无线局域网攻击与防范——无线接入点攻击

◆李信良

无线局域网攻击与防范——无线接入点攻击

◆李信良

（南京信息工程大学电子与信息工程学院 江苏 210044）

随着无线局域网在人们日常生活中扮演着越来越重要的角色，人们更多地关注如何提升无线局域网安全性。本文介绍了几种常见的针对无线接入点的攻击方式及其产生的危害，总结了现有的几种防范措施，并对各措施的优缺点进行了简要分析，对未来无线局域网安全的发展提出了见解。

无线局域网安全；无线接入点攻击；802.11协议

无线局域网（Wireless Local Area Network，WLAN）在日常生活中使用越来越频繁，其安全性逐渐受到人们的高度关注。WLAN的传输介质是大气层，因此可以突破线束的限制，具有很强的灵活性。实际中，WLAN信道是开放的，任何人均可以捕获到WLAN信号并进行分析，较有线传输更易受到攻击。在实际使用中，WLAN协议多基于IEEE 802.11标准，无线保真（Wireless Fidelity，Wi-Fi）技术是802.11协议在WLAN上的具体应用。

目前，主要有针对Wi-Fi三大特性的攻击：私密性、完整性和可用性[1]。无线接入点（Wireless Access Point，AP）是移动客户端接入有线网络的渠道。根据802.11协议，区域内如果存在多个AP拥有相同的服务集标识（Service Set Identifier，SSID）时，信号强度最高的AP将作为多数客户端的首选，以保证网络的质量[2]。此时，如果区域内有伪造的AP，客户端将会主动连接伪AP，而不会发出任何提示，用户很难识别此类情况。一旦用户连接上伪AP，攻击者将可窃取用户的所有交互数据，使网络的私密性得到破坏。

1 伪造AP攻击

1.1 诱导客户端连接

攻击者使用工具对区域内的已有AP信息进行探测，获取目标信息后，将伪AP设置为与已有AP相同的信息，并设置更高的信号强度，以诱导客户端进行连接。当区域内有客户端需要建立连接时，该客户端就会自动选择更强信号的伪AP。

如果单一采用这样的方式诱导客户端进行连接，则需要一直等待区域内有设备需要建立连接时，才能诱导客户端连接上伪AP。因此，使用该方式攻击等待时间长，效率较低。实际中，攻击者会结合其他技术强制区域内的客户端与已连接的Wi-Fi断开。这时，客户端会自动重连，重连时便可诱导客户端连接至伪AP。

1.2 强制客户端断开连接

强制客户端断开连接，可使客户端在重连时，自动选择更强信号的伪AP进行连接。结合这样的技术，可以使等待的时间更短，效率更高。

（1）物理层攻击

使客户端与AP断开连接的方法分为物理层攻击和介质访问控制层（Media Access Control，MAC）攻击。由于802.11协议采用载波监听多路访问/冲突避免（Carrier Sense Multiple Access with Collision Avoid，CSMA/CA）机制来识别信道是否繁忙[3]，因此当攻击者频繁占用信道发送干扰信号时，客户端或AP会认为信道繁忙而断开连接，这就是从物理层进行攻击。

（2）MAC层攻击

客户端与AP建立连接有三种状态，分别是未认证未连接、已认证未连接和已认证已连接[4]。802.11协议的解除认证请求和解除连接请求都不需要密码认证机制，只需对MAC地址进行识别。因此攻击者只需要通过伪造合法客户端的MAC地址，便可向AP发出解除连接请求的数据包，从而迫使客户端与AP断开连接。除了上述两种攻击方式外，针对MAC层的攻击方法还有休眠攻击、资源耗尽攻击、协议漏洞攻击等。

在上述两种攻击中，针对物理层的攻击会使区域中的无线信号能量激增。但针对MAC层的攻击通常较为隐蔽，难以发现。

2 危害

当遭受伪AP攻击时，客户端可能会暂时断开当前Wi-Fi的连接导致无法访问互联网服务。一旦客户端连接上伪AP后，伪AP作为客户端的网关，客户端访问互联网的所有数据包都将通过伪AP转发，此时将遭受更为严重的后果，包括用户表单泄露、域名系统（Domain Name System，DNS）劫持等。

2.1 用户表单泄露

在伪AP节点处，攻击者可以使用Wireshark、Sniffer等抓包工具，抓取用户与互联网交互的数据包，并分析获得其中的所有数据。用户在上网时，经常需要输入用户名、密码、身份证、手机号等各类表单信息，并通过HTTP协议的GET或POST请求提交至服务器处理。攻击者利用这一特性便可抓取用户提交的各类表单信息。

图1为在AP节点处抓取的用户在某网站登录时提交的POST表单信息，从中可轻易获取到用户名、密码等关键信息。

图1 用户提交的表单抓取

2.2 DNS劫持

DNS用于将域名与服务器的真实IP地址进行映射，可以让用户通过域名来访问对应IP地址。在伪AP节点处，攻击者可自行搭建DNS服务器。当用户连接上伪AP后，会将伪AP的DHCP服务器发回的DNS地址作为首选DNS地址。此时，攻击者可使用户的DNS服务器地址指向攻击者自行搭建的DNS服务器地址。

攻击者在伪DNS服务器处，可以将任意网站的域名解析记录更改为攻击者预先搭建的钓鱼网站服务器IP地址，这就是DNS劫持。此时，用户通过输入域名的方式访问该网站时，用户访问的不是真实的网站，而是钓鱼网站。一旦用户在钓鱼网站上输入密码或短信验证码，就有账户或资金被盗风险。

3 防范措施

3.1 信号强度定位伪AP法

王文婷[5]提出了基于路径损耗的距离比消参搜索定位法。由于WLAN信号强度可随距离变远而变小，可在多次不同区域采集AP的信号强度，并估计出最佳路径损耗指数以消除该未知参数，从而对伪AP位置进行估计。该方法需要在有被保护需求的区域范围内，在不同位置部署多个检测设备，来收集AP信号强度值，并运算出伪AP具体位置，代价较为昂贵。

3.2 设备信息检测伪AP法

Sriram等人[6]提出一种基于设备信息检测伪AP的方法，该方法会将检测的Wi-Fi信息与预先采集的真实Wi-Fi信息进行比对，如果不一致则为伪AP。由于MAC物理地址等设备信息很容易被伪装，因此该方法的准确度较差。

3.3 路由跟踪检测伪AP法

Nikbakhsh等人[7]提出了一种基于路由跟踪算法来判断伪AP是否存在的方法，通过比对区域中两个具有相同信息AP的路由跟踪信息是否相同，即可判断该区域是否存在伪AP。当检测到该区域存在两个AP的路由跟踪信息不同时，即可判断存在伪AP，但无法识别出哪一个为伪AP。

3.4 设备指纹识别伪AP法

郑等人[8]提出一种基于设备指纹特征来识别伪AP的方法，通过测量合法AP的信道状态信息中的子载波相位信息，并使用神经网络训练出该设备的指纹。检测时，将会使用多份指纹进行检测并投票，如果伪AP的票数多，则可识别出该IP为伪AP。该方法不需要预知伪AP特征，并且检测便捷、成本较低。但要想获得较高的准确率，前期训练神经网络模型时需要采集大量的样本数据，且更换合法AP后需要重新训练模型。

3.5 加密传输用户数据

服务提供者使用SSL协议加密传输用户数据，可避免用户与服务器交互的信息，如提交的POST表单等，被直接暴露在不安全信道中。此类方法能在传输过程中一定程度上地保障数据安全性，对各类通过截获数据包盗取用户信息的攻击方式有一定的防范效果，但该方法不能针对伪AP做特异性防护。

4 结束语

随着Wi-Fi在人们日常生活中扮演着越来越重要的角色，人们更多地关注如何提升无线局域网安全性。攻击者利用802.11协议的一些漏洞搭建伪AP，通过发射更大的信号强度，诱导客户端连接至伪AP，并趁机窃取用户隐私数据。至今为止，已有许多学者对伪AP的防范措施进行了研究，但各种方法仍存在一定的缺陷。在上述几种方法中，基于路径损耗的距离比消参搜索定位法能从地理位置上找出伪AP，适用于防范要求严格的场合，但测量和计算均较为复杂。基于设备指纹特征来识别伪AP的方法可以快速判断出哪一个是伪AP，但合法AP更换后需要重新训练模型。

除了在终端设备处对无线局域网攻击进行防止，在用户数据交互时也需要采取更严格的认证措施，包括服务提供者使用SSL协议加密用户数据等。同时，用于也需要提升自身防范意识，为个人Wi-Fi设置复杂的密码，谨慎连接未知Wi-Fi。未来，需要进一步探索无线局域网安全问题。可将各技术的优势互相结合，寻找出更经济、便捷和对变化适应力强的方法。

[1]杨春雷，银伟，邢国强.802.11无线网络拒绝服务攻击与安全防护技术研究[J].网络安全技术与应用，2018（12）：85-87.

[2]朱莉.无线校园网络钓鱼AP攻击检测技术研究[J].船舶职业教育，2021，9（01）：74-77.

[3]Paul U.，Kashyap A.，Maheshwari R.，et al.Passive Measurement of Interference in Wi-Fi Networks with Application in Misbehavior Detection[J].IEEE Transactions on Mobile Computing，2013，12（3）：434-446.

[4]赖特.无线Wi-Fi接入点欺骗及其检测技术研究[J].信息与电脑（理论版），2020，32（03）：154-156.

[5]王文婷.无线钓鱼AP搜索定位及检测技术研究[D].西安电子科技大学，2020.

[6]Sriram V.S.S.，Sahoo G.，Agrawal K.K.Detecting and eliminating Rogue Access Points in IEEE-802.11 WLAN-a multi-agent sourcing Methodology[C]//2010 IEEE 2nd International Advance Computing Conference（IACC）.IEEE，2010：256-260.

[7]Nikbakhsh S.，Manaf A.B.A.，Zamani M.，et al.A Novel Approach for Rogue Access Point Detection on the Client-Side[C]//2012 26th International Conference on Advanced Information Networking and Applications Workshops.IEEE，2012：684-687.

[8]郑瑞环，潘亚雄，胡勇.基于无线设备指纹的伪AP检测技术研究[J].信息安全研究，2020，6（05）：441-447.