无线WIFI网络钓鱼攻击的原理与防范

尹川铭 北方民族大学计算机科学与工程学院研究生处

无线WIFI网络钓鱼攻击的原理与防范

尹川铭 北方民族大学计算机科学与工程学院研究生处

无线WIFI网络在带给人们方便，快捷的同时，由于其自身存在的安全缺陷，成为了攻击者首要的攻击对象。本文深入WIFI网络的工作机制，探讨了DNS解析原理，并在此基础上对DNS欺骗攻击进行了详细的探究与分析，并提出了相应的防范措施。介绍了DNS劫持攻击原理与防范方法。

钓鱼攻击 DNS欺骗 DNS劫持

在信息革命时代，中国的互联网建设得到了飞速发展。无线WIFI网络作为互联网的接入部分，直接面向用户，更是成为家喻户晓的上网方式。然而无线WIFI网络安全问题日益严峻。2015年6月1号，中国第二届国家网络安全宣传周在北京正式开幕，报告指出免费WIFI“陷阱”已造成经济损失每年高达到50亿。本文就利用无线WIFI网络钓鱼攻击的原理进行探讨，并提出了有效的防范措施。

1 钓鱼攻击

钓鱼攻击（Phishing），钓鱼攻击最显著的特点就是伪造与窃取。攻击者在窃取用户的敏感信息后从事非法活动，如诈骗，盗取用户钱财，倒卖用户信息等，赚取非法利益。给用户带来极大损失，为互联网环境带来极大的安全隐患。

2 DNS

DNS（Domain Name System）及域名解析系统，作为互联网上的分布式系统，使用有含义的域名来替代复杂难于记性的IP地址来访问网站。

DNS解析大致可分为三种方式，主机chahe查询，LocalDNS查询，递归查询。解析过程如下：

当系统发起解析请求时，会先检查本地hosts文件是否存在相应的域名-IP映射，如果有则返回IP，解析完成。如果没有相应的映射，则查找本地DNS解析缓存，如果有则解析完成。

如果本地hosts与DNS解析缓存都没有解析成功，则向LocalDNS服务器发起查询，本地DNS服务器会先查询本地配置资源，如果有则返回IP给客户机，解析完成，本解析具有权威性。如果本地配置资源解析失败，则查询LocalDNS解析缓存，如果有则返回解析结果给客户机，解析完成，本解析具不有权威性。

如果LocalDNS解析失败，则进行递归查询。如果LocalDNS设置成非转发模式，则发送查询到根DNS服务器，根DNS服务器根据查询域名返回相信的顶级域名DNS服务器的IP。LocalDNS服务器向返回的顶级域名服务器发起查询请求，顶级域名服务器根据查询请求返回下一级域名服务器IP，以此递归下去，直到解析完成。如果如果LocalDNS设置成非转发模式，则向上级DNS服务器发起查询，上级服务器收到查询请求会根据是否设置成转发模式，进行上级DNS查询，或者向根DNS发起查询。

3 DNS欺骗攻击与防范

在此将DNS欺骗狭义的分为DNS欺骗（不包括DNS应答报文伪造攻击）与DNS劫持。

DNS欺骗攻击往往与伪AP密不可分。基于伪AP的DNS欺骗攻击，攻击者在攻击之前需要搭建伪AP，然后设置伪AP的SSID为知名的公共WIFI服务集标识，如CMCC，ChinaUnicom，Chinanet等，或者设置成攻击区域已存在WIFI的同名标识，亦或者设置成独有的免费WIFI。

根据802.11协议簇，WIFI终端优先接入高dBm的无线网络，攻击者往往增加伪AP的发射功率，诱使更多的用户接入伪AP。

用户的手持终端，如智能手机，PAD等移动设备往往根据DHCP协议自动获取IP和DNS信息。攻击利用这一漏洞，设置AP的DNS信息为攻击者事先搭建好的虚假DNS服务器，这样用户设备的DNS信息就指向了攻击者事先搭建好的虚假DNS服务器。攻击者在虚假DNS服务器建立虚假的域名-IP映射，使域名指向钓鱼网站。当用户发起解析请求时，如解析www.ccb.com(建设银行)时，返回的是攻击者搭建的建设银行的页面，用户在不知情的状况下泄露了自己网上银行的用户名密码等信息。

通过上述攻击过程可以发现，攻击的重点在于向用户设备传递虚假的DNS信息，使其指向虚假的DNS服务器。因此用户可以关闭设备自动获取DNS，手动设置成知名DNS，如114.114.114.114或223.5.5.5等。对于不能设置的终端，可以使用专用的APP进行DNS信息的设置，也就有效的防止了DNS欺骗攻击。

4 DNS劫持攻击与防范

DNS使用UDP协议53端口进行通信，当进行DNS解析时，主机会收到DNS应答报文，应答报文通过16位标识字段来区分是对哪个DNS查询的回应。以此攻击者可以伪造DNS应答报文，若攻击者伪造的DNS应答报文先于正确的DNS应答报文到达用户主机，主机会仅响应伪造的DNS应答报文，而丢弃正确的DNS应答报文。攻击着可以根据劫持的DNS查询报文轻易的伪造出虚假DNS应答报文，主机会根据虚假的DNS查询结果访问攻击者搭建的钓鱼网站。

DNS劫持利用了DNS设计出缺少对安全问题的考虑所带来的安全漏洞。针对DNS劫持攻击用户可以使用IP地址访问含有重要信息的网站，如使用106.37.193.78来访问建设银行而不是www.ccb. com。使用HttpDNS进行域名解析而不是不安全的DNS。

5 结语

总而言之，无线网络的技术在不断进步，黑客的攻击方式也在日新月异。推广网络安全技术是行之有效的解决方法。

[1]金双齐,凌捷.无线网络钓鱼AP攻击检测技术研究[J].计算机应用与软件,2016,(10):307-310