浅析无线钓鱼AP的检测研究方案

冯祖洪，潘明芹

(北方民族大学，宁夏 银川 750021)



浅析无线钓鱼AP的检测研究方案

冯祖洪，潘明芹

(北方民族大学，宁夏 银川 750021)

摘要：本文针对无线钓鱼接入点在无线网络中的安全隐患问题，结合无线钓鱼接入点的特征分析，提出了无线接入点安全性检测的方法。进而提出了一种对无线钓鱼AP具体位置定位的方法。通过检测定位无线钓鱼AP具体位置，将其剔除，保证无线网络的安全、消除网民的安全顾虑。

关键词：无线钓鱼AP；安全性检测；收敛法

The Wireless AP Fishing of Shallow Detection Research Plan

Feng Zuhong,Pan Mingqin

(College of Computer Science and Engineering,Beifang University of Nationality,Yinchuan 750021,China)

引言

无线网络在带给人们方便、快捷、高效地网上冲浪的同时，一些不法分子却利用公共场所的WiFi网络进行违法犯罪活动，伪造AP热点诱使用户连接冒牌AP，达到各种偷窃，窥探用户隐私等目的。更有甚者，攻击者通过相关技术向无线用户端注入木马病毒等入侵行为。现阶段，如何对这些违法犯罪分子进行帧控也成为全社会面临的重大难题。

针对在无线局域网中利用虚假无线AP进行钓鱼攻击的威胁，本文提出了对无线AP的安全性检测方法。首先分析无线钓鱼AP的各方面特征，通过分析对比，发现无线钓鱼接入点与正常接入点的链路区别。最终选取目标网络，根据MAC地址和网络链路等特点分析，提出无线钓鱼AP的安全性检测方法。并在文中最后提出一种能检测定位伪造无线接入点的方案。

1无线钓鱼接入点的特征分析

1.1无线钓鱼接入点

在诸多的无线网络安全威胁中，虚假无线接入点的钓鱼攻击已成了一个重要的安全威胁。所谓的无线钓鱼接入点攻击就是指攻击者在公共场所搭建一个伪装的无线接入点(无线接入点即无线AP，是一个无线网络的接入点，俗称“热点”，是无线网络的核心，通常被当作无线网络扩充使用)，通过设置与真实无线AP完全相同或接近相同的服务集标识(SSID:Service Set Identifier)，诱使用户连接上冒牌的无线接入点，进一步窃取用户名和密码等攻击。国外有部分学者称之为“Evil Twin AP”(邪恶双胞胎AP)或者“Rogue AP”(流氓AP)，它看上去和合法授权的AP一样具有相同的SSID，但事实上它是攻击者设置的用来窃取受害者的无线通信，无线钓鱼AP不是由WLAN运营商(或相关管理部门)部署的，所以无线钓鱼AP被定义为是不合法的接入点。

1.2无线钓鱼AP的链路特点

无线钓鱼AP既然是一个非法的接入点，那么从网络链路上就应该能够找出其不同于合法接入点的特征。无线钓鱼接入点接入互联网，从客户端到服务器端的链路上就会多出无线钓鱼接入点这一跳。我们可以通过Ping特定服务器找出在无线网络链路上的差别：

比如，我们在正常链路下Ping测试www.mail.qq.com，其结果显示如下：

来自192.168.123.25的回复：字节=32时间=23msTTL=51

而连接在无线钓鱼接入点上Ping测试www.mail.qq.com，其结果显示如下：

来自192.168.123.25的回复：字节=32时间=42msTTL=51

通过两个测试，其对比结果我们可以发现在应答时间和TTL上的值会有所不同，可以看出连接无线钓鱼接入点的链路往返的时间要比连接正常接入点往返的时间长，连接无线钓鱼接入点TTL的值要比连接正常接入点的值小。除此之外还可以通过Traceroute进行路由追踪，可以发现无线钓鱼接入点的链路上要明显比正常链路上多出一跳路由。

2无线接入点的安全性检测方法

通过对无线钓鱼接入点的特征分析，根据正常接入点与钓鱼接入点的MAC地址和网络链路的区别，主要从无线接入点的静态信息和动态信息两方面来检测其安全性。

2.1无线接入点静态信息的安全检测

无线接入点的静态信息就是指不用连接无线网络，直接利用本机网卡扫描搜索范围内的无线接入点获取到的信息，如在Linux系统上，使用iw、iwlist等工具扫描到的结果，有MAC地址、SSID、ESSID、加密方式、信号强度、Channel等等。每个无线网络接入点都会有一个全球唯一的地址，即MAC地址。MAC地址是由48个二进制数组成，其中前24位是由国际组织固定地分配给相应的厂商，而后24位是由厂商自己来分配的。由于在搭设无线网络接入点时，通常会使用同一厂商的设备，这样通常具有相同ESSID的无线网络接入点的MAC地址的前24位通常都是一样的。根据MAC地址的厂商标志建立索引，对所获取的各个MAC地址进行归类，检查每一类MAC地址的数目。如果有多个真实接入点，那么这些接入点极有可能其MAC地址中的厂商标志是一样的，而虚假接入点一般会有不同的厂商标志。所以通过测试分类，即可初步判断哪些接入点可能是虚假接入点。由于虚假接入点可以通过修改发送帧中的信息让受害者误判MAC地址信息，所以MAC地址无法作为绝对的判断信息，在此基础上，还要进一步进行动态检测。

2.2无线接入点动态信息的安全检测

无线接入点的动态信息就是指主动连接搜索到的无线接入点，通过相关网络操作获取到相关信息，比如到达指定IP地址经过的路由路径、请求的应答时间值、TTL值等。该方式可以通过对不同的网络环境进行调整，获取虚假无线接入点无法伪造的信息，进行对比，推测哪些可能是虚假无线接入点。

2.2.1基于到达指定IP地址路径的检测

对于在一个由相同的ESSID的无线网络接入点组成的无线网络，在相近的时间内对于每一个主机到达指定的IP地址的路由路径应该是一样的。当连接到一个伪造的无线网络接入点时，对到达一个指定的IP地址所经过的路径进行记录。然后当连接到一个真实的无线网络接入点时，对到达一个指定的IP地址所经过的路径进行记录。拿到两组的记录数据进行对比分析，会发现二者的实验记录是有所不同的。考虑到无线路由的上网和目标是否可以到达的问题以及Traceroute的时间原因，我们用Tracerout搜索获取的路径信息，比较连接各个接入点后的最初5跳，并将前5跳的详细信息保存下来进行比较。在扫描时，由于网络或者路由器等的原因，有时Tracerout扫描到的信息无法完全显示出来，所以有的跳数会显示为“* * * * * *”，针对此类情况，在比较时无法直接判断，就先跳过这一跳。然后通过归类的方法，将路由路径相同(或相似)的路径作为索引，通过检查索引对应的项的数目即可初步分析，是否有虚假无线接入点。我们根据每一类的项的数目分析，倘若某个路径信息为索引只对应一项，那么极有可能是虚假接入点。

2.2.2基于到达指定网络可达性的延迟和TTL的检测

在一个由相同的ESSID的无线网络接入点组成的无线网络里，对于到达相同的网络的延时应该是相同或相近的。值得提醒的是从主机到达指定网络和主机到达默认网关的延时差应该是相等的。在伪造无线接入点的出口设置设为真的无线网络接入点时，主机到达指定网络和主机到达默认网关的延时差会有很大的差别。通过这一特点可以用于检查无线网络接入点的真假。

在使用Ping命令进行延时检测的同时，还可以测试TTL的值，可以通过多个TTL的相关性发现虚假TTL所对应的接入点。TTL检测是根据构造TTL值不同的IP报文并向远端服务器发送。根据TCP/IP协议，IP报文中的TTL值代表IP报文能在网络中的生存时间。例如一IP报文的TTL值被设置为10，该报文每经过一个路由器TTL的值就会减1，直到递减为0而导致该报文丢弃。此时，接受该报文的路由器会像源端发送ICMP差错，我们可以依次递增IP报文中的TTL值获取报文经过的网络路径上各个节点的地址，从而找出TTL所对应的虚假无线接入点。也可以直接利用Ping命令返回的TTL的值进行分析，发现虚假接入点。

3利用收敛法定位虚假无线接入点

虚假无线AP都是在网络管理员不知情或未获得许可的情况下安装的，外部人员可以免费访问因特网或窥探内网查看内部信息，问题就变得严重了。为了避免虚假接入点带来的种种安全隐患，利用上述检测方法检测出无线网络中有虚假无线接入点的存在，找出虚假AP的位置，将其从无线网络中剔除，保护无线网络信息安全才是最终目的。

一般，适用于室内传输的无线网卡都是采用全向天线，即在水平方向上表现位360°，都均匀辐射。无论PC机朝向如何，全向天线的信号强度是不变的，针对这种特性则适合采用收敛法，来定位其具体位置。除此之外，收敛法还需要WiFi信号强度测试仪，用来测试虚假无线接入点的RF信号，与接入点的距离越近其测得的信号就越强。

在进行收敛式的搜索虚假无线AP，需要使用带全天向的网卡和检测信号强度的工具(首选)或软件。在需要监测的环境里，来回走动，用强度信号仪监测信号强度，粗略地估计查找虚假无线接入点的范围。将搜索区想象成一个大矩形，然后将其分为四个象限，如图1所示：

图1　收敛法测试的原理图

走到搜索区域的一角，记录其信号强度。依次搜素检测其它三个角落并记录信号强度。比较记录信号强度的值，确定目标AP所在的位置，即测得的信号强度最强的区域。本例以左上象限为例，现在将此象限作为新的搜索区域，并将其划分为四个小象限。在这个区域内再依次搜索检测其它三个角落的信号强度并将其记录，然后再比较记录信号强度的值。重复上面的步骤，将搜索区域划分为更小的象限。此例，经过3次划分，12次测量就可以找到目标AP。确定虚假无线接入点的位置后，将其从网络中剔除，消除无线网络中的安全隐患。

4结束语

无线接入点的安全性，已经成为无线网络安全的重要因素，结合无线钓鱼AP的特征，本文提出了无线网络接入点安全性检测的方法。通过检测发现无线网络中存有虚假无线接入点，提出利用收敛法定位虚假无线接入点的方法。

本文提出的收敛法是基于全向天的网卡和信号强度仪，一般比较适合搜索检测室内或楼层相对活动区域较小的伪无线接入点。因此，如何更高效、准确地检测定位不受地理环境影响的虚假无线AP是我们下一步的研究方向。

参考文献：

[1]Carr,Joseph J.Directional or Omnidirectional Antenna Universal Radio Research.

[2]程科.新型电信诈骗:“钓鱼网站”初探[J].中国公共安全，2011,(03):103-105

[3]禹安胜，金铁，杨涛.网络钓鱼攻击的威胁及防范[J].计算机安全，2010，10

[4]黎其武，武良军.网络钓鱼犯罪问题研究[J].信息网络安全，2011,(4):56-58

[5]莫林丽.无线局域网技术与安全性研究[J].科技信息，2009.08

[6]潘晓伟.无线局域网安全性探讨[J].科技传播，2011.01

[7]陈伟，顾杨，于乐.高隐蔽性的无线网络主动钓鱼攻击及防范研究[J].武汉大学学报(理学版)，2013,59(2)：171-177

[8]杨哲.无线网络安全攻防实战进阶[M].北京：电子工业出版社，2011.

中图分类号:TP393

文献标志码：A

文章编号：1671-1602(2016)06-0020-02

作者简介：冯祖洪(1956-)，男，汉，江苏无锡人，教授，硕士生导师，北方民族大学，研究方向：计算机网络与智能计算。潘明芹(1990-)，女，汉，山东枣庄人，硕士研究生，北方民族大学，研究方向：计算机网络。

基金项目：北方民族大学校级创新项目(创新编号：YCX1569)