馮祖洪，潘明芹

(北方民族大學(xué)，寧夏 銀川 750021)

?

淺析無線釣魚AP的檢測研究方案

馮祖洪，潘明芹

(北方民族大學(xué)，寧夏 銀川 750021)

摘要：本文針對無線釣魚接入點(diǎn)在無線網(wǎng)絡(luò)中的安全隱患問題，結(jié)合無線釣魚接入點(diǎn)的特征分析，提出了無線接入點(diǎn)安全性檢測的方法。進(jìn)而提出了一種對無線釣魚AP具體位置定位的方法。通過檢測定位無線釣魚AP具體位置，將其剔除，保證無線網(wǎng)絡(luò)的安全、消除網(wǎng)民的安全顧慮。

關(guān)鍵詞：無線釣魚AP；安全性檢測；收斂法

The Wireless AP Fishing of Shallow Detection Research Plan

Feng Zuhong,Pan Mingqin

(College of Computer Science and Engineering,Beifang University of Nationality,Yinchuan 750021,China)

引言

無線網(wǎng)絡(luò)在帶給人們方便、快捷、高效地網(wǎng)上沖浪的同時，一些不法分子卻利用公共場所的WiFi網(wǎng)絡(luò)進(jìn)行違法犯罪活動，偽造AP熱點(diǎn)誘使用戶連接冒牌AP，達(dá)到各種偷竊，窺探用戶隱私等目的。更有甚者，攻擊者通過相關(guān)技術(shù)向無線用戶端注入木馬病毒等入侵行為?，F(xiàn)階段，如何對這些違法犯罪分子進(jìn)行幀控也成為全社會面臨的重大難題。

針對在無線局域網(wǎng)中利用虛假無線AP進(jìn)行釣魚攻擊的威脅，本文提出了對無線AP的安全性檢測方法。首先分析無線釣魚AP的各方面特征，通過分析對比，發(fā)現(xiàn)無線釣魚接入點(diǎn)與正常接入點(diǎn)的鏈路區(qū)別。最終選取目標(biāo)網(wǎng)絡(luò)，根據(jù)MAC地址和網(wǎng)絡(luò)鏈路等特點(diǎn)分析，提出無線釣魚AP的安全性檢測方法。并在文中最后提出一種能檢測定位偽造無線接入點(diǎn)的方案。

1無線釣魚接入點(diǎn)的特征分析

1.1無線釣魚接入點(diǎn)

在諸多的無線網(wǎng)絡(luò)安全威脅中，虛假無線接入點(diǎn)的釣魚攻擊已成了一個重要的安全威脅。所謂的無線釣魚接入點(diǎn)攻擊就是指攻擊者在公共場所搭建一個偽裝的無線接入點(diǎn)(無線接入點(diǎn)即無線AP，是一個無線網(wǎng)絡(luò)的接入點(diǎn)，俗稱“熱點(diǎn)”，是無線網(wǎng)絡(luò)的核心，通常被當(dāng)作無線網(wǎng)絡(luò)擴(kuò)充使用)，通過設(shè)置與真實(shí)無線AP完全相同或接近相同的服務(wù)集標(biāo)識(SSID:Service Set Identifier)，誘使用戶連接上冒牌的無線接入點(diǎn)，進(jìn)一步竊取用戶名和密碼等攻擊。國外有部分學(xué)者稱之為“Evil Twin AP”(邪惡雙胞胎AP)或者“Rogue AP”(流氓AP)，它看上去和合法授權(quán)的AP一樣具有相同的SSID，但事實(shí)上它是攻擊者設(shè)置的用來竊取受害者的無線通信，無線釣魚AP不是由WLAN運(yùn)營商(或相關(guān)管理部門)部署的，所以無線釣魚AP被定義為是不合法的接入點(diǎn)。

1.2無線釣魚AP的鏈路特點(diǎn)

無線釣魚AP既然是一個非法的接入點(diǎn)，那么從網(wǎng)絡(luò)鏈路上就應(yīng)該能夠找出其不同于合法接入點(diǎn)的特征。無線釣魚接入點(diǎn)接入互聯(lián)網(wǎng)，從客戶端到服務(wù)器端的鏈路上就會多出無線釣魚接入點(diǎn)這一跳。我們可以通過Ping特定服務(wù)器找出在無線網(wǎng)絡(luò)鏈路上的差別：

比如，我們在正常鏈路下Ping測試www.mail.qq.com，其結(jié)果顯示如下：

來自192.168.123.25的回復(fù)：字節(jié)=32時間=23msTTL=51

而連接在無線釣魚接入點(diǎn)上Ping測試www.mail.qq.com，其結(jié)果顯示如下：

來自192.168.123.25的回復(fù)：字節(jié)=32時間=42msTTL=51

通過兩個測試，其對比結(jié)果我們可以發(fā)現(xiàn)在應(yīng)答時間和TTL上的值會有所不同，可以看出連接無線釣魚接入點(diǎn)的鏈路往返的時間要比連接正常接入點(diǎn)往返的時間長，連接無線釣魚接入點(diǎn)TTL的值要比連接正常接入點(diǎn)的值小。除此之外還可以通過Traceroute進(jìn)行路由追蹤，可以發(fā)現(xiàn)無線釣魚接入點(diǎn)的鏈路上要明顯比正常鏈路上多出一跳路由。

2無線接入點(diǎn)的安全性檢測方法

通過對無線釣魚接入點(diǎn)的特征分析，根據(jù)正常接入點(diǎn)與釣魚接入點(diǎn)的MAC地址和網(wǎng)絡(luò)鏈路的區(qū)別，主要從無線接入點(diǎn)的靜態(tài)信息和動態(tài)信息兩方面來檢測其安全性。

2.1無線接入點(diǎn)靜態(tài)信息的安全檢測

無線接入點(diǎn)的靜態(tài)信息就是指不用連接無線網(wǎng)絡(luò)，直接利用本機(jī)網(wǎng)卡掃描搜索范圍內(nèi)的無線接入點(diǎn)獲取到的信息，如在Linux系統(tǒng)上，使用iw、iwlist等工具掃描到的結(jié)果，有MAC地址、SSID、ESSID、加密方式、信號強(qiáng)度、Channel等等。每個無線網(wǎng)絡(luò)接入點(diǎn)都會有一個全球唯一的地址，即MAC地址。MAC地址是由48個二進(jìn)制數(shù)組成，其中前24位是由國際組織固定地分配給相應(yīng)的廠商，而后24位是由廠商自己來分配的。由于在搭設(shè)無線網(wǎng)絡(luò)接入點(diǎn)時，通常會使用同一廠商的設(shè)備，這樣通常具有相同ESSID的無線網(wǎng)絡(luò)接入點(diǎn)的MAC地址的前24位通常都是一樣的。根據(jù)MAC地址的廠商標(biāo)志建立索引，對所獲取的各個MAC地址進(jìn)行歸類，檢查每一類MAC地址的數(shù)目。如果有多個真實(shí)接入點(diǎn)，那么這些接入點(diǎn)極有可能其MAC地址中的廠商標(biāo)志是一樣的，而虛假接入點(diǎn)一般會有不同的廠商標(biāo)志。所以通過測試分類，即可初步判斷哪些接入點(diǎn)可能是虛假接入點(diǎn)。由于虛假接入點(diǎn)可以通過修改發(fā)送幀中的信息讓受害者誤判MAC地址信息，所以MAC地址無法作為絕對的判斷信息，在此基礎(chǔ)上，還要進(jìn)一步進(jìn)行動態(tài)檢測。

2.2無線接入點(diǎn)動態(tài)信息的安全檢測

無線接入點(diǎn)的動態(tài)信息就是指主動連接搜索到的無線接入點(diǎn)，通過相關(guān)網(wǎng)絡(luò)操作獲取到相關(guān)信息，比如到達(dá)指定IP地址經(jīng)過的路由路徑、請求的應(yīng)答時間值、TTL值等。該方式可以通過對不同的網(wǎng)絡(luò)環(huán)境進(jìn)行調(diào)整，獲取虛假無線接入點(diǎn)無法偽造的信息，進(jìn)行對比，推測哪些可能是虛假無線接入點(diǎn)。

2.2.1基于到達(dá)指定IP地址路徑的檢測

對于在一個由相同的ESSID的無線網(wǎng)絡(luò)接入點(diǎn)組成的無線網(wǎng)絡(luò)，在相近的時間內(nèi)對于每一個主機(jī)到達(dá)指定的IP地址的路由路徑應(yīng)該是一樣的。當(dāng)連接到一個偽造的無線網(wǎng)絡(luò)接入點(diǎn)時，對到達(dá)一個指定的IP地址所經(jīng)過的路徑進(jìn)行記錄。然后當(dāng)連接到一個真實(shí)的無線網(wǎng)絡(luò)接入點(diǎn)時，對到達(dá)一個指定的IP地址所經(jīng)過的路徑進(jìn)行記錄。拿到兩組的記錄數(shù)據(jù)進(jìn)行對比分析，會發(fā)現(xiàn)二者的實(shí)驗(yàn)記錄是有所不同的?？紤]到無線路由的上網(wǎng)和目標(biāo)是否可以到達(dá)的問題以及Traceroute的時間原因，我們用Tracerout搜索獲取的路徑信息，比較連接各個接入點(diǎn)后的最初5跳，并將前5跳的詳細(xì)信息保存下來進(jìn)行比較。在掃描時，由于網(wǎng)絡(luò)或者路由器等的原因，有時Tracerout掃描到的信息無法完全顯示出來，所以有的跳數(shù)會顯示為“* * * * * *”，針對此類情況，在比較時無法直接判斷，就先跳過這一跳。然后通過歸類的方法，將路由路徑相同(或相似)的路徑作為索引，通過檢查索引對應(yīng)的項(xiàng)的數(shù)目即可初步分析，是否有虛假無線接入點(diǎn)。我們根據(jù)每一類的項(xiàng)的數(shù)目分析，倘若某個路徑信息為索引只對應(yīng)一項(xiàng)，那么極有可能是虛假接入點(diǎn)。

2.2.2基于到達(dá)指定網(wǎng)絡(luò)可達(dá)性的延遲和TTL的檢測

在一個由相同的ESSID的無線網(wǎng)絡(luò)接入點(diǎn)組成的無線網(wǎng)絡(luò)里，對于到達(dá)相同的網(wǎng)絡(luò)的延時應(yīng)該是相同或相近的。值得提醒的是從主機(jī)到達(dá)指定網(wǎng)絡(luò)和主機(jī)到達(dá)默認(rèn)網(wǎng)關(guān)的延時差應(yīng)該是相等的。在偽造無線接入點(diǎn)的出口設(shè)置設(shè)為真的無線網(wǎng)絡(luò)接入點(diǎn)時，主機(jī)到達(dá)指定網(wǎng)絡(luò)和主機(jī)到達(dá)默認(rèn)網(wǎng)關(guān)的延時差會有很大的差別。通過這一特點(diǎn)可以用于檢查無線網(wǎng)絡(luò)接入點(diǎn)的真假。

在使用Ping命令進(jìn)行延時檢測的同時，還可以測試TTL的值，可以通過多個TTL的相關(guān)性發(fā)現(xiàn)虛假TTL所對應(yīng)的接入點(diǎn)。TTL檢測是根據(jù)構(gòu)造TTL值不同的IP報文并向遠(yuǎn)端服務(wù)器發(fā)送。根據(jù)TCP/IP協(xié)議，IP報文中的TTL值代表IP報文能在網(wǎng)絡(luò)中的生存時間。例如一IP報文的TTL值被設(shè)置為10，該報文每經(jīng)過一個路由器TTL的值就會減1，直到遞減為0而導(dǎo)致該報文丟棄。此時，接受該報文的路由器會像源端發(fā)送ICMP差錯，我們可以依次遞增IP報文中的TTL值獲取報文經(jīng)過的網(wǎng)絡(luò)路徑上各個節(jié)點(diǎn)的地址，從而找出TTL所對應(yīng)的虛假無線接入點(diǎn)。也可以直接利用Ping命令返回的TTL的值進(jìn)行分析，發(fā)現(xiàn)虛假接入點(diǎn)。

3利用收斂法定位虛假無線接入點(diǎn)

虛假無線AP都是在網(wǎng)絡(luò)管理員不知情或未獲得許可的情況下安裝的，外部人員可以免費(fèi)訪問因特網(wǎng)或窺探內(nèi)網(wǎng)查看內(nèi)部信息，問題就變得嚴(yán)重了。為了避免虛假接入點(diǎn)帶來的種種安全隱患，利用上述檢測方法檢測出無線網(wǎng)絡(luò)中有虛假無線接入點(diǎn)的存在，找出虛假AP的位置，將其從無線網(wǎng)絡(luò)中剔除，保護(hù)無線網(wǎng)絡(luò)信息安全才是最終目的。

一般，適用于室內(nèi)傳輸?shù)臒o線網(wǎng)卡都是采用全向天線，即在水平方向上表現(xiàn)位360°，都均勻輻射。無論P(yáng)C機(jī)朝向如何，全向天線的信號強(qiáng)度是不變的，針對這種特性則適合采用收斂法，來定位其具體位置。除此之外，收斂法還需要WiFi信號強(qiáng)度測試儀，用來測試虛假無線接入點(diǎn)的RF信號，與接入點(diǎn)的距離越近其測得的信號就越強(qiáng)。

在進(jìn)行收斂式的搜索虛假無線AP，需要使用帶全天向的網(wǎng)卡和檢測信號強(qiáng)度的工具(首選)或軟件。在需要監(jiān)測的環(huán)境里，來回走動，用強(qiáng)度信號儀監(jiān)測信號強(qiáng)度，粗略地估計(jì)查找虛假無線接入點(diǎn)的范圍。將搜索區(qū)想象成一個大矩形，然后將其分為四個象限，如圖1所示：

圖1　收斂法測試的原理圖

走到搜索區(qū)域的一角，記錄其信號強(qiáng)度。依次搜素檢測其它三個角落并記錄信號強(qiáng)度。比較記錄信號強(qiáng)度的值，確定目標(biāo)AP所在的位置，即測得的信號強(qiáng)度最強(qiáng)的區(qū)域。本例以左上象限為例，現(xiàn)在將此象限作為新的搜索區(qū)域，并將其劃分為四個小象限。在這個區(qū)域內(nèi)再依次搜索檢測其它三個角落的信號強(qiáng)度并將其記錄，然后再比較記錄信號強(qiáng)度的值。重復(fù)上面的步驟，將搜索區(qū)域劃分為更小的象限。此例，經(jīng)過3次劃分，12次測量就可以找到目標(biāo)AP。確定虛假無線接入點(diǎn)的位置后，將其從網(wǎng)絡(luò)中剔除，消除無線網(wǎng)絡(luò)中的安全隱患。

4結(jié)束語

無線接入點(diǎn)的安全性，已經(jīng)成為無線網(wǎng)絡(luò)安全的重要因素，結(jié)合無線釣魚AP的特征，本文提出了無線網(wǎng)絡(luò)接入點(diǎn)安全性檢測的方法。通過檢測發(fā)現(xiàn)無線網(wǎng)絡(luò)中存有虛假無線接入點(diǎn)，提出利用收斂法定位虛假無線接入點(diǎn)的方法。

本文提出的收斂法是基于全向天的網(wǎng)卡和信號強(qiáng)度儀，一般比較適合搜索檢測室內(nèi)或樓層相對活動區(qū)域較小的偽無線接入點(diǎn)。因此，如何更高效、準(zhǔn)確地檢測定位不受地理環(huán)境影響的虛假無線AP是我們下一步的研究方向。

參考文獻(xiàn)：

[1]Carr,Joseph J.Directional or Omnidirectional Antenna Universal Radio Research.

[2]程科.新型電信詐騙:“釣魚網(wǎng)站”初探[J].中國公共安全，2011,(03):103-105

[3]禹安勝，金鐵，楊濤.網(wǎng)絡(luò)釣魚攻擊的威脅及防范[J].計(jì)算機(jī)安全，2010，10

[4]黎其武，武良軍.網(wǎng)絡(luò)釣魚犯罪問題研究[J].信息網(wǎng)絡(luò)安全，2011,(4):56-58

[5]莫林麗.無線局域網(wǎng)技術(shù)與安全性研究[J].科技信息，2009.08

[6]潘曉偉.無線局域網(wǎng)安全性探討[J].科技傳播，2011.01

[7]陳偉，顧楊，于樂.高隱蔽性的無線網(wǎng)絡(luò)主動釣魚攻擊及防范研究[J].武漢大學(xué)學(xué)報(理學(xué)版)，2013,59(2)：171-177

[8]楊哲.無線網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)進(jìn)階[M].北京：電子工業(yè)出版社，2011.

中圖分類號:TP393

文獻(xiàn)標(biāo)志碼：A

文章編號：1671-1602(2016)06-0020-02

作者簡介：馮祖洪(1956-)，男，漢，江蘇無錫人，教授，碩士生導(dǎo)師，北方民族大學(xué)，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)與智能計(jì)算。潘明芹(1990-)，女，漢，山東棗莊人，碩士研究生，北方民族大學(xué)，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)。

基金項(xiàng)目：北方民族大學(xué)校級創(chuàng)新項(xiàng)目(創(chuàng)新編號：YCX1569)