無線網絡釣魚AP攻擊檢測技術研究

金雙齊　凌　捷

(廣東工業大學計算機學院　廣東 廣州 510006)

?

無線網絡釣魚AP攻擊檢測技術研究

金雙齊凌捷

(廣東工業大學計算機學院廣東 廣州 510006)

隨著無線局域網應用的普及，針對無線網絡的攻擊方式也逐漸增多。無線釣魚AP攻擊通過被動或主動方式誘使用戶連接釣魚AP，進而獲取用戶的敏感信息，是當前被濫用的攻擊方式之一。針對這種情況，提出一種改進的釣魚AP攻擊檢測方法，通過利用TTL值的遞減變化，以及綜合分析網關與路由信息，實現對AP的合法性檢測。實驗結果表明，該方法能夠有效地檢測無線釣魚AP和無線中間人等攻擊。

釣魚AP攻擊WLANWifi

0　引　言

無線局域網WLAN技術因其安裝靈活性和移動性、易于擴展等特點而得到快速的發展。隨著3G/4G技術的成熟及普及，基于802.11標準的Wifi無線網絡在帶寬、覆蓋范圍上得到迅速提升，已可承載無線校園、無線醫療、無線城市、無線定位、車載無線等豐富的無線應用，逐漸成為市場應用的主流。

無線Wifi為人們工作生活帶來便利的同時，也存在多種網絡攻擊，具有很大的安全隱患。無線Wifi在通信工作站之間是以電磁波的形式進行傳輸的，在兩個工作站之間的任何接收設備都可以接收到無線局域網傳播的數據，惡意用戶可以篡改接收到的數據或進行其他惡意操作[1]。在各種無線攻擊中，無線釣魚AP攻擊是危害最嚴重的攻擊方式之一。攻擊者在公共場所搭建的一個偽裝的無線AP，具有與真實AP完全相同的服務集標識符SSID、MAC地址、加密方式等設置信息，誘使受害者連接到假冒的AP，進一步獲取用戶的帳號密碼等敏感信息[2-4]。國外有些學者也稱之為“Evil Twin AP(邪惡雙胞胎AP)”或者“RogueAP(流氓AP)”。傳統的釣魚AP檢測技術，主要是在服務端依據無線嗅探器監測無線網絡來檢測可疑AP。這種嗅探器是通過在2.4 GHz和5 GHz頻譜上掃描未經授權的網絡流量，嗅探出非法的網絡流量。一些商業化的檢測產品主要就使用了這項技術，如啟明星辰的天清無線安全引擎、Motorola公司的AirDefense產品。還有一些產品，使用特征指紋來區分合法AP與釣魚AP，這些特征主要包括：MAC地址、供應商名稱、信號強度、射頻測量和SSID等。其他的一些替代方法還包括收集RSSI值、無線電頻率的變化和時鐘偏差作為特征指紋來識別無線釣魚AP[5]。

啟明星辰公司的無線安全引擎能夠通過安全策略阻斷無線釣魚AP及非法終端，Motorola公司的AirDefense檢測方案通過部署多個傳感器實現全天候、全方位的無線局域網AP檢測。然而，這些部署方案的代價是十分昂貴的，且這些方案一般不容易擴展，因此它涉及到大量基礎設施的改建和大型網絡改建。部署無線嗅探器要充分覆蓋大型網絡，成本昂貴，對于普通客戶是不現實的。

本文通過對釣魚AP的特征進行分析，并和傳統的服務端檢測釣魚AP攻擊的方法進行比較，深入研究無線局域網IEEE802.11系列協議，提出一種改進了的利用TTL值遞減的變化，在客戶端檢測釣魚AP的方法，設計并實現了對被動釣魚攻擊和中間人攻擊的實驗檢驗。實驗結果表明，該方法能夠有效地檢測無線釣魚AP和無線中間人等攻擊。

1　釣魚AP攻擊原理分析

攻擊者可以很容易地搭建一個釣魚AP。首先，通過一些分析軟件為筆記本電腦進行簡單的配置，搭建一個無線AP。然后，攻擊者通過配置與合法AP相同的SSID、MAC地址、信道及加密方式。最后，等待或誘使合法用戶連接釣魚AP。根據IEEE802.11協議標準，通常無線釣魚AP越靠近用戶越容易成功，當周圍出現多個配置相同的AP時，無線客戶端會根據無線網卡選擇信號最強的那個AP進行連接[6]。因此，攻擊者只要具備配置與合法AP相同信息并提高信號強度或距離受害者越近就越容易達到攻擊效果。

攻擊者通常會在靠近商場、賓館、咖啡廳或者圖書館等地方搭建釣魚AP。通過釣魚AP，攻擊者可以通過發動中間人攻擊截獲用戶的敏感信息，如帳號、密碼等，也可以通過操作DNS服務器，控制路由，發起更多的服務器釣魚攻擊。總之，無線釣魚AP嚴重危害了無線局域網的安全。

無線釣魚AP攻擊的基本步驟是：首先，攻擊者挑選信號發射功率較大的AP；其次，攻擊者獲取合法AP的SSID名稱、無線頻道、無線加密方式等配置信息。最后，攻擊者部署好AP等待用戶連接，或者攻擊者主動發送欺騙報文給AP，強制用戶斷開與合法授權AP的連接。無線釣魚AP的攻擊場景如圖1所示。

圖1　合法場景和無線釣魚場景

目前，釣魚AP攻擊主要有兩種類型[7]：第一種類型是使用典型的無線路由器作為無線釣魚AP，或者通過刷新無線路由器Firmware類建立釣魚專用AP。常見的第三方開源Firmware有DD-WRT和Open-WRT。第二種類型是在一臺便攜式筆記本配置兩塊無線網卡，一塊是用來連接真實的AP，以便數據轉發回互聯網；另一塊網卡使用AP模式，配置成一個可提供無線接入的AP。其中比較著名的無線釣魚軟件就是AirSnarf(http://airsnarf.shmoo.com/)。AirSnarf是一個簡單的惡意無線接入點設置使用程序，旨在展示一個無線釣魚AP如何從公共無線熱點竊取用戶名和密碼。AirSnarf是一臺跨平臺的軟件，目前已經支持Windows XP、Linux操作系統，甚至可以作為固件刷入Linksys WRT54G系列的無線路由器中。同時AirSnarf還需要其他自動化應答工具輔助形成完整的無線釣魚AP，如DNS域名解析服務、Web應用服務、動態網站環境等。

2　釣魚AP攻擊檢測技術現狀

文獻[8]中使用了MAC地址區分的方法。在各類無線局域網中，MAC地址區分用于不同的網絡設備。在無線AP發送給工作站的數據幀中同樣包含AP自身的MAC地址信息和接收方的MAC地址。無線局域網中的網絡設備MAC地址由48位比特位構成，分成兩部分：前24位由IEEE統一分配，為廠商地址；后24位由廠商為設備分配。通過不同的MAC地址可以區分不同的網絡設備。而開放的ESSID認證的AP會廣播含有自身MAC地址信息的Beacon幀，處在AP廣播范圍內的工作站均可以接收到這類幀，因此攻擊者同樣可以獲取合法AP的MAC地址信息，并將這些獲取的MAC復制到非法AP的數據幀中。由于MAC地址可以輕易地被攻擊者改變，因此使用MAC地址檢測，存在很大的弊端。

Bratus在文獻[9]中提出了一種主動式基于指紋的檢測方法。這種方法是通過發送一些特定的錯誤格式的數據幀來刺激無線AP，通過檢測無線AP的不同行為特征來獲取針對無線AP網卡芯片或無線網卡驅動等這些特征指紋信息來區別無線釣魚AP與合法授權AP。這種方法以較低的成本為部署主動式的無線端檢測方法提供了一種思路，即通過修改數據鏈路層的數據幀(MAC幀)并使得某些數據幀位不符合802.11標準協議中所規定的數據幀位[10]，但又不是明確禁止的。因此如果在標準協議中明確禁止情況下，該數據幀可能會被AP丟棄，比如在MAC管理幀幀頭的幀控制域中，其中FromDS字段和ToDS 字段按照協議要求應該置為“0”，將這兩個比特設置“1”即可以制造出具有錯誤格式的“刺激”幀，這樣可以刺激AP，并使其做出某些特征行為的刺激響應。不同的無線網卡芯片或者不同的無線網卡驅動的AP表現出的行為特征是不一樣的。另外在文獻[5]中還提出了采用決策樹的結構來實現自動化的刺激響應處理措施。這些基于AP特征指紋的檢測方法可以檢測釣魚AP，但是這些主動的檢測方法容易被攻擊者發現，并且是在服務端的檢測。

Kim等在文獻[11]中討論了IEEE802.11協議中有關隱藏標識符的影響，突出強調了IEEE802.11協議中的一些獨一無二的標識符，使得用戶不是匿名的，允許用戶追蹤。即使相關的標識符被刻意掩蓋，也可以通過檢測一系列802.11協議中的參數信息來追蹤到用戶。文中確定了4種相關的網絡參數：在802.11協議探測幀中的網絡目的地址網絡名稱(SSID)、802.11協議中配置選項和廣播幀的大小。在加密流量的情況下，四分之三的參數信息仍可被獲取到。但是在這種指紋識別技術中需要每個用戶端至少持續一個小時的流量樣本監控，監控時間長并且監控成本高。

3　改進的釣魚AP檢測方法

TTL生存時間字段中設置了IP數據報能夠經過的最大路由器數。TTL字段由發送端初始設置，在每個處理該數據報的路由器需要將其TTL值減1，當路由器收到一個TTL值為0的數據包時，路由器就會將其丟棄。TTL字段的目的是防止數據報在選路時無休止地在網絡中流動。當路由器癱瘓或者兩個路由器之間的連接丟失時，可能會造成路由器環路，而路由器可能會根據其路由表將該數據包一直循環轉發下去。在這種情況下，就需要一種機制來給這些循環傳遞的數據報加上一個生存上限，TTL字段正是實現這種機制的手段。TTL字段在IP頭部的位置如圖2所示。

4位版本4位首部8位服務類型16位總長度(字節數)16位標識3位標志13位片偏移8位生存時間(TTL)8位協議16位首部檢驗和32位源IP地址32位目的IP地址選項(如果有)數據

圖2TTL字段在IP報頭的位置

根據TTL值遞減的變化，本文提出了一種改進的檢測方法，用于檢測MITM攻擊的場景或雙胞胎AP的場景。由于所有的釣魚AP接入點并不會表現出相同的方式，因此這種方法能夠在不同的場景中，檢測出釣魚AP的攻擊。如圖3所示，根據收集到的信息，有三種存在的狀態：一種是MITM攻擊的場景，另一種是雙胞胎釣魚AP欺騙場景，最后一種就是安全的網絡環境。

圖3　釣魚AP檢測流程圖

如圖3所示，在Wifi廣播的環境中，我們收到兩個相同SSID、MAC和IP地址和包路徑完全相同點的兩個接入點AP。根據IEEE802.11網絡層協議，在同一個網絡中，不能同時出現兩個相同的IP地址。如果發生了這種情況，會造成IP地址的沖突，客戶端設備會停止工作。因此，在圖中，這種情況會顯示為“N/A”。

唯一出現的一種情況是，有相同的IP地址與不同的包路徑情況，這種情況是IP欺騙的結果。出現這種情況，只能是雙胞胎釣魚AP攻擊的場景，就會警告用戶，慎重上網。

首先掃描當前網絡環境，當發現有相同的SSID和MAC地址的兩個AP的時候，連接AP，并比較兩個AP的IP地址。如果發現有不同的IP地址，這種情況下，為了做出下一步的決策，需要比較網絡ID。如果網絡ID相同，表明兩個AP是在相同的網絡環境下，出現這種情況是網絡負載均衡的結果。網絡管理員可以使用兩個接入點AP(相同的網絡ID)，讓網絡實現負載均衡，所以是一種安全的連接。這種情況下，綠燈亮起，提示用戶可以安全接入當前網絡。

第二種情況是，不同的IP地址和不同的網絡ID。這種情況下，該檢測算法會執行跟蹤路由訪問點并比較訪問點是否相同。通過traceroute命令，查看返回的路由器跳數，如果跳數結果不同，則紅燈亮起，證明存在中間人攻擊，提示用戶接入了不安全的訪問點AP。因為這種情況下，是攻擊者截取了一個AP，并廣播SSID，黑客通過設置相同的SSID名字，誘使用戶連接到釣魚AP接入點。攻擊者在合法AP和客戶端之間，嗅探網絡流量，截取用戶的通信信息。

第三種情況是，不同的IP地址和不同的網絡ID。在這種情況下，執行traceroute命令，查看路由器跳數，發現并沒有新增額外的跳數，執行了不同的trace路線，確定到達了相同的目的地，這種情況是攻擊者設置了和合法AP相同的SSID、IP和MAC地址，誘使用戶連接釣魚AP。這種情況下，黃色燈亮起，用于警告用戶連接此網絡是不安全的。

4　實驗與結果分析

4.1實驗設計

圖4　無線網絡攻擊

實驗模擬了無線釣魚環境，圖4顯示了實驗中的無線網絡場景，其中包含真實的無線AP和偽裝的釣魚AP，真實AP與路由器的連接帶寬是100 Mbps，AP的傳輸帶寬是50 Mbps，偽裝的釣魚AP使用筆記本網卡發射的無線網作為接入口。為了更好地評估實驗效果，在真實的環境中，我們選擇了與客戶端不同距離的四個點A、B、C、D做測試，分別代表RSSI的四個測試范圍：A、B、C、D，如表1所示。

表1　RSSI等級范圍描述

在實驗環境中，利用Android智能手機連接無線Wifi，增加了主動釣魚攻擊的方便性。攻擊者使用DoS攻擊方式強制使受害者斷網，并連接到攻擊者搭建的釣魚AP，使用筆記本電腦的無線網卡截取用戶的數據報文并轉發數據。

4.2實驗結果與分析

利用中間人攻擊或者雙胞胎AP攻擊，當強制受害者轉到釣魚AP上后，釣魚AP可以將受害者的敏感信息截獲，顯示在攻擊者的個人屏幕上。本次實驗，通過比較兩個AP的SSID、MAC地址、IP地址信息，然后traceroute 固定的IP地址或網址，通過返回的跳的信息，最后報警給連接AP的用戶。在本次實驗中，我們選擇了四個不同的RSSI范圍和兩種IEEE協議802.11b和802.11g評估方法的有效性。如表2和表3中所示，能夠清晰地驗證本文算法的有效性。此外，我們可以發現，802.11g的結果優于802.11b。

表2　實驗方法的檢測率

性能分析主要從檢測效果、時間、成本三個方面進行比較。在檢測效果方面，文獻[8]有明顯的不足，MAC地址易被攻擊者獲取并復制，存在很大的弊端。在實時性方面，文獻[9]需要建立大量的指紋庫；文獻[11]需要持續一個多小時的流量分析，實時性不夠好，檢測時間長。本文利用TTL值比較，不易被篡改，實時性也能保證，在檢測效果、時間與成本上面有較大的提高。

下面是本實驗方法與文獻[8，9，11]進行比較分析。比較結果見表3所示。

表3　實驗性能分析

5　結　語

本文分析了無線局域網中釣魚AP攻擊原理，提出了一種改進的釣魚AP攻擊檢測方法，并分析了檢測釣魚Wifi的條件。該檢測方法基于無線端檢測。通過利用TTL值的遞減變化，以及綜合分析網關與路由信息，實現對AP的合法性檢測。實驗結果驗證了這種檢測方法的有效性。

本文提出的這種改進的釣魚AP檢測方法，用于檢測基于MITM攻擊的釣魚和雙胞胎AP的釣魚場景。根據不同的檢測結果顯示燈的顏色，提醒接入無線網絡的用戶。針對文中檢測方法，并不是在有線端，不需要大量的運行設備，方便了普通客戶的檢測。在今后的工作中，將進一步研究較為通用的檢測方法，探討無線網絡的攻擊方式及可以利用的漏洞，針對無線網絡中各種漏洞進行分析，提出相應的防范措施。

[1] 齊惠英.基于EAP-TLS的WLAN安全認證[J].科技通報,2012,28(10):25-27.

[2] Song Y M,Yang C,Gu G F.Who Is Peeping at Your Passwords at Starbucks? - To Catch an Evil Twin Access Point[C]// Dependable Systems and Networks,IEEE/IFIP International Conference on.IEEE,2010:323-332.

[3] Han H,Xu F Y,Tan C C,et al.Defending against vehicular rogue APs[C]// INFOCOM,2011 Proceedings IEEE.IEEE,2011:1665-1673.

[4] Han H,Sheng B,Tan C C,et al.A Timing-Based Scheme for Rogue AP Detection[J].IEEE Transactions on Parallel and Distributed Systems ,2011,22(11):1912-1925.

[5] Han H,Xu F Y,Tan C C,et al.Defending against vehicular rogue APs[C]// INFOCOM,2011 Proceedings IEEE.IEEE,2011:1665-1673.

[6] 陳偉,顧楊,于樂.高隱蔽性的無線網絡主動釣魚攻擊及其防范研究[J].武漢大學學報:理學版,2013,59(2):171-177.

[7] 陳偉,顧楊,李晨陽,等.無線釣魚接入點攻擊與檢測技術研究綜述[J].武漢大學學報:理學版,2014,60(1):13-23.

[8] 朱建明，馬建峰.無線局域網安全：方法與技術[M].2版.北京：機械工業出版社，2009.

[9] Bratus S,Cornelius C,Kotz D,et al.Active behavioral fingerprinting of wireless devices[C]//Proceedings of the First ACM Conference on Wireless Network Security,2008:56-61.

[10] 蔣華,阮玲玲,王鑫.基于SHA-256消息認證的四次握手協議研究[J].微電子學與計算機,2014(8):155-158.

[11] Kim I,Seo J,Shon T,et al.A novel approach to detection of mobile rogue access points[J].Security and Communication Networks,2014,7(10):1510-1516.

RESEARCH ON DETECTION TECHNOLOGY OF FISHING AP ATTACK IN WIRELESS NETWORK

Jin ShuangqiLing Jie

(FacultyofComputer,GuangdongUniversityofTechnology,Guangzhou510006,Guangdong,China)

With the popularisation of WLAN,the attacks against wireless network are increasingly growing.Wireless fishing AP attack,through passive or active way,induces users to connect fishing AP,and then catches users’ sensitive information,it is currently one of the abused attack modes.In light of this,we proposed an improved fishing AP attack detection method,by using diminishing variation of TTL value as well as comprehensively analysing the gateway and routing information,it realises validity detection on AP.Experimental results showed that this method can effectively detect the attacks including wireless fishing AP and wireless man-in-the-middle.

Fishing AP attackWLANWiFi

2015-06-02。廣東省自然科學基金項目(S2012020011 071);廣東省科技計劃項目(2013B040401017，2014A010103029);廣州市科技計劃項目(2014J4100201)。金雙齊，碩士生，主研領域：信息安全技術。凌捷，教授。

TP309

A

10.3969/j.issn.1000-386x.2016.10.068