快速排查，清除非法AP

黑客為了入侵和破壞無線網(wǎng)絡(luò)，會(huì)使用各種各樣的手段。除了正面破解密碼，侵入內(nèi)網(wǎng)進(jìn)行嗅探入侵等常規(guī)方法外，黑客還會(huì)采用搭建偽造的AP接入點(diǎn)，執(zhí)行另類的無線攻擊。

例如，黑客會(huì)將非法AP偽裝成正常的工作基站，誘使合法的用戶連接到該非法AP上，這樣黑客就可以毫不費(fèi)力的截獲偵聽用戶通訊。此外，通過搭建大量的虛假AP基站，對(duì)正常的無線通訊進(jìn)行干擾，造成用戶無法正常通訊。在一些安全性較高的單位，通常嚴(yán)格執(zhí)行內(nèi)外網(wǎng)隔離措施，一旦有內(nèi)部不法用戶在其中連接AP設(shè)備，就可以輕松對(duì)內(nèi)網(wǎng)進(jìn)行滲透等等。

例如，很多無線網(wǎng)卡都提供了軟AP功能，即允許使用無線網(wǎng)卡管理軟件（或者利用Windows 7等自帶的功能），只要該網(wǎng)卡處于上網(wǎng)狀態(tài)，通過網(wǎng)絡(luò)共享的手段就可以將無線客戶端變成為無線接入點(diǎn)，黑客甚至可以為其配置外接天線，對(duì)其無線信號(hào)進(jìn)行放大，擴(kuò)大其信號(hào)覆蓋范圍。為了達(dá)到欺騙用戶的目的，黑客往往將該AP接入點(diǎn)的SSID標(biāo)識(shí)符進(jìn)行更改，使其和周圍合法的SSID標(biāo)識(shí)符相同，這種魚目混珠的方法很容易造成正常用戶的搜索無線熱點(diǎn)時(shí)，認(rèn)為該非法AP是可以正常連接的。

當(dāng)用戶上當(dāng)后，在發(fā)送和接收數(shù)據(jù)時(shí)，就會(huì)處于黑客的全面的監(jiān)聽之下。如果涉及到機(jī)密信息，就會(huì)在幾乎毫不知情的情況下泄露給黑客。因?yàn)楹芏酂o線網(wǎng)卡的連接程序可以自動(dòng)探測(cè)和連接找到的可用AP，這就大大增加了黑客進(jìn)行欺騙或的隱蔽性。如果黑客利用該方法搭建功率較大的AP基站，就會(huì)在較大的范圍內(nèi)欺騙無線客戶端用戶，造成的危害和影響是不言而喻的。如果黑客攻擊的重點(diǎn)是干擾正常的無線通訊，就會(huì)通過創(chuàng)建大量非法AP接入點(diǎn)的手段來實(shí)現(xiàn)。例如其可以在BackTrack Linux環(huán)境下中使用MDK2等工具，驅(qū)動(dòng)專用的無線網(wǎng)卡，針對(duì)特定的無線網(wǎng)絡(luò)頻道，發(fā)送偽造的大量干擾信號(hào)，或者發(fā)送針對(duì)特定SSID標(biāo)識(shí)符的無線數(shù)據(jù)流信號(hào)，對(duì)合法的AP進(jìn)行攻擊，造成連接到該AP的客戶端用戶無法正常通訊。

現(xiàn)在很多單位為了抗擊黑客攻擊，往往采取內(nèi)外網(wǎng)隔離的方式，不允許內(nèi)網(wǎng)隨意連接Internet上，這的確可以將黑客拒之門外。不過，堡壘往往很容易從內(nèi)部攻破。如果有內(nèi)部員工未經(jīng)允許，自行在內(nèi)網(wǎng)中連接AP設(shè)備，就會(huì)給內(nèi)網(wǎng)安全帶了很大的隱患。現(xiàn)在的無線路由器等設(shè)備體積越來越小，功能越來越強(qiáng)大，發(fā)射功率可調(diào)，使用起來極為便利，內(nèi)網(wǎng)用戶可以毫不費(fèi)力的將其接入有線網(wǎng)絡(luò)。這樣的話，就等于在原本嚴(yán)密的防護(hù)網(wǎng)上悄悄開了缺口，讓非法用戶可以輕松穿墻連接內(nèi)網(wǎng)。如果無線密碼簡(jiǎn)單的話，就很容易被黑客破解。

面對(duì)復(fù)雜的安全形勢(shì)，網(wǎng)管員就需要提高責(zé)任意識(shí)，定期對(duì)網(wǎng)絡(luò)設(shè)備，各種線路和接口進(jìn)行安全維護(hù)和檢測(cè)，如果在機(jī)房等關(guān)鍵位置發(fā)現(xiàn)來歷不明的接入設(shè)備，就應(yīng)該及時(shí)拆除，避免其危害網(wǎng)絡(luò)安全。對(duì)于中大型網(wǎng)絡(luò)來說，網(wǎng)絡(luò)配置往往比較復(fù)雜，涉及到的機(jī)器設(shè)備很多，手工進(jìn)行排查的話，難度是比較大的。利用網(wǎng)絡(luò)掃描的方法，可以有效提高搜索效率。因?yàn)楹芏郃P和無線路由器都提供了Web遠(yuǎn)程管理功能，其80端口處于開啟狀態(tài)。使用掃描器對(duì)特定網(wǎng)段的80端口進(jìn)行掃描，如果目標(biāo)設(shè)備不是提供正常Web服務(wù)的主機(jī)，那么只能說明其是非法的無線設(shè)備。例如，使用Nmap掃描器就可以實(shí)現(xiàn)上述功能。執(zhí)行“nmap–vv –sS 192.168.0.0/24–p 80”命令，可以對(duì)指定的網(wǎng)段進(jìn)行掃描，檢測(cè)所有開啟80端口的設(shè)備。其中的“-vv”參數(shù)表示顯示詳細(xì)信息，“-sS”參數(shù)使用 SYN掃描方式，可以避開防火墻的攔截，得到精確的探測(cè)信息，“-p”參數(shù)指定目標(biāo)端口。

當(dāng)發(fā)現(xiàn)可疑的設(shè)備后，可以對(duì)其進(jìn)行進(jìn)一步的識(shí)別。例如探測(cè)到IP為192.168.0.190設(shè)備比較可疑，可以執(zhí)行“nmap –vv–aV 192.168.0.190” 命令，對(duì)其身份進(jìn)行判別。其中的“-sV”參數(shù)對(duì)目標(biāo)IP的端口信息進(jìn)行探測(cè)。如果該設(shè)備是非法連入的無線路由器的話，根據(jù)探測(cè)信息，可以識(shí)別器具體的型號(hào)、版本號(hào)、MAC地址等信息。也可以在瀏覽器中直接訪問其管理界面，進(jìn)一步了解其信息。在無線網(wǎng)卡，AP等設(shè)備中，都提供了唯一的長(zhǎng)度為48位MAC地址信息。利用MAC地址，進(jìn)一步查詢其相關(guān)信息。例如打開網(wǎng)址“https://regauth.standards.ieee.org/standards-ra-web/pub/view.html#registries”，在其中的先選擇搜索類型。例如“All MAC”， 在“Search Results”欄中輸入可疑設(shè)備的MAC地址信息，點(diǎn)擊查詢按鈕，可以得到其廠商信息、設(shè)備類型等資料。

僅僅搜索到了可疑的AP是不夠的，還需要將其找到并清除。不管是內(nèi)部員工有意或者無意將無線設(shè)備連接到內(nèi)網(wǎng)中，還是不法分子故意所為，都會(huì)帶來泄露公司數(shù)據(jù)的危險(xiǎn)。因此，必須采取各種方法，準(zhǔn)確找到處于隱藏狀態(tài)的惡意AP接入點(diǎn)。例如，使用帶有PCMCIA無線網(wǎng)卡的筆記本電腦，配合檢測(cè)無線網(wǎng)絡(luò)強(qiáng)度信號(hào)的軟件，就可以很方便的探測(cè)非法AP的位置。

當(dāng)然，也可以使用NetStumbler等第三方工具來實(shí)現(xiàn)更加強(qiáng)大的檢測(cè)分析功能。例如在NetStrumbler主界面左側(cè)點(diǎn)擊“信道”項(xiàng)，在其下顯示不同的信號(hào)節(jié)點(diǎn)，根據(jù)檢測(cè)到的可疑AP的MAC地址，選擇對(duì)應(yīng)信道中的AP項(xiàng)目，在右側(cè)會(huì)顯示其信號(hào)強(qiáng)度信息。也可以使用專用的手持式RF檢測(cè)儀器來探測(cè)非法AP的位置，這類儀器專為搜索非法AP設(shè)計(jì)，使用起來效率更高。