無線網(wǎng)絡(luò)釣魚AP攻擊檢測技術(shù)研究

金雙齊　凌　捷

(廣東工業(yè)大學(xué)計算機(jī)學(xué)院　廣東 廣州 510006)

?

無線網(wǎng)絡(luò)釣魚AP攻擊檢測技術(shù)研究

金雙齊凌捷

(廣東工業(yè)大學(xué)計算機(jī)學(xué)院廣東 廣州 510006)

隨著無線局域網(wǎng)應(yīng)用的普及，針對無線網(wǎng)絡(luò)的攻擊方式也逐漸增多。無線釣魚AP攻擊通過被動或主動方式誘使用戶連接釣魚AP，進(jìn)而獲取用戶的敏感信息，是當(dāng)前被濫用的攻擊方式之一。針對這種情況，提出一種改進(jìn)的釣魚AP攻擊檢測方法，通過利用TTL值的遞減變化，以及綜合分析網(wǎng)關(guān)與路由信息，實現(xiàn)對AP的合法性檢測。實驗結(jié)果表明，該方法能夠有效地檢測無線釣魚AP和無線中間人等攻擊。

釣魚AP攻擊WLANWifi

0　引　言

無線局域網(wǎng)WLAN技術(shù)因其安裝靈活性和移動性、易于擴(kuò)展等特點而得到快速的發(fā)展。隨著3G/4G技術(shù)的成熟及普及，基于802.11標(biāo)準(zhǔn)的Wifi無線網(wǎng)絡(luò)在帶寬、覆蓋范圍上得到迅速提升，已可承載無線校園、無線醫(yī)療、無線城市、無線定位、車載無線等豐富的無線應(yīng)用，逐漸成為市場應(yīng)用的主流。

無線Wifi為人們工作生活帶來便利的同時，也存在多種網(wǎng)絡(luò)攻擊，具有很大的安全隱患。無線Wifi在通信工作站之間是以電磁波的形式進(jìn)行傳輸?shù)模趦蓚€工作站之間的任何接收設(shè)備都可以接收到無線局域網(wǎng)傳播的數(shù)據(jù)，惡意用戶可以篡改接收到的數(shù)據(jù)或進(jìn)行其他惡意操作[1]。在各種無線攻擊中，無線釣魚AP攻擊是危害最嚴(yán)重的攻擊方式之一。攻擊者在公共場所搭建的一個偽裝的無線AP，具有與真實AP完全相同的服務(wù)集標(biāo)識符SSID、MAC地址、加密方式等設(shè)置信息，誘使受害者連接到假冒的AP，進(jìn)一步獲取用戶的帳號密碼等敏感信息[2-4]。國外有些學(xué)者也稱之為“Evil Twin AP(邪惡雙胞胎AP)”或者“RogueAP(流氓AP)”。傳統(tǒng)的釣魚AP檢測技術(shù)，主要是在服務(wù)端依據(jù)無線嗅探器監(jiān)測無線網(wǎng)絡(luò)來檢測可疑AP。這種嗅探器是通過在2.4 GHz和5 GHz頻譜上掃描未經(jīng)授權(quán)的網(wǎng)絡(luò)流量，嗅探出非法的網(wǎng)絡(luò)流量。一些商業(yè)化的檢測產(chǎn)品主要就使用了這項技術(shù)，如啟明星辰的天清無線安全引擎、Motorola公司的AirDefense產(chǎn)品。還有一些產(chǎn)品，使用特征指紋來區(qū)分合法AP與釣魚AP，這些特征主要包括：MAC地址、供應(yīng)商名稱、信號強(qiáng)度、射頻測量和SSID等。其他的一些替代方法還包括收集RSSI值、無線電頻率的變化和時鐘偏差作為特征指紋來識別無線釣魚AP[5]。

啟明星辰公司的無線安全引擎能夠通過安全策略阻斷無線釣魚AP及非法終端，Motorola公司的AirDefense檢測方案通過部署多個傳感器實現(xiàn)全天候、全方位的無線局域網(wǎng)AP檢測。然而，這些部署方案的代價是十分昂貴的，且這些方案一般不容易擴(kuò)展，因此它涉及到大量基礎(chǔ)設(shè)施的改建和大型網(wǎng)絡(luò)改建。部署無線嗅探器要充分覆蓋大型網(wǎng)絡(luò)，成本昂貴，對于普通客戶是不現(xiàn)實的。

本文通過對釣魚AP的特征進(jìn)行分析，并和傳統(tǒng)的服務(wù)端檢測釣魚AP攻擊的方法進(jìn)行比較，深入研究無線局域網(wǎng)IEEE802.11系列協(xié)議，提出一種改進(jìn)了的利用TTL值遞減的變化，在客戶端檢測釣魚AP的方法，設(shè)計并實現(xiàn)了對被動釣魚攻擊和中間人攻擊的實驗檢驗。實驗結(jié)果表明，該方法能夠有效地檢測無線釣魚AP和無線中間人等攻擊。

1　釣魚AP攻擊原理分析

攻擊者可以很容易地搭建一個釣魚AP。首先，通過一些分析軟件為筆記本電腦進(jìn)行簡單的配置，搭建一個無線AP。然后，攻擊者通過配置與合法AP相同的SSID、MAC地址、信道及加密方式。最后，等待或誘使合法用戶連接釣魚AP。根據(jù)IEEE802.11協(xié)議標(biāo)準(zhǔn)，通常無線釣魚AP越靠近用戶越容易成功，當(dāng)周圍出現(xiàn)多個配置相同的AP時，無線客戶端會根據(jù)無線網(wǎng)卡選擇信號最強(qiáng)的那個AP進(jìn)行連接[6]。因此，攻擊者只要具備配置與合法AP相同信息并提高信號強(qiáng)度或距離受害者越近就越容易達(dá)到攻擊效果。

攻擊者通常會在靠近商場、賓館、咖啡廳或者圖書館等地方搭建釣魚AP。通過釣魚AP，攻擊者可以通過發(fā)動中間人攻擊截獲用戶的敏感信息，如帳號、密碼等，也可以通過操作DNS服務(wù)器，控制路由，發(fā)起更多的服務(wù)器釣魚攻擊。總之，無線釣魚AP嚴(yán)重危害了無線局域網(wǎng)的安全。

無線釣魚AP攻擊的基本步驟是：首先，攻擊者挑選信號發(fā)射功率較大的AP；其次，攻擊者獲取合法AP的SSID名稱、無線頻道、無線加密方式等配置信息。最后，攻擊者部署好AP等待用戶連接，或者攻擊者主動發(fā)送欺騙報文給AP，強(qiáng)制用戶斷開與合法授權(quán)AP的連接。無線釣魚AP的攻擊場景如圖1所示。

圖1　合法場景和無線釣魚場景

目前，釣魚AP攻擊主要有兩種類型[7]：第一種類型是使用典型的無線路由器作為無線釣魚AP，或者通過刷新無線路由器Firmware類建立釣魚專用AP。常見的第三方開源Firmware有DD-WRT和Open-WRT。第二種類型是在一臺便攜式筆記本配置兩塊無線網(wǎng)卡，一塊是用來連接真實的AP，以便數(shù)據(jù)轉(zhuǎn)發(fā)回互聯(lián)網(wǎng)；另一塊網(wǎng)卡使用AP模式，配置成一個可提供無線接入的AP。其中比較著名的無線釣魚軟件就是AirSnarf(http://airsnarf.shmoo.com/)。AirSnarf是一個簡單的惡意無線接入點設(shè)置使用程序，旨在展示一個無線釣魚AP如何從公共無線熱點竊取用戶名和密碼。AirSnarf是一臺跨平臺的軟件，目前已經(jīng)支持Windows XP、Linux操作系統(tǒng)，甚至可以作為固件刷入Linksys WRT54G系列的無線路由器中。同時AirSnarf還需要其他自動化應(yīng)答工具輔助形成完整的無線釣魚AP，如DNS域名解析服務(wù)、Web應(yīng)用服務(wù)、動態(tài)網(wǎng)站環(huán)境等。

2　釣魚AP攻擊檢測技術(shù)現(xiàn)狀

文獻(xiàn)[8]中使用了MAC地址區(qū)分的方法。在各類無線局域網(wǎng)中，MAC地址區(qū)分用于不同的網(wǎng)絡(luò)設(shè)備。在無線AP發(fā)送給工作站的數(shù)據(jù)幀中同樣包含AP自身的MAC地址信息和接收方的MAC地址。無線局域網(wǎng)中的網(wǎng)絡(luò)設(shè)備MAC地址由48位比特位構(gòu)成，分成兩部分：前24位由IEEE統(tǒng)一分配，為廠商地址；后24位由廠商為設(shè)備分配。通過不同的MAC地址可以區(qū)分不同的網(wǎng)絡(luò)設(shè)備。而開放的ESSID認(rèn)證的AP會廣播含有自身MAC地址信息的Beacon幀，處在AP廣播范圍內(nèi)的工作站均可以接收到這類幀，因此攻擊者同樣可以獲取合法AP的MAC地址信息，并將這些獲取的MAC復(fù)制到非法AP的數(shù)據(jù)幀中。由于MAC地址可以輕易地被攻擊者改變，因此使用MAC地址檢測，存在很大的弊端。

Bratus在文獻(xiàn)[9]中提出了一種主動式基于指紋的檢測方法。這種方法是通過發(fā)送一些特定的錯誤格式的數(shù)據(jù)幀來刺激無線AP，通過檢測無線AP的不同行為特征來獲取針對無線AP網(wǎng)卡芯片或無線網(wǎng)卡驅(qū)動等這些特征指紋信息來區(qū)別無線釣魚AP與合法授權(quán)AP。這種方法以較低的成本為部署主動式的無線端檢測方法提供了一種思路，即通過修改數(shù)據(jù)鏈路層的數(shù)據(jù)幀(MAC幀)并使得某些數(shù)據(jù)幀位不符合802.11標(biāo)準(zhǔn)協(xié)議中所規(guī)定的數(shù)據(jù)幀位[10]，但又不是明確禁止的。因此如果在標(biāo)準(zhǔn)協(xié)議中明確禁止情況下，該數(shù)據(jù)幀可能會被AP丟棄，比如在MAC管理幀幀頭的幀控制域中，其中FromDS字段和ToDS 字段按照協(xié)議要求應(yīng)該置為“0”，將這兩個比特設(shè)置“1”即可以制造出具有錯誤格式的“刺激”幀，這樣可以刺激AP，并使其做出某些特征行為的刺激響應(yīng)。不同的無線網(wǎng)卡芯片或者不同的無線網(wǎng)卡驅(qū)動的AP表現(xiàn)出的行為特征是不一樣的。另外在文獻(xiàn)[5]中還提出了采用決策樹的結(jié)構(gòu)來實現(xiàn)自動化的刺激響應(yīng)處理措施。這些基于AP特征指紋的檢測方法可以檢測釣魚AP，但是這些主動的檢測方法容易被攻擊者發(fā)現(xiàn)，并且是在服務(wù)端的檢測。

Kim等在文獻(xiàn)[11]中討論了IEEE802.11協(xié)議中有關(guān)隱藏標(biāo)識符的影響，突出強(qiáng)調(diào)了IEEE802.11協(xié)議中的一些獨一無二的標(biāo)識符，使得用戶不是匿名的，允許用戶追蹤。即使相關(guān)的標(biāo)識符被刻意掩蓋，也可以通過檢測一系列802.11協(xié)議中的參數(shù)信息來追蹤到用戶。文中確定了4種相關(guān)的網(wǎng)絡(luò)參數(shù)：在802.11協(xié)議探測幀中的網(wǎng)絡(luò)目的地址網(wǎng)絡(luò)名稱(SSID)、802.11協(xié)議中配置選項和廣播幀的大小。在加密流量的情況下，四分之三的參數(shù)信息仍可被獲取到。但是在這種指紋識別技術(shù)中需要每個用戶端至少持續(xù)一個小時的流量樣本監(jiān)控，監(jiān)控時間長并且監(jiān)控成本高。

3　改進(jìn)的釣魚AP檢測方法

TTL生存時間字段中設(shè)置了IP數(shù)據(jù)報能夠經(jīng)過的最大路由器數(shù)。TTL字段由發(fā)送端初始設(shè)置，在每個處理該數(shù)據(jù)報的路由器需要將其TTL值減1，當(dāng)路由器收到一個TTL值為0的數(shù)據(jù)包時，路由器就會將其丟棄。TTL字段的目的是防止數(shù)據(jù)報在選路時無休止地在網(wǎng)絡(luò)中流動。當(dāng)路由器癱瘓或者兩個路由器之間的連接丟失時，可能會造成路由器環(huán)路，而路由器可能會根據(jù)其路由表將該數(shù)據(jù)包一直循環(huán)轉(zhuǎn)發(fā)下去。在這種情況下，就需要一種機(jī)制來給這些循環(huán)傳遞的數(shù)據(jù)報加上一個生存上限，TTL字段正是實現(xiàn)這種機(jī)制的手段。TTL字段在IP頭部的位置如圖2所示。

4位版本4位首部8位服務(wù)類型16位總長度(字節(jié)數(shù))16位標(biāo)識3位標(biāo)志13位片偏移8位生存時間(TTL)8位協(xié)議16位首部檢驗和32位源IP地址32位目的IP地址選項(如果有)數(shù)據(jù)

圖2TTL字段在IP報頭的位置

根據(jù)TTL值遞減的變化，本文提出了一種改進(jìn)的檢測方法，用于檢測MITM攻擊的場景或雙胞胎AP的場景。由于所有的釣魚AP接入點并不會表現(xiàn)出相同的方式，因此這種方法能夠在不同的場景中，檢測出釣魚AP的攻擊。如圖3所示，根據(jù)收集到的信息，有三種存在的狀態(tài)：一種是MITM攻擊的場景，另一種是雙胞胎釣魚AP欺騙場景，最后一種就是安全的網(wǎng)絡(luò)環(huán)境。

圖3　釣魚AP檢測流程圖

如圖3所示，在Wifi廣播的環(huán)境中，我們收到兩個相同SSID、MAC和IP地址和包路徑完全相同點的兩個接入點AP。根據(jù)IEEE802.11網(wǎng)絡(luò)層協(xié)議，在同一個網(wǎng)絡(luò)中，不能同時出現(xiàn)兩個相同的IP地址。如果發(fā)生了這種情況，會造成IP地址的沖突，客戶端設(shè)備會停止工作。因此，在圖中，這種情況會顯示為“N/A”。

唯一出現(xiàn)的一種情況是，有相同的IP地址與不同的包路徑情況，這種情況是IP欺騙的結(jié)果。出現(xiàn)這種情況，只能是雙胞胎釣魚AP攻擊的場景，就會警告用戶，慎重上網(wǎng)。

首先掃描當(dāng)前網(wǎng)絡(luò)環(huán)境，當(dāng)發(fā)現(xiàn)有相同的SSID和MAC地址的兩個AP的時候，連接AP，并比較兩個AP的IP地址。如果發(fā)現(xiàn)有不同的IP地址，這種情況下，為了做出下一步的決策，需要比較網(wǎng)絡(luò)ID。如果網(wǎng)絡(luò)ID相同，表明兩個AP是在相同的網(wǎng)絡(luò)環(huán)境下，出現(xiàn)這種情況是網(wǎng)絡(luò)負(fù)載均衡的結(jié)果。網(wǎng)絡(luò)管理員可以使用兩個接入點AP(相同的網(wǎng)絡(luò)ID)，讓網(wǎng)絡(luò)實現(xiàn)負(fù)載均衡，所以是一種安全的連接。這種情況下，綠燈亮起，提示用戶可以安全接入當(dāng)前網(wǎng)絡(luò)。

第二種情況是，不同的IP地址和不同的網(wǎng)絡(luò)ID。這種情況下，該檢測算法會執(zhí)行跟蹤路由訪問點并比較訪問點是否相同。通過traceroute命令，查看返回的路由器跳數(shù)，如果跳數(shù)結(jié)果不同，則紅燈亮起，證明存在中間人攻擊，提示用戶接入了不安全的訪問點AP。因為這種情況下，是攻擊者截取了一個AP，并廣播SSID，黑客通過設(shè)置相同的SSID名字，誘使用戶連接到釣魚AP接入點。攻擊者在合法AP和客戶端之間，嗅探網(wǎng)絡(luò)流量，截取用戶的通信信息。

第三種情況是，不同的IP地址和不同的網(wǎng)絡(luò)ID。在這種情況下，執(zhí)行traceroute命令，查看路由器跳數(shù)，發(fā)現(xiàn)并沒有新增額外的跳數(shù)，執(zhí)行了不同的trace路線，確定到達(dá)了相同的目的地，這種情況是攻擊者設(shè)置了和合法AP相同的SSID、IP和MAC地址，誘使用戶連接釣魚AP。這種情況下，黃色燈亮起，用于警告用戶連接此網(wǎng)絡(luò)是不安全的。

4　實驗與結(jié)果分析

4.1實驗設(shè)計

圖4　無線網(wǎng)絡(luò)攻擊

實驗?zāi)M了無線釣魚環(huán)境，圖4顯示了實驗中的無線網(wǎng)絡(luò)場景，其中包含真實的無線AP和偽裝的釣魚AP，真實AP與路由器的連接帶寬是100 Mbps，AP的傳輸帶寬是50 Mbps，偽裝的釣魚AP使用筆記本網(wǎng)卡發(fā)射的無線網(wǎng)作為接入口。為了更好地評估實驗效果，在真實的環(huán)境中，我們選擇了與客戶端不同距離的四個點A、B、C、D做測試，分別代表RSSI的四個測試范圍：A、B、C、D，如表1所示。

表1　RSSI等級范圍描述

在實驗環(huán)境中，利用Android智能手機(jī)連接無線Wifi，增加了主動釣魚攻擊的方便性。攻擊者使用DoS攻擊方式強(qiáng)制使受害者斷網(wǎng)，并連接到攻擊者搭建的釣魚AP，使用筆記本電腦的無線網(wǎng)卡截取用戶的數(shù)據(jù)報文并轉(zhuǎn)發(fā)數(shù)據(jù)。

4.2實驗結(jié)果與分析

利用中間人攻擊或者雙胞胎AP攻擊，當(dāng)強(qiáng)制受害者轉(zhuǎn)到釣魚AP上后，釣魚AP可以將受害者的敏感信息截獲，顯示在攻擊者的個人屏幕上。本次實驗，通過比較兩個AP的SSID、MAC地址、IP地址信息，然后traceroute 固定的IP地址或網(wǎng)址，通過返回的跳的信息，最后報警給連接AP的用戶。在本次實驗中，我們選擇了四個不同的RSSI范圍和兩種IEEE協(xié)議802.11b和802.11g評估方法的有效性。如表2和表3中所示，能夠清晰地驗證本文算法的有效性。此外，我們可以發(fā)現(xiàn)，802.11g的結(jié)果優(yōu)于802.11b。

表2　實驗方法的檢測率

性能分析主要從檢測效果、時間、成本三個方面進(jìn)行比較。在檢測效果方面，文獻(xiàn)[8]有明顯的不足，MAC地址易被攻擊者獲取并復(fù)制，存在很大的弊端。在實時性方面，文獻(xiàn)[9]需要建立大量的指紋庫；文獻(xiàn)[11]需要持續(xù)一個多小時的流量分析，實時性不夠好，檢測時間長。本文利用TTL值比較，不易被篡改，實時性也能保證，在檢測效果、時間與成本上面有較大的提高。

下面是本實驗方法與文獻(xiàn)[8，9，11]進(jìn)行比較分析。比較結(jié)果見表3所示。

表3　實驗性能分析

5　結(jié)　語

本文分析了無線局域網(wǎng)中釣魚AP攻擊原理，提出了一種改進(jìn)的釣魚AP攻擊檢測方法，并分析了檢測釣魚Wifi的條件。該檢測方法基于無線端檢測。通過利用TTL值的遞減變化，以及綜合分析網(wǎng)關(guān)與路由信息，實現(xiàn)對AP的合法性檢測。實驗結(jié)果驗證了這種檢測方法的有效性。

本文提出的這種改進(jìn)的釣魚AP檢測方法，用于檢測基于MITM攻擊的釣魚和雙胞胎AP的釣魚場景。根據(jù)不同的檢測結(jié)果顯示燈的顏色，提醒接入無線網(wǎng)絡(luò)的用戶。針對文中檢測方法，并不是在有線端，不需要大量的運行設(shè)備，方便了普通客戶的檢測。在今后的工作中，將進(jìn)一步研究較為通用的檢測方法，探討無線網(wǎng)絡(luò)的攻擊方式及可以利用的漏洞，針對無線網(wǎng)絡(luò)中各種漏洞進(jìn)行分析，提出相應(yīng)的防范措施。

[1] 齊惠英.基于EAP-TLS的WLAN安全認(rèn)證[J].科技通報,2012,28(10):25-27.

[2] Song Y M,Yang C,Gu G F.Who Is Peeping at Your Passwords at Starbucks? - To Catch an Evil Twin Access Point[C]// Dependable Systems and Networks,IEEE/IFIP International Conference on.IEEE,2010:323-332.

[3] Han H,Xu F Y,Tan C C,et al.Defending against vehicular rogue APs[C]// INFOCOM,2011 Proceedings IEEE.IEEE,2011:1665-1673.

[4] Han H,Sheng B,Tan C C,et al.A Timing-Based Scheme for Rogue AP Detection[J].IEEE Transactions on Parallel and Distributed Systems ,2011,22(11):1912-1925.

[5] Han H,Xu F Y,Tan C C,et al.Defending against vehicular rogue APs[C]// INFOCOM,2011 Proceedings IEEE.IEEE,2011:1665-1673.

[6] 陳偉,顧楊,于樂.高隱蔽性的無線網(wǎng)絡(luò)主動釣魚攻擊及其防范研究[J].武漢大學(xué)學(xué)報:理學(xué)版,2013,59(2):171-177.

[7] 陳偉,顧楊,李晨陽,等.無線釣魚接入點攻擊與檢測技術(shù)研究綜述[J].武漢大學(xué)學(xué)報:理學(xué)版,2014,60(1):13-23.

[8] 朱建明，馬建峰.無線局域網(wǎng)安全：方法與技術(shù)[M].2版.北京：機(jī)械工業(yè)出版社，2009.

[9] Bratus S,Cornelius C,Kotz D,et al.Active behavioral fingerprinting of wireless devices[C]//Proceedings of the First ACM Conference on Wireless Network Security,2008:56-61.

[10] 蔣華,阮玲玲,王鑫.基于SHA-256消息認(rèn)證的四次握手協(xié)議研究[J].微電子學(xué)與計算機(jī),2014(8):155-158.

[11] Kim I,Seo J,Shon T,et al.A novel approach to detection of mobile rogue access points[J].Security and Communication Networks,2014,7(10):1510-1516.

RESEARCH ON DETECTION TECHNOLOGY OF FISHING AP ATTACK IN WIRELESS NETWORK

Jin ShuangqiLing Jie

(FacultyofComputer,GuangdongUniversityofTechnology,Guangzhou510006,Guangdong,China)

With the popularisation of WLAN,the attacks against wireless network are increasingly growing.Wireless fishing AP attack,through passive or active way,induces users to connect fishing AP,and then catches users’ sensitive information,it is currently one of the abused attack modes.In light of this,we proposed an improved fishing AP attack detection method,by using diminishing variation of TTL value as well as comprehensively analysing the gateway and routing information,it realises validity detection on AP.Experimental results showed that this method can effectively detect the attacks including wireless fishing AP and wireless man-in-the-middle.

Fishing AP attackWLANWiFi

2015-06-02。廣東省自然科學(xué)基金項目(S2012020011 071);廣東省科技計劃項目(2013B040401017，2014A010103029);廣州市科技計劃項目(2014J4100201)。金雙齊，碩士生，主研領(lǐng)域：信息安全技術(shù)。凌捷，教授。

TP309

A

10.3969/j.issn.1000-386x.2016.10.068