向量法在無(wú)線網(wǎng)絡(luò)中定位偽造AP的應(yīng)用

張學(xué)鋒 卓鑒軍

惠州學(xué)院數(shù)學(xué)系 廣東 516007

0 引言

隨著無(wú)線網(wǎng)絡(luò)開始普及應(yīng)用于政府機(jī)關(guān)部門、企事業(yè)單位、個(gè)人家庭等領(lǐng)域。無(wú)線網(wǎng)絡(luò)給人們的生活、工作、學(xué)習(xí)帶來(lái)便利，提高了工作效率，但由于無(wú)線網(wǎng)絡(luò)的傳輸媒介是基于空氣，在安全技術(shù)方面與以電纜為傳輸媒介的網(wǎng)絡(luò)有較大的區(qū)別，容易引發(fā)數(shù)據(jù)泄露、釣魚、截獲敏感賬戶及密碼等，比如偽裝成中國(guó)電信、移動(dòng)的無(wú)線熱點(diǎn)等信息安全問題，尤其以非法AP的問題特別突出。偽造AP 問題已經(jīng)成為影響無(wú)線網(wǎng)絡(luò)安全的重要安全問題之一，如何能更快的解決偽造基站的攻擊呢？關(guān)鍵在于查找和定位。前人對(duì)于AP定位技術(shù)是收斂法，此法只能進(jìn)行水平區(qū)域的查找，無(wú)法進(jìn)行垂直區(qū)域的查找，也就不能快速的查找到偽造AP。本文提出用向量法對(duì)AP進(jìn)行定位，向量法能進(jìn)行垂直區(qū)域的查找定位，能夠快速的定位AP。

1 無(wú)線網(wǎng)絡(luò)中偽造AP的攻擊方法

通過搭建偽造非法AP基站來(lái)進(jìn)行無(wú)線網(wǎng)絡(luò)攻擊的主要目的有：(1)惡意創(chuàng)建大量偽造AP基站信號(hào)，使無(wú)線通信無(wú)法正常運(yùn)行，破壞用戶網(wǎng)絡(luò)的正常運(yùn)行；(2)偽造成正常的AP基站，使客戶連接到偽造基站，達(dá)到轉(zhuǎn)發(fā)客戶端網(wǎng)絡(luò)連接的請(qǐng)求從而截獲用戶信息的目的；(3)內(nèi)部成員在內(nèi)部網(wǎng)絡(luò)設(shè)備上搭建非法AP，使外部人員可以輕松進(jìn)入內(nèi)部高安全強(qiáng)度的環(huán)境中。其攻擊原理如圖1所示，圖1中(a)為正常工作的內(nèi)部網(wǎng)，圖1中(b)受到攻擊的內(nèi)部網(wǎng)。

圖1 偽造AP基站攻擊原理圖

1.1 創(chuàng)建大量虛假AP基站信號(hào)

創(chuàng)建大量虛假AP基站信號(hào)可以使無(wú)線通信無(wú)法正常運(yùn)行，破壞用戶網(wǎng)絡(luò)的正常運(yùn)行。

攻擊者可通過建立大量虛假AP基站信號(hào)來(lái)實(shí)現(xiàn)干擾正常無(wú)線通信的目的。攻擊者使用mdk2在linux環(huán)境下實(shí)現(xiàn)攻擊，用軟件通過無(wú)線網(wǎng)卡發(fā)射出偽造隨機(jī)的AP信號(hào)，設(shè)定和預(yù)干擾目標(biāo)AP的同頻段；除發(fā)射相同頻道外，還可發(fā)送相同SSID的無(wú)線數(shù)據(jù)流信號(hào)，實(shí)現(xiàn)干擾連接該AP的無(wú)線客戶端的正常工作。

1.2 偽裝成正常的AP

偽裝成正常的AP可以使得客戶端連接到偽造基站，實(shí)現(xiàn)轉(zhuǎn)發(fā)客戶端網(wǎng)絡(luò)連接請(qǐng)求，從而截獲客戶端發(fā)送的內(nèi)容。

目前無(wú)線網(wǎng)卡一般支持軟AP功能，即使用軟件通過網(wǎng)絡(luò)共享方式實(shí)現(xiàn)AP無(wú)線基站功能，可以在短時(shí)間將無(wú)線客戶端切換為無(wú)線接入點(diǎn)。但工作效果因產(chǎn)品的不同有一定區(qū)別。無(wú)線用戶通過無(wú)線網(wǎng)卡搜索有合法SSID的無(wú)線接入點(diǎn)信號(hào)，由于偽造AP放大了無(wú)線信號(hào)、具有相同SSID標(biāo)識(shí)，無(wú)線客戶端誤認(rèn)為偽造AP為合法AP，于是就通過偽造AP連接網(wǎng)絡(luò)。這樣無(wú)線客戶端并不容易察覺到已成為受害者，因?yàn)檫@些連接是無(wú)線網(wǎng)卡的探測(cè)和連接軟件的自動(dòng)行為。

這樣可以大范圍欺騙無(wú)線客戶端，干擾合法AP基站的工作，截獲信息，破壞合法無(wú)線網(wǎng)絡(luò)通信。

1.3 內(nèi)網(wǎng)非法搭建AP

可進(jìn)入機(jī)房的內(nèi)部人員或外部人員在有線網(wǎng)絡(luò)設(shè)備上搭設(shè)非法AP，從而使得外部可以輕松進(jìn)入高安全環(huán)境。

便攜式無(wú)線路由的體積可以非常小，但是功能樣樣俱全，在無(wú)人查看的網(wǎng)絡(luò)設(shè)備隱蔽的地方可以用便攜式無(wú)線路由快速搭建一個(gè)無(wú)線接入點(diǎn)，這是相當(dāng)容易的事情。在電信網(wǎng)絡(luò)中心、企業(yè)內(nèi)部網(wǎng)絡(luò)、政府部門等，都具有多種多樣的網(wǎng)絡(luò)設(shè)備，在這些機(jī)構(gòu)的網(wǎng)絡(luò)設(shè)備上搭建便捷式無(wú)線路由，只要加大天線功率，就可以使在百米開外的非法客戶端輕松進(jìn)入高安全網(wǎng)絡(luò)環(huán)境中。

2 無(wú)線網(wǎng)絡(luò)中發(fā)現(xiàn)偽造AP的方法

發(fā)現(xiàn)偽造AP的方法：首先是利用掃描器Nmap查找，其次是對(duì)查找到的偽造AP主機(jī)的信息進(jìn)行查詢，發(fā)現(xiàn)偽造AP是相對(duì)簡(jiǎn)單的工作。

2.1 利用掃描器Nmap查找

使用端口掃描器掃描所有主機(jī)的80端口，查找開放80端口的所有主機(jī)，排除正常提供Web服務(wù)的主機(jī)，剩下的就是可疑的無(wú)線接入點(diǎn)或無(wú)線路由器。

2.2 對(duì)偽造無(wú)線接入點(diǎn)信息查詢

通過監(jiān)測(cè)的可疑AP對(duì)應(yīng)MAC地址來(lái)了解可疑AP的產(chǎn)品信息，因?yàn)樗械木W(wǎng)絡(luò)設(shè)備都有惟一的MAC標(biāo)志，網(wǎng)絡(luò)設(shè)備生產(chǎn)商在生產(chǎn)中燒錄到網(wǎng)卡適配器中的，所以所有網(wǎng)絡(luò)設(shè)備的MAC都是惟一，通過查看MAC可以快速辨別該網(wǎng)絡(luò)設(shè)備屬于哪個(gè)生產(chǎn)商及設(shè)備的信息。

3 無(wú)線網(wǎng)絡(luò)中傳統(tǒng)定位偽造AP的方法---收斂法

若無(wú)線接入點(diǎn)在公司網(wǎng)絡(luò)管理人員未許可的情況安裝的，可以視為非法接入點(diǎn)，這可能是內(nèi)部人員自帶的無(wú)線路由器，也可能是外部人員安裝的非法接入點(diǎn)，目的是攻擊網(wǎng)絡(luò)、獲得內(nèi)部信息、及免費(fèi)訪問網(wǎng)絡(luò)，若目的是攻擊網(wǎng)絡(luò)和獲得內(nèi)部信息是非常嚴(yán)重的安全問題。

那么要如何消除偽造接入點(diǎn)帶來(lái)的安全隱患呢？網(wǎng)絡(luò)管理人員要先在網(wǎng)絡(luò)中檢查到偽造AP的存在，然后確定位置，找到位置后，網(wǎng)絡(luò)管理人員才能將偽造AP從網(wǎng)絡(luò)的刪除，也可以使用安全機(jī)制對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行重新配置。本文在前人研究的基礎(chǔ)上，通過研究和分析，總結(jié)了兩種定位方法：收斂法和向量法。

3.1 收斂法定位偽造AP的基本方法

使用帶有全向天線的網(wǎng)卡和信號(hào)強(qiáng)度儀組成的工具，采用收斂法。全向天線在又被稱為“無(wú)指向”天線因?yàn)樗恍枰褂萌魏翁囟ǖ姆较?，它在各個(gè)方向上的發(fā)射和接收效果都比較好。

筆記本電腦使用的無(wú)線網(wǎng)卡就是全向天線，在使用過程中，無(wú)論筆記本電腦朝向如何，全向天線的信號(hào)強(qiáng)度都保持不變，因此使用特別方便，收斂法還需使用信號(hào)強(qiáng)度儀，用來(lái)測(cè)量來(lái)自偽造AP的無(wú)線射頻信號(hào)，與AP距離越近顯示的信號(hào)就越強(qiáng)。常見的強(qiáng)度分析儀就是無(wú)線客戶端程序，通常安裝在筆記本電腦的網(wǎng)卡中一起提供。無(wú)線客戶端軟件通常具有信號(hào)強(qiáng)度測(cè)量功能，一般都可以顯示信號(hào)強(qiáng)度。除了使用筆記本電腦，還可以選擇RF信號(hào)強(qiáng)度儀和安裝無(wú)線探測(cè)工具的PDA手持設(shè)備。這些設(shè)備專為查找偽造AP設(shè)計(jì)，能快速定位和能很好的顯示信號(hào)強(qiáng)度，查找無(wú)線信號(hào)的軟件還有NetStumbler。

在進(jìn)行收斂式非法AP搜索時(shí)，需要使用全向天線的網(wǎng)卡和信號(hào)強(qiáng)度儀。進(jìn)入搜索模式，在設(shè)備現(xiàn)場(chǎng)走動(dòng)，同時(shí)使用強(qiáng)度分析儀監(jiān)測(cè)信號(hào)強(qiáng)度(圖2)，初步確立從哪里開始查找非法接入點(diǎn)。將搜索區(qū)域轉(zhuǎn)換成一個(gè)大矩形區(qū)域，然后將矩形區(qū)域四均分，如圖3在第一個(gè)搜索區(qū)域的一角測(cè)試信號(hào)強(qiáng)度，并記錄下信號(hào)強(qiáng)度；在第二個(gè)矩形區(qū)域的角測(cè)試信號(hào)強(qiáng)度，并記錄下信號(hào)強(qiáng)度；在第三個(gè)矩形區(qū)域的角測(cè)試信號(hào)強(qiáng)度，并記錄下信號(hào)強(qiáng)度；在第四個(gè)矩形區(qū)域的角測(cè)試信號(hào)強(qiáng)度，并記錄下信號(hào)強(qiáng)度。比較信號(hào)強(qiáng)度記錄，確定目標(biāo)非法AP所在的位置，即可測(cè)到最強(qiáng)信號(hào)的區(qū)域。圖3的最強(qiáng)信號(hào)為左下象限，將此象限作為新的搜索區(qū)域，并將其也或非為四等分。在這個(gè)區(qū)域中再次執(zhí)行信號(hào)強(qiáng)度測(cè)量步驟。重復(fù)上面的過程，將搜索區(qū)域劃分為更小的象限。只要經(jīng)過數(shù)次的劃分測(cè)量就足以找到目標(biāo)AP。

圖2 定向天線信號(hào)強(qiáng)度分布圖

圖3 收斂法測(cè)試原理

3.2 收斂法定位偽造AP的優(yōu)缺點(diǎn)

用收斂法定位偽造AP時(shí)測(cè)試者需要四處走動(dòng)，行走的距離相對(duì)較長(zhǎng)，這就會(huì)延緩偽造AP的檢測(cè)過程。但若在垂直位置確定的情況下，則收斂法定位偽造AP相對(duì)準(zhǔn)確。

4 向量法在無(wú)線網(wǎng)絡(luò)中定位偽造AP的應(yīng)用

雖然用收斂法能查找出偽造AP，但用收斂法所花費(fèi)的時(shí)間較多，只能進(jìn)行水平區(qū)域的搜索，若還沒有確定偽造AP所處的水平區(qū)域，則花費(fèi)的時(shí)間更多，需要每個(gè)水平區(qū)域的排除。

向量法是查找偽造接入點(diǎn)物理位置的搜索方法。向量法適合在有附帶定向天線的網(wǎng)卡和信號(hào)強(qiáng)度儀組成的工具包中使用，定向天線可以強(qiáng)化來(lái)自某一方向的信號(hào)，又同時(shí)可以抑制來(lái)自其他方向的信號(hào)(如圖4)。

圖4 向量法測(cè)試原理

4.1 向量法定位偽造AP的基本方法

定向天線有許多種類型，使用外部天線的網(wǎng)卡更易發(fā)現(xiàn)偽造AP，對(duì)于此類天線設(shè)計(jì)的網(wǎng)卡的接口一般都與天線插頭相配，如tnc接口，和定向外部天線連接后，內(nèi)部天線即全向天線就被禁用了。向量法也需要用哪個(gè)信號(hào)強(qiáng)度分析儀，這和收斂法相同。

用向量法搜索偽造AP時(shí)，需要使用定向天線、功率表和兼容的網(wǎng)卡，將無(wú)線網(wǎng)卡與和偽造AP相關(guān)聯(lián)，在某一位置移動(dòng)監(jiān)測(cè)功率表的信號(hào)強(qiáng)度顯示的數(shù)據(jù)。和收斂法相似把搜索區(qū)域規(guī)劃成一個(gè)大矩形，再將大矩形分為四個(gè)部分，再在矩形區(qū)域中心，把天線朝向矩形區(qū)域的某一角，并記錄信號(hào)的強(qiáng)度；在矩形中心位置旋轉(zhuǎn)90°，把天線朝向矩形區(qū)域的第二角，并記錄信號(hào)的強(qiáng)度；在矩形中心位置旋轉(zhuǎn)90°，把天線朝向矩形區(qū)域的第三角，并記錄信號(hào)的強(qiáng)度；在矩形中心位置旋轉(zhuǎn)90°，把天線朝向矩形區(qū)域的第四角，并記錄信號(hào)的強(qiáng)度；比較所測(cè)得到信號(hào)記錄，確定偽造AP所在的區(qū)域，也就是信號(hào)記錄中最強(qiáng)信號(hào)的區(qū)域。如圖4為左下角，在左下角區(qū)域的矩形中央再次進(jìn)行信號(hào)強(qiáng)度的測(cè)量。重復(fù)以上過程，將搜索矩形區(qū)域再度進(jìn)行縮小，直至找到偽造AP。

4.2 向量法定位偽造AP的原理

向量法定位原理，首先檢測(cè)存在的偽造AP，讓信號(hào)強(qiáng)度儀關(guān)聯(lián)偽造AP，把搜索區(qū)域設(shè)置成一個(gè)大矩形，將這個(gè)矩形分成四個(gè)小矩形(即四個(gè)方位)，把定向信號(hào)強(qiáng)度儀放在搜索中心，將信號(hào)強(qiáng)度儀的定向天線指向第一方位，記錄信號(hào)強(qiáng)度，再把定向天線逆時(shí)針旋轉(zhuǎn)90度指向第二方位，記錄信號(hào)強(qiáng)度，同樣轉(zhuǎn)向第三方位和第四方位，分別記錄信號(hào)強(qiáng)度，確定信號(hào)強(qiáng)度最大的方位即為偽造AP 所在的方向，把該方位所在的矩形再分為四個(gè)小矩形，再用同樣的方法檢測(cè)四個(gè)方位的信號(hào)強(qiáng)度，這樣不斷循環(huán)縮小范圍直致找到偽造AP 為止。

4.3 向量法定位偽造AP的優(yōu)缺點(diǎn)

用向量法定位偽造AP時(shí)測(cè)試者并不需要四處走動(dòng)，行走的距離相對(duì)較短，這就能加快偽造AP的檢測(cè)定位過程。向量法還可以進(jìn)行垂直區(qū)域的搜索，這個(gè)是收斂法所不具有的，但使用向量法時(shí)由于環(huán)境中存在金屬及電子設(shè)備等，會(huì)干擾向量法的測(cè)試數(shù)據(jù)，從而測(cè)試的數(shù)據(jù)產(chǎn)生誤差。

5 結(jié)論

綜上可知如果矩形區(qū)域是相同的，那么用向量法和收斂法在矩形區(qū)域中劃分測(cè)量次數(shù)是相同的，其中收斂法需要移動(dòng)測(cè)量位置比較多，測(cè)量時(shí)間比較長(zhǎng)，不利于快速查找偽造AP。使用向量法時(shí)由于環(huán)境中存在金屬及電子設(shè)備等，會(huì)干擾向量法的測(cè)試數(shù)據(jù)，從而測(cè)試的數(shù)據(jù)產(chǎn)生誤差。兩種搜索方式的搜索算法不同。若測(cè)試時(shí)使用向量法，測(cè)得四個(gè)方向的數(shù)據(jù)是相同的或者變化不大，則要進(jìn)行垂直區(qū)域的搜索測(cè)試，同樣進(jìn)行測(cè)試數(shù)據(jù)比較，判斷垂直區(qū)域的方向，從而定位偽造AP。

若使用收斂法則不能進(jìn)行垂直區(qū)域的搜索測(cè)試，收斂法只適用水平區(qū)域的搜索，向量法不但適用水平區(qū)域搜索還可以進(jìn)行垂直區(qū)域的搜索。在實(shí)際搜查中我們先進(jìn)行向量法搜查測(cè)試，在垂直區(qū)域上定位偽造AP的垂直位置，再進(jìn)行收斂法搜查測(cè)試，從而快速查找到偽造AP。

[1] William Stallings.無(wú)線通訊與網(wǎng)絡(luò)[M].北京：清華大學(xué)出版社.2005．

[2] 張明雷.WLAN中基于規(guī)范的自適應(yīng)DoS攻擊檢測(cè)[J].計(jì)算機(jī)應(yīng)用研究.2007.

[3] 雷震甲.網(wǎng)絡(luò)工程師教程[M].北京：清華大學(xué)出版社.2009.

[4] KjeU J Hole,Erlend Dyrnes,Per Thorsheim.Securing Wi—Fi Networks.Computer.2005.

[5] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].北京：電子工業(yè)出版社.2008.

[6] 楊哲.無(wú)線網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)[M].北京：電子工業(yè)出版社.2008.

[7] 鄧達(dá).無(wú)線局域網(wǎng)安全性研究與改進(jìn)[M].電子科技大學(xué).2007.

[8] 李慶.基于IEEE802.1l無(wú)線局域網(wǎng)的安全性研究[J].信息技術(shù).2005.

[9] 孫士潮.無(wú)線網(wǎng)絡(luò)的攻擊技術(shù)與安全防護(hù)研究[J].電子技術(shù)應(yīng)用.2007.

[10] 張興強(qiáng).網(wǎng)絡(luò)通信與安全．無(wú)線局域網(wǎng)WEP協(xié)議的安全性分析[J].2007.

[11] 嚴(yán)照樓,潘愛民.無(wú)線局域網(wǎng)的安全性研究[J].計(jì)算機(jī)工程與應(yīng)用.2004.

[12] 夏新軍.WLAN環(huán)境下拒絕服務(wù)攻擊問題研究[J].計(jì)算機(jī)工程與應(yīng)用.2005.

[13] 曹秀英,耿嘉中,沈平.無(wú)線局域網(wǎng)安全系統(tǒng)[M].北京：電子工業(yè)出版社.2004.

[14] 馮柳平,劉祥南.基于IEEE 802.1l認(rèn)證協(xié)議的Dos攻擊[J].計(jì)算機(jī)應(yīng)用.2005.

[15] 李翠然.淺析無(wú)線局域網(wǎng)的主要標(biāo)準(zhǔn).中國(guó)數(shù)據(jù)通信.2003.

[16] 劉琦,何連躍,楊燦群.無(wú)線局域網(wǎng)的信息安全保障.計(jì)算機(jī)應(yīng)用.2003.