偽AP 檢測方法研究綜述

鄭瑞環

（四川大學網絡空間安全學院，成都610065）

0 引言

在移動互聯網時代，無線網絡已經成為人們生活中不可或缺的部分，其存在給人們帶來了諸多便利。目前，無線接入點（Access Point，AP）幾乎隨處可見。無論何時何地，用戶可以通過AP 連接互聯網以處理各種事務。然而，正是無線接入點的廣泛部署引起了相應的攻擊。攻擊者通過創建與合法AP 相同SSID 和MAC 地址的偽AP（Rogue Access Point）進行信息竊取。然而大多數用戶很難判斷當前連接的AP 是否安全，所以通過搭建偽AP，攻擊者可以很簡單地達到攻擊目的。當用戶連接上偽AP 后，其所有的網絡數據流量將會被暴露。攻擊者可以通過對網絡數據流量進行分析，得到用戶的相關密碼和隱私信息從而造成相關的損失。

1 偽AP攻擊原理與方式

基于802.11 協議的無線網絡是當前的主流。根據該協議標準[1]，若環境中有多個具有同樣SSID 和MAC地址的AP，客戶端會自動連接上其中信號強度最高的AP。基于上述原因，攻擊者可以非常容易地搭建偽AP，其僅需要設立一個AP，將其SSID 和MAC 地址設置為與被偽造的AP 一致，并將其信號強度盡可能提高即可實現偽AP 攻擊，如圖1 所示。目前，利用Aircrack-ng[2]、WiFi-Pumpkin[3]等工具可以實現快速搭建偽AP。當前偽AP 的攻擊方式主要分為被動式攻擊和主動式攻擊。

圖1 偽AP攻擊原理

1.1 被動式攻擊

偽AP 被動地等待客戶連接的攻擊方式即為被動式攻擊。偽AP 通過增加其信號強度實現被動式攻擊。由于偽AP 和真實AP 的配置信息相同，當偽AP的信號強度大于真實AP 的信號強度時，用戶設備會自動連接上偽AP，攻擊者繼而進行進一步的攻擊過程，如通過分析網絡流量獲取用戶的隱私信息。一般來說增加信號強度的方式包括將偽AP 盡量靠近被攻擊者，同時包括TP-Link、水星等絕大多數品牌的路由器管理頁面都有信號強度的選項，攻擊者可以結合多種方式增強信號強度以達到更好的攻擊效果。

1.2 主動式攻擊

主動式攻擊指攻擊者部署偽AP 后，通過主動的方式斷開終端和合法AP 之間的連接來達到攻擊目的。實現主動式攻擊的方法一般分為物理層攻擊和MAC層攻擊[4]。物理層攻擊主要通過射頻干擾實現（RF Jamming Attack），該攻擊通過發出干擾射頻實現破壞無線通信的目的。MAC 層攻擊則主要利用802.11 協議身份認證的缺陷，由于控制幀和管理幀沒有相關的保護和認證方法，攻擊者可以通過偽造控制幀和管理幀的方法發起攻擊，導致合法AP 和客戶端連接斷開，引誘客戶端接入偽AP 以實現進一步的攻擊。

（1）物理層攻擊

物理層攻擊主要為射頻干擾攻擊。射頻干擾攻擊通過發出干擾射頻實現破壞無線通信的目的。IEEE 802.11 協議標準規定，無線局域網采用載波偵聽多路訪問/避免沖突（CSMA/CA）機制，該機制使用信道空閑評估程序來決定信道是否空閑[5]。射頻干擾攻擊通過在無線局域網工作的頻段上施加信號，使移動終端或者AP 誤以為信道繁忙，從而放棄通信。

（2）MAC 層攻擊

圖2 802.11協議狀態轉換

MAC 層的攻擊主要是針對身份認證缺陷的阻塞攻擊。IEEE 802.11 協議標準規定，只有當終端已認證已連接的情況下終端才能和AP 進行通信。其狀態轉換過程如圖2 所示，只有當終端保持為狀態3 時，通信才能正常進行。攻擊者利用此特性，構造解除認證幀（Deauthentication）和解除連接幀（Disassociation）進行攻擊，使終端無法保持狀態3，阻塞其和AP 之間的通信。

2 偽AP檢測技術

目前主要有三種檢測偽AP 的方法。第一種為基于硬件特征的檢測方法，由于每一個設備都具有其獨特性，該方法利用相關的特征同事先存儲的信息進行比較實現偽AP 的檢測。第二種為基于網絡特征的檢測方法，通過網絡相關特征如RTT，運行traceroute 命令得到的路徑結果等特征作為偽AP 判定的特征。第三種為基于位置信息的方法，此種方法通過信號強度等數據結合機器學習算法對待測AP 進行定位，通過判定其位置與事先記錄的位置是否匹配實現對偽AP 的檢測。

2.1 基于硬件特征的檢測方法

由于每個AP 在硬件層面都具有其獨特性，基于硬件特征的檢測方法主要依靠AP 的硬件差異對AP 的合法性進行判斷。此種方法需要事先在數據庫中保存合法AP 的相關信息，在檢測時同已存儲的信息進行匹配以檢測偽AP 的存在。

Kohno 等人[6]提出一種將硬件時鐘偏差作為指紋建模的方案。由于AP 中諧振蕩器的原材料石英的切片方向和角度不同會造成設備的時鐘相對標準時鐘存在誤差，通過此誤差可以唯一的標識某一個AP。他們的方案通過收集到的TCP/ICMP 報文上的時間戳來測算時鐘偏差。

Jana 等人[7]同樣使用時鐘偏移(clock skew)進行偽AP 的檢測。但其發現，TCP/ICMP 報文上的時間戳可以通過軟件手段進行偽造，所以其時鐘偏移是通過計算來自信標幀和請求響應幀（beacon/probe response frames）的時間戳得到。

Sriram 等人[8]提出一種基于設備參數的方法。首先將合法AP 的MAC 地址、SSID 等設備參數保存在數據庫中；在檢測時，通過獲取相應的設備參數與事先保存的信息進行比對以實現偽AP 的檢測。

2.2 基于網絡特征的檢測方法

同組織的合法AP 普遍在網絡相關參數上具有相似性，例如同組織的合法AP 通常會使用相同的出口網絡或者使用相同的網絡服務提供商，所以合法AP 的網絡時延或者數據傳輸路徑等具有相似性，通過此相似性可以區分出待測AP 是否為偽AP。

Nikbakhsh 等人[9]提出一種基于路由跟蹤的方法，該方法分別在兩個配置相同的AP 上執行到相同地址的traceroute 命令，然后比較兩次路徑結果來判斷是否有偽AP 存在。若兩個AP 的結果不相符，則說明有偽AP 存在。但是此種方法沒有并沒有事先保存合法AP的traceroute 結果，所以僅能判斷是否有偽AP 存在。

劉洋[10]提出基于802.11 協議特征的檢測方案和基于traceroute 的釣魚AP 混合檢測方案。基于802.11協議的檢測方案提取AP 的協議特征信息，如AP 的MAC、速率特征等，同時向同一SSID 下的AP 發送特殊的請求探查報文，統計接收的探查響應報文，最后通過相關信息與存儲的信息進行對比，實現釣魚AP 的檢測。基于traceroute 的方案通過構造ICMP-Traceroute、TCP-Traceroute 以及UDP-Traceroute 路由跟蹤報文，跟蹤測試點到指定目的服務器的路由路徑，實現釣魚AP 的檢測。

Zhang 等人[11]提出一種基于網絡狀態相似度的方法來檢測偽AP，其通過計算數據到服務器的RTT 和數據到AP 的RTT 的差值來對其網絡狀況進行畫像。通過獲得一段時間內的網絡延遲數據，計算網絡狀態的相似度。如果偽AP 和合法AP 的在一個局域網內或者使用同一個網絡提供商，則該方法失效。

2.3 基于位置信息的檢測方法

基于位置信息的檢測方法利用RSSI（Received Signal Strength Indication，無線信號接收強度）等數據對AP 的位置進行推算，通過判斷AP 現在的位置和記錄的位置是否匹配判斷該AP 是否為偽AP。此種方法一般應用于室內，通過在固定位置搭設嗅探點，并進行離線訓練得到定位模型，在線檢測時通過嗅探器分別得到待檢測AP 的相關信息，通過該信息計算出待測AP的位置用于檢測。

Awad 等人[12]提出一種基于位置信息檢測偽AP 的方法。本文通過應用粒子群優化算法檢測并定位偽AP。RSSI 用于估計接入點與已知位置之間的距離。該方法通過收集一組RSSI 數據來估計待測AP 的位置并將其與真實AP 的位置進行比對來檢測偽AP。

Wu 等人[13]提出一種基于RSSI 的偽AP 檢測方法，其搭建了六個不同位置的嗅探器來分別得到某一個AP 的一組RSSI 數據。在離線分析階段，多次收集每個合法AP 的RSSI 數據，并在聚類分析后得到兩個質心之間的距離，從而得到相關的閾值。最后將每個AP的閾值分別保存在服務器中，并在檢測階段通過聚類分析檢測某個AP 是否為偽AP。

顧嘯林[14]在上述的方法上進行了改進，由于某些位置可能會發生距離較遠，某個嗅探器無法獲得該AP 數據的情況，在訓練階段可能存在某個RSSI 分量有缺失的問題。在數據預處理階段通過對缺失分量的均值化數據填補，數據剔除等手段防止缺失的分量導致離線訓練時造成的偏差以提高待測AP 定位的精度以實現檢測率的提高。

3 發展與展望

本文一共介紹了三種偽AP 檢測技術，但每種方法都具有一定的缺陷。若使用傳統基于設備參數的方法，該種方法使用的特征如SSID、MAC 地址等一般可以通過在路由設置中進行設置，從而達到模仿合法AP的效果，通過這些字段進行偽AP 的檢測容易造成該種檢測方法失效；基于時鐘偏移的偽AP 檢測方法表現較好，但是在離線和在線檢測階段均需要較長的時間對時間偏移進行計算。基于網絡特征的方法通過RTT、運行traceroute 命令得到的路徑信息等特征實現對偽AP 的檢測，但是由于多種因素都會造成網絡特征的改變，導致該方法使用的特征不夠穩定從而對檢測率有較大的影響。基于位置信息的檢測方法是目前偽AP檢測研究中最主要的方法，該方法的思想是通過收集相關信息推測出待測AP 的位置，但是該方法大多需要部署多個設備收集位置相關信息以增加定位精度，導致該方法所需的設備成本高，且部署復雜。基于此，在未來的研究中偽AP 檢測應該著重尋找更加穩定、易于采集且難以偽造的特征以解決目前檢測方法的不足。