言

近年來(lái)，一種利用免費(fèi)無(wú)線局域網(wǎng)的新型詐騙在一些公共場(chǎng)所已經(jīng)出現(xiàn)，這些不法分子利用一些通信技術(shù)在商場(chǎng)、公園或地鐵等場(chǎng)所通過(guò)搭建一個(gè)免費(fèi)的無(wú)需輸入密碼的免費(fèi)Wi-Fi 網(wǎng)絡(luò)，一旦人們使用這種免費(fèi)的Wi-Fi 進(jìn)行一些支付寶或網(wǎng)銀的登錄，這些不法分子就有可能獲取到支付寶或網(wǎng)銀的賬號(hào)和密碼。這種新型詐騙的出現(xiàn)提醒人們，一定要注意這些公共場(chǎng)所的無(wú)線局域網(wǎng)，使用這種網(wǎng)絡(luò)進(jìn)行通信時(shí)將面臨著巨大的安全隱患。

1 無(wú)線局域網(wǎng)概述

1.1 無(wú)線局域網(wǎng)的定義

無(wú)線局域網(wǎng)是局域網(wǎng)的一種，主要是借助無(wú)線通信技術(shù)將計(jì)算機(jī)相關(guān)設(shè)備連接起來(lái)，從而實(shí)現(xiàn)相互通信和資源共享的網(wǎng)絡(luò)系統(tǒng)[1]。它的出現(xiàn)解決了不再需要通過(guò)通信電纜將計(jì)算機(jī)與網(wǎng)絡(luò)連接起來(lái)的問(wèn)題，同時(shí)使得局域網(wǎng)的組建和拓展變得更加容易與靈活。

1.2 無(wú)線局域網(wǎng)的特點(diǎn)

從無(wú)線局域網(wǎng)所使用的技術(shù)來(lái)看，無(wú)線局域網(wǎng)突破了網(wǎng)絡(luò)設(shè)備安放位置的限制，并且連接網(wǎng)絡(luò)的設(shè)備只要在無(wú)線信號(hào)的覆蓋范圍之內(nèi)，可以隨意移動(dòng)，其最大的特點(diǎn)就是靈活性和移動(dòng)性。如果出現(xiàn)了網(wǎng)絡(luò)故障，無(wú)線局域網(wǎng)的故障定位也更容易，有時(shí)只需要更換故障設(shè)備即可恢復(fù)網(wǎng)絡(luò)連接。

1.3 無(wú)線局域網(wǎng)的關(guān)鍵技術(shù)

目前，無(wú)線局域網(wǎng)所涉及到的相關(guān)技術(shù)主要包括Wi-Fi 技術(shù)、ZigBee 技術(shù)、Bluetooth 技術(shù)、近場(chǎng)通信（Near Field Communication，NFC）技術(shù)以及5G 技術(shù)等[2]。其中，Wi-Fi 技術(shù)是目前家庭、辦公場(chǎng)所等公共場(chǎng)合無(wú)線局域網(wǎng)中最常用的技術(shù)。ZigBee 技術(shù)則主要用在傳感器以及智能家居等一些低功耗設(shè)備之間的通信。NFC 技術(shù)主要于在移動(dòng)支付、電子門(mén)票以及智能標(biāo)簽等方面。5G 技術(shù)主要用在智能交通、智能制造以及智慧醫(yī)療等領(lǐng)域。

2 無(wú)線局域網(wǎng)面臨的安全威脅

2.1 偽AP 攻擊

偽AP 攻擊主要指的是通過(guò)偽裝某個(gè)合法AP 的服務(wù)集標(biāo)識(shí)符（Service Set IDentifier，SSID）、信道以及媒體訪問(wèn)控制（Media Access Control，MAC）地址來(lái)獲取用戶的連接。首次連接需要輸入密碼驗(yàn)證，并且直接將數(shù)據(jù)保存在終端本地，以后再次連接時(shí)便不再需要輸入密碼，從而直接從本地保存的數(shù)據(jù)中讀取密碼。偽AP 攻擊便利用這一特點(diǎn)，可以通過(guò)破解握手包的方式成功得到AP 的密碼，從而偽造出與合法AP 相同的SSID，然后借助高功率的無(wú)線網(wǎng)卡，讓其信號(hào)強(qiáng)度大于真實(shí)的AP，最后讓用戶在不知情的情況下連接到偽AP 上[3]。

2.2 無(wú)線DoS 攻擊

無(wú)線的拒絕服務(wù)（Denial of Service，DoS）攻擊同有線的DoS 攻擊一樣，都是通過(guò)一定的技術(shù)手段將其服務(wù)器的資源耗盡，從而造成被攻擊的服務(wù)器無(wú)法再提供任何與訪問(wèn)客戶的通信功能。從技術(shù)手段上來(lái)講，無(wú)線DoS 攻擊的方式與有線DoS 攻擊的方式大不相同，由于客戶連接AP 有幾個(gè)重要的步驟，因此無(wú)線DoS 攻擊便有了多種方式的攻擊手段，如身份驗(yàn)證泛洪攻擊、取消身份驗(yàn)證泛洪攻擊、信標(biāo)泛洪攻擊以及QoS 數(shù)據(jù)重新注入攻擊等，這些都是只有無(wú)線DoS 攻擊才有的手段[4]。

2.3 路由器的安全漏洞

路由器作為連接網(wǎng)絡(luò)的重要設(shè)備，同樣面臨著無(wú)線通信的威脅，對(duì)于網(wǎng)絡(luò)設(shè)備通常會(huì)有一定的漏洞存在，而這些漏洞便成為了黑客攻擊的目標(biāo)，另外路由器有時(shí)候也會(huì)成為黑客制作釣魚(yú)網(wǎng)站的中介，通過(guò)域名系統(tǒng)（Domain Name System，DNS）劫持強(qiáng)行將用戶引導(dǎo)定向到黑客自己制作的網(wǎng)頁(yè)。對(duì)于路由器來(lái)講，其面臨的漏洞主要有加密認(rèn)證漏洞、路由器Web 漏洞、后門(mén)漏洞以及緩沖區(qū)溢出漏洞等[5]。其中，加密認(rèn)證漏洞主要指的是加密的認(rèn)證方式，另外有線等效加密（Wired Equivalent Privacy，WEP）的認(rèn)證方式因其加密強(qiáng)度不高，也容易被黑客所破解，同樣存在著一定的安全隱患，而WPAWPA2 這種加密認(rèn)證是目前最為安全的認(rèn)證方式，因此建議使用這種加密認(rèn)證的方式。路由器Web 漏洞主要指的是家庭用的路由器可以借助Web 管理系統(tǒng)來(lái)實(shí)現(xiàn)對(duì)訪客的控制。后門(mén)漏洞則是開(kāi)發(fā)者為了方便調(diào)試路由器或無(wú)意留下的能獲取路由器最高權(quán)限的后門(mén)程序。而緩沖區(qū)溢出漏洞則是利用程度的缺陷，向緩沖區(qū)寫(xiě)入大量超出程序允許長(zhǎng)度的數(shù)據(jù)，從而造成系統(tǒng)癱瘓或路由器重啟等故障。

2.4 無(wú)線竊聽(tīng)

無(wú)線局域網(wǎng)比較容易受到黑客的匿名攻擊，黑客可能通過(guò)截獲的無(wú)線電信號(hào)對(duì)其進(jìn)行解析，從而獲取到自己需要的數(shù)據(jù)。其中ARP 欺騙就可以算得上一種竊聽(tīng)，其利用數(shù)據(jù)鏈路層的中間人攻擊，實(shí)現(xiàn)攻擊者給目標(biāo)主機(jī)發(fā)送欺騙ARP 的數(shù)據(jù)包，從而達(dá)到竊取網(wǎng)絡(luò)上主機(jī)間的通信數(shù)據(jù)。

2.5 信號(hào)干擾

在使用無(wú)線局域網(wǎng)的時(shí)候，會(huì)遇到信號(hào)不好的問(wèn)題，一般情況下可能會(huì)由以下幾種情況造成。一種是附近設(shè)備的干擾，。另一種是會(huì)受到同類設(shè)備的干擾。最后，如果室內(nèi)的墻壁過(guò)多或過(guò)厚也會(huì)造成信號(hào)的變?nèi)酢?/p>

3 無(wú)線局域網(wǎng)安全監(jiān)測(cè)系統(tǒng)的設(shè)計(jì)思想

3.1 系統(tǒng)需求分析

通過(guò)上述對(duì)無(wú)線局域網(wǎng)所面臨安全威脅的分析，作為無(wú)線局域網(wǎng)安全的監(jiān)測(cè)系統(tǒng)，需要具備以下幾個(gè)方面的功能，如關(guān)于無(wú)線設(shè)備的探測(cè)功能、偽AP 的監(jiān)測(cè)功能、無(wú)線DoS 攻擊的監(jiān)測(cè)功能以及路由器漏洞的檢測(cè)功能等，除此之外，還要具備歷史信息的查詢功能和信息的異地存儲(chǔ)功能。

3.2 系統(tǒng)功能設(shè)計(jì)

3.2.1 無(wú)線設(shè)備的探測(cè)功能

無(wú)線設(shè)備的探測(cè)主要包括對(duì)AP 信息的探測(cè)、AP和客戶端連接信息的探測(cè)2 個(gè)方面。其中，關(guān)于AP信息的探測(cè)，主要通過(guò)采用循環(huán)捕獲環(huán)境中的信標(biāo)幀來(lái)實(shí)現(xiàn)對(duì)AP 設(shè)備名稱、MAC 地址、信道以及信號(hào)強(qiáng)度等信息的獲取，其流程如圖1 所示。

圖1 AP 信息的探測(cè)流程

3.2.2 偽AP 的監(jiān)測(cè)功能

偽AP 的監(jiān)測(cè)功能主要分為2 個(gè)部分來(lái)完成，其中一部分是合法AP 特征的提取工作，另一部分為偽AP 的監(jiān)測(cè)工作。首先要對(duì)合法AP 廣播的信標(biāo)幀進(jìn)行捕獲，從而提取出來(lái)合法AP 中的各項(xiàng)信息，如SSID 號(hào)、MAC 地址、信道以及信號(hào)強(qiáng)度等。對(duì)于偽AP 的監(jiān)測(cè)工作主要通過(guò)對(duì)捕獲到的偽AP 廣播信標(biāo)幀進(jìn)行分析并提取出來(lái)其MAC 地址、信道等，然后與合法AP 指紋庫(kù)中的信息進(jìn)行對(duì)比，從而判斷出其是否是偽AP。

3.2.3 無(wú)線DoS 攻擊的監(jiān)測(cè)功能

由于無(wú)線DoS 攻擊的形式眾多，常見(jiàn)的有身份驗(yàn)證泛洪攻擊、取消身份驗(yàn)證泛洪攻擊、信標(biāo)泛洪攻擊、取消關(guān)聯(lián)泛洪攻擊、探測(cè)請(qǐng)求泛洪攻擊以及服務(wù)質(zhì)量（Quality of Service，QoS）數(shù)據(jù)重新注入攻擊等6 種，因此必須通過(guò)神經(jīng)網(wǎng)絡(luò)進(jìn)行分類預(yù)測(cè)，再加上不同DoS 攻擊形式的特點(diǎn)，借助神經(jīng)網(wǎng)絡(luò)生成DoS 攻擊預(yù)測(cè)模型，然后用測(cè)試集再對(duì)預(yù)測(cè)模型進(jìn)行測(cè)試，最后根據(jù)精確率、召回率以及F 值對(duì)測(cè)試結(jié)果進(jìn)行評(píng)判。如果效果較差，還需要對(duì)神經(jīng)網(wǎng)絡(luò)的配置參數(shù)進(jìn)行修改，從而生成新的預(yù)測(cè)模型，然后再次使用測(cè)試集對(duì)預(yù)測(cè)模型進(jìn)行測(cè)試，一直到達(dá)到滿意的結(jié)果為止。

3.2.4 路由器漏洞的測(cè)試功能

對(duì)于路由器的漏洞，需要在連接路由器的情況下對(duì)其進(jìn)行掃描，從而得知路由器是否存在漏洞的風(fēng)險(xiǎn)。如果此路由器有安全方面的漏洞，則需要對(duì)此路由器的名稱、漏洞信息以及掃描出漏洞的詳細(xì)時(shí)間進(jìn)行記錄保存。

3.2.5 歷史數(shù)據(jù)的查詢功能

此功能主要是方便對(duì)曾經(jīng)監(jiān)測(cè)的信息進(jìn)行查詢，以了解之前曾經(jīng)發(fā)生的攻擊信息。為了實(shí)現(xiàn)這個(gè)功能，需要對(duì)監(jiān)測(cè)的信息進(jìn)行長(zhǎng)期的存儲(chǔ)。

3.2.6 信息的異地存儲(chǔ)功能

此功能主要是屬于保障性的功能，為了實(shí)現(xiàn)正常穩(wěn)定的工作，需要實(shí)現(xiàn)信息的異地存儲(chǔ)，這樣就可以保證即使一臺(tái)機(jī)器出問(wèn)題了，另外一臺(tái)也可以保障其正常的運(yùn)行。

3.3 系統(tǒng)整體的設(shè)計(jì)

系統(tǒng)的整體設(shè)計(jì)主要包括2 個(gè)部分，其中一部分是系統(tǒng)架構(gòu)的設(shè)計(jì)，另一方面是數(shù)據(jù)庫(kù)的設(shè)計(jì)。

3.3.1 系統(tǒng)架構(gòu)設(shè)計(jì)

為了達(dá)到操作簡(jiǎn)單、部署方便、降低后期維護(hù)的成本等目的，系統(tǒng)架構(gòu)可以采用瀏覽器/服務(wù)器（Browser/Server，B/S）結(jié)構(gòu)，具體如圖2 所示。

圖2 系統(tǒng)架構(gòu)

此模塊在運(yùn)行時(shí)，首先通過(guò)動(dòng)態(tài)隨機(jī)的切換信道對(duì)無(wú)線局域網(wǎng)的信道進(jìn)行監(jiān)聽(tīng)并獲取數(shù)據(jù)包，然后對(duì)數(shù)據(jù)包中的內(nèi)容進(jìn)行解析，解析獲取到AP 的詳細(xì)信息有AP 的名稱、MAC 地址、AP 的信道及信號(hào)強(qiáng)度等，將這些信息傳送至數(shù)據(jù)實(shí)時(shí)存儲(chǔ)層。結(jié)果展示層主要負(fù)責(zé)對(duì)設(shè)備探測(cè)結(jié)果和安全威脅監(jiān)測(cè)結(jié)果的展示，分為AP 信息展示模塊、AP 連接信息展示模塊、偽AP 攻擊信息展示模塊、無(wú)線DoS 攻擊信息展示模塊以及路由器漏洞信息展示模塊。在AP 信息展示模塊中，展示當(dāng)前在線AP 的詳細(xì)信息和歷史掃描出來(lái)的AP 信息，信息中包含AP 名稱、MAC 地址、信道、加密方式等；在AP 連接信息展示模塊中展示了當(dāng)前AP 和客戶端的連接情況；偽AP 展示模塊展示了歷史掃描出來(lái)的偽AP發(fā)生的時(shí)間和該偽AP的詳細(xì)信息；DoS 攻擊展示模塊展示了歷史掃描出來(lái)的DoS 攻擊發(fā)生的時(shí)間和DoS 攻擊類型；路由器漏洞展示模塊展示歷史掃描出來(lái)的路由器的漏洞信息。

3.3.2 數(shù)據(jù)庫(kù)設(shè)計(jì)

根據(jù)上述系統(tǒng)的詳細(xì)功能設(shè)計(jì)和系統(tǒng)架構(gòu)設(shè)計(jì)，目前所需要的數(shù)據(jù)庫(kù)表要完成以下幾個(gè)方面的功能，分別是AP 設(shè)備信息表、連接信息表、偽AP 事件表、無(wú)線DoS 攻擊事件表以及路由器漏洞信息表。

4 結(jié) 語(yǔ)

隨著無(wú)線局域網(wǎng)應(yīng)用的日益廣泛，其通信安全問(wèn)題已經(jīng)成為當(dāng)前人們最為關(guān)心的網(wǎng)絡(luò)安全事件，為了最大程度上保障無(wú)線局域網(wǎng)在使用的數(shù)據(jù)安全，本文提出了一套監(jiān)測(cè)無(wú)線局域網(wǎng)安全系統(tǒng)的設(shè)計(jì)思路。由于受到時(shí)間局限以及本人水平等方面的問(wèn)題，本文所提的系統(tǒng)目前還處于設(shè)計(jì)構(gòu)思階段，后續(xù)還需要進(jìn)行深入的分析和思考，以期能夠開(kāi)發(fā)出來(lái)一套真正拿出來(lái)就能用的無(wú)線局域網(wǎng)安全監(jiān)測(cè)系統(tǒng)。