wifi安全監(jiān)測與防護系統(tǒng)開發(fā)研究

顧成武 黃梓豪 孟祥國 劉恒

摘要：針對無線網(wǎng)絡(luò)數(shù)據(jù)在傳播過程中容易被攻擊的問題，提出了一種wifi安全監(jiān)測與防護系統(tǒng)。從監(jiān)測與防護兩個方面進行設(shè)計，對隱藏的威脅進行感知與過濾，同時動態(tài)分配網(wǎng)絡(luò)帶寬，避免資源浪費。面對異常SSID與ARP攻擊進行檢測與防御，并構(gòu)建一體化平臺實現(xiàn)系統(tǒng)的管理。

關(guān)鍵詞：信息安全；wifi安全監(jiān)測；網(wǎng)絡(luò)攻擊防護

中圖分類號：TP311 文獻標(biāo)識碼：A

文章編號：1009-3044（2019）09-0026-02

1引言

隨著網(wǎng)絡(luò)的快速普及，無線網(wǎng)絡(luò)以其開放、共享的特性對社會的影響越來越大，人們對無線網(wǎng)絡(luò)的要求也越來越高，公眾及企業(yè)對wifi的需求已逐步從覆蓋（能用）向體驗（好用）方面發(fā)展，提升wifi的服務(wù)與質(zhì)量是大數(shù)據(jù)時代的潮流與趨勢。

另一方面，無線網(wǎng)絡(luò)因為數(shù)據(jù)在空氣中傳輸?shù)奶匦?，方便對?shù)據(jù)進行捕獲，容易受到攻擊者的青睞[1]。大多家庭的wifi密碼設(shè)置十分簡易，甚至一些用戶直接使用默認(rèn)密碼，這導(dǎo)致許多wifi遭到ARP攻擊或DNS劫持攻擊。一旦遭遇DNS劫持攻擊，用戶在登錄網(wǎng)站時輸入的賬號密碼、甚至是用于網(wǎng)上支付的支付密碼都會被攻擊者盜取，嚴(yán)重威脅到用戶的財產(chǎn)安全。

同時，一些傳統(tǒng)的無線網(wǎng)絡(luò)設(shè)備，功能固定，升級和維護只能使用廠家的固件，無法由別的人開發(fā)與擴展使用功能，具備一定的局限性。本系統(tǒng)使用一個嵌入式的Linux發(fā)行版，作為最底層的系統(tǒng)。Linux具有開源的特性，可以為用戶帶來更多的選擇。用戶可以將相應(yīng)的c/c++代碼，通過專門的編譯器來編譯成一個相應(yīng)的可執(zhí)行程序，來不斷擴展整個系統(tǒng)的功能，具備更大的靈活性與更佳的體驗。

所以，研究wifi安全監(jiān)測與防護技術(shù)，開發(fā)對應(yīng)的一體化管理軟件具有明顯的實際意義和社會價值。

2相關(guān)概念

1）OpenWRT系統(tǒng)：

OpenWRT是一個開源的嵌入式Linux系統(tǒng)，提供了一些能對數(shù)據(jù)包進行分析和處理的接口，常被用來網(wǎng)絡(luò)設(shè)備軟件的開發(fā)[2]。

2）BeaconFram：

BeaconFrame作為一種定時廣播發(fā)送的幀，主要有兩種用途：一種用途是通知網(wǎng)絡(luò)AP是否存在，另一種用途的使用場景是Station與AP建立聯(lián)系的時候。使用Scan掃描之后，Station會得到Beacon，會從中獲知AP的存在；在掃描時，也可以直接通過主動發(fā)送Probe來判斷網(wǎng)絡(luò)中AP的存在性。換句話說， Station與AP建立聯(lián)系的方式主要有主動掃描和被動掃描兩種。除此之外，在Beacon Frame中還包含了Power Save、以及地區(qū)等信息。

3）ARP攻擊：

ARP攻擊的具體表現(xiàn)形式是ARP欺騙。攻擊者通過偽造IP地址與MAC地址，使網(wǎng)絡(luò)中的ARP通信量激增，以達到阻塞網(wǎng)絡(luò)的目的。攻擊者會持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包，使目標(biāo)主機ARP緩存中的IP-MAC條目被更改，此時，網(wǎng)絡(luò)就會中斷或受到中間人攻擊[3]?？梢酝ㄟ^編寫程序來獲取當(dāng)前局域網(wǎng)內(nèi)的數(shù)據(jù)包，分析是否有一個IP對應(yīng)多個MAC地址，進而定位攻擊者，將對應(yīng)的設(shè)備拉入黑名單。

3需求分析

“監(jiān)測”與“防護”是本項目的主要業(yè)務(wù)需求。鑒于用戶在使用設(shè)備的過程中，難以確保自己的隱私和數(shù)據(jù)不被輕易泄露，所以設(shè)備應(yīng)該像電腦中的“殺毒軟件”保護電腦的安全一樣，能夠檢測環(huán)境中是否存在異常?！氨O(jiān)測”指設(shè)備會檢測當(dāng)前環(huán)境是否正常，這也是監(jiān)測的目的?！胺雷o”指在發(fā)現(xiàn)異常的時候的保護措施，如果發(fā)現(xiàn)問題而不去解決問題，則沒有解決用戶數(shù)據(jù)與隱私面臨泄露的風(fēng)險，達不到防護的目標(biāo)。

結(jié)合實際情況，業(yè)務(wù)需求可以更加細致的劃分為以下幾個方面：

1）威脅感知：對于一些敏感的數(shù)據(jù)包做出合理的響應(yīng)機制，能夠?qū)υO(shè)備本身發(fā)起的攻擊進行防御。

2）威脅過濾：丟棄或返回一些故意偽造的數(shù)據(jù)包，干擾攻擊者的判斷。如果攻擊者已經(jīng)在當(dāng)前設(shè)備的網(wǎng)絡(luò)環(huán)境中，能夠?qū)粽哌M行屏蔽。

3）智能帶寬控制：合理分配網(wǎng)絡(luò)帶寬，避免使用者過多時，網(wǎng)絡(luò)資源的不足；使用者較少時，網(wǎng)絡(luò)資源的浪費。

4）構(gòu)建一體化管理平臺：要避免管理者額外地安裝軟件，方便地對整個wifi安全監(jiān)測與防護系統(tǒng)進行管理與日志審計。

5）安全檢測：能夠分析當(dāng)前網(wǎng)絡(luò)環(huán)境中的設(shè)備情況是否異常（包括不僅限于偽熱點，ARP欺騙，DHCP攻擊等），避免讓入侵者有機可乘。

4系統(tǒng)設(shè)計與實現(xiàn)

在硬件方面，本系統(tǒng)的物理設(shè)備本身就能就數(shù)據(jù)包的轉(zhuǎn)發(fā)和路由的選擇，存在硬件基礎(chǔ)。在軟件方面，本系統(tǒng)使用OpenWRT作為軟件基礎(chǔ)。主要實現(xiàn)了以下功能：

1）異常SSID檢測：

通過編寫相關(guān)程序來分析AP定期發(fā)送的BeaconFrame中的某些字節(jié)，來獲取發(fā)送這些BeaconFrame的AP的MAC與SSID。程序再根據(jù)這些信息，判斷當(dāng)前環(huán)境中是否有相同的SSID設(shè)備，當(dāng)SSID相同時，是否存在“偽熱點”。其實現(xiàn)如圖1所示：

2）ARP攻擊檢測與防御：

通過編寫程序來獲取當(dāng)前局域網(wǎng)內(nèi)的數(shù)據(jù)包，分析是否有一個IP對應(yīng)多個MAC地址，進而定位攻擊者，將對應(yīng)的設(shè)備列入黑名單處理。

3）端口掃描與防御：

一般正常的用戶，并不會去批量的探測局域網(wǎng)內(nèi)的相關(guān)主機的端口是否開啟，參考“蜜罐”機制，設(shè)備錯誤的告知掃描設(shè)備一些端口的開放情況，當(dāng)掃描設(shè)備嘗試去訪問這些特殊的端口時，可以判定為是攻擊者，將由防火墻進行處理，如圖2所示。

4）MAC地址廠商識別：

根據(jù)IEEE規(guī)定的OUI（OrganizationallyUniqueIdentifier），MAC地址前6位（16進制下）由相關(guān)的機構(gòu)進行統(tǒng)一分配，也就是說，可以調(diào)研相關(guān)的廠商MAC地址數(shù)據(jù)庫，寫入系統(tǒng)中。然后程序獲取當(dāng)前的一些設(shè)備的MAC地址，再與數(shù)據(jù)庫中的進行匹配，根據(jù)前6位來判定設(shè)備廠商，從而實現(xiàn)MAC地址廠商識別。

5）智能帶寬控制：

采用Max-MinFairness算法，對網(wǎng)絡(luò)帶寬進行公平分配。WiFi負(fù)載監(jiān)測如圖3所示：

5總結(jié)

本文利用開源的OpenWRT開發(fā)了一個wifi安全監(jiān)測與防護系統(tǒng)，完成了異常SSID監(jiān)測，ARP攻擊檢測，端口掃描及防御，廠商MAC地址識別，動態(tài)帶寬分配等功能的開發(fā)，同時構(gòu)建了一體化的系統(tǒng)管理平臺。其中，在廠商MAC地址識別方面，還可以進一步擴展到根據(jù)不同設(shè)備廠商設(shè)備之間的功率機衰減差異判斷MAC地址是否是偽造的。

參考文獻：

[1] 李亞方.WIFI無線網(wǎng)絡(luò)技術(shù)及其安全問題分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（12）：114-117.

[2] 張博，曲強.基于OpenWrt的無線監(jiān)控系統(tǒng)[J].電子世界，2016（8）：78-79.

[3] 智陽光，胡曦明，馬苗.淺析ARP攻擊原理及其防御[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（：7）：30-32.

【通聯(lián)編輯：梁書】