無線Wi-Fi攻擊技術(shù)及防范對策研究

◆徐志偉 鄭寶森

無線Wi-Fi攻擊技術(shù)及防范對策研究

◆徐志偉1鄭寶森2

（1.中國人民公安大學 北京 100038；2.山東警察學院 山東 250200）

本研究以探討Wi-Fi網(wǎng)絡防御技術(shù)作為出發(fā)點，分析當前常見的Wi-Fi網(wǎng)絡攻擊的過程以及原理，提出多種安全防御加固對策，旨在加強Wi-Fi網(wǎng)絡的安全性，從而減少公民個人信息泄露和財產(chǎn)損失。本文首先分析研究無線Wi-Fi所使用的協(xié)議及加密技術(shù)，從而了解Wi-Fi網(wǎng)絡架構(gòu)及運作方式。通過針對當今Wi-Fi網(wǎng)絡面臨的安全風險進行原理分析，解析攻擊方式，獲取攻擊特征。同時對主流的安全策略進行辯證分析，發(fā)現(xiàn)其中的不足之處。最后利用Wi-Fi攻擊特征提出相應的防御對策及改進措施，特別是對Wi-Fi使用者的安全意識提升進行詳細闡述。

Wi-Fi網(wǎng)絡；安全技術(shù)；安全問題；防御對策

通信技術(shù)的發(fā)展往往離不開人們對信息的需求日益增長，目前有線網(wǎng)絡已經(jīng)不能滿足人們的生產(chǎn)生活需要，人們的目光正越來越多地投向無線網(wǎng)絡。無線網(wǎng)絡最典型的代表是Wi-Fi網(wǎng)絡，是目前人們接觸最多的無線局域網(wǎng)。但Wi-Fi網(wǎng)絡的飛速發(fā)展帶來了許多問題，其本身存在的缺陷以及漏洞，導致了許多違法犯罪情況的發(fā)生，不法分子利用Wi-Fi網(wǎng)絡信道開放的特性采取特定攻擊手段，竊取個人信息、商業(yè)秘密。破除Wi-Fi攻擊帶來的危機是本研究的起點。

1 Wi-Fi網(wǎng)絡概述

1.1 Wi-Fi網(wǎng)絡技術(shù)介紹

Wi-Fi網(wǎng)絡是無線網(wǎng)絡最典型的代表，是無線局域網(wǎng)的一種認證功能。當今無線局域網(wǎng)的通用標準是IEEE 802.11，是由電氣和電子工程師協(xié)會（IEEE）所定義的Wi-Fi網(wǎng)絡通信的標準，具有Wi-Fi認證的產(chǎn)品符合IEEE 802.11b無線網(wǎng)絡規(guī)范。目前最新的標準是IEEE 802.11ax，在2017年由Broadcom率先推出802.11ax無線芯片。Wi-Fi網(wǎng)絡采用的射頻段一般為2.4GHz和5GHz，其中802.11b/g/n定義在2.4GHz頻段中，802.11a/n/ac定義在5GHz頻段中。如今越來越多的設(shè)備開始支持IEEE 802.11協(xié)議，Wi-Fi網(wǎng)絡已經(jīng)不僅僅連接手機、平板、電腦等設(shè)備，在家中還可連接智能家居設(shè)備，在工廠里可以連接工控設(shè)備。

1.2 Wi-Fi網(wǎng)絡安全技術(shù)

（1）加密技術(shù)

①WEP協(xié)議

WEP協(xié)議是Wired Equivalent Privacy的簡稱（有線等效加密），是無線安全領(lǐng)域第一個安全協(xié)議，是一種比較傳統(tǒng)的無線傳輸加密方式。Open system和Shared Key是WEP的兩種認證方式，其中Open system顧名思義，并無安全防護作用。Shared Key的認證方式是通過共享兩種靜態(tài)密鑰實現(xiàn)，認證過程如圖1所示。

圖1中的挑戰(zhàn)為無線接入點發(fā)送給終端的一個隨機數(shù)，終端用WEP密鑰進行加密后向無線接入端發(fā)送結(jié)果，若驗證成功，則接入點返回認證成功的消息給終端，完成認證流程。

圖1 開放型授權(quán)與WEP授權(quán)流程圖

②WPA/WPA2加密算法

WPA全稱為Wi-Fi Protected Access（保護無線電腦網(wǎng)絡安全系統(tǒng)），包括WPA和WPA2兩種加密算法。WPA針對政企用戶和普通用戶提供了兩種不同的認證方式：由于政企為保護商業(yè)機密或者國家秘密對安全保護的要求較高，故采用遠程身份驗證撥入RAD-IUS服務器與復雜安全認證的機制，每個客戶端擁有單獨的身份憑證，如圖2所示是WPA政企用戶認證流程；對于普通用戶來說，Wi-Fi網(wǎng)絡通常用于上網(wǎng)、通訊、發(fā)郵件等對安全性要求不是很高的功能，故采取無線接入點與終端預共享密鑰（PSK）的方式保證通信安全，所有的客戶端使用相同的密鑰。

圖2 WPA政企用戶認證流程

（2）安全策略

① EAP身份認證方式

對于政企用戶，使用可擴展身份驗證協(xié)議（EAP）框架，目前最安全的方法是“內(nèi)部”與“外部”雙重認證?！巴獠俊笔峭ㄟ^客戶端和服務器端的證書以創(chuàng)建TLS隧道，從而保證身份驗證信息的安全傳輸?！皟?nèi)部”則是對用戶的身份進行驗證。政企用戶可以根據(jù)自身需求，開發(fā)符合這些標準功能的多種EAP方法。常見的EAP驗證方法有：EAP-TLS、EAP-TTLS、PEAP。

② PSK身份認證方式

對于家庭用戶以及小型單位來說，花費大量金錢去支付802.1X身份驗證服務器是不現(xiàn)實的，同時家庭和小型單位對無線安全的需求相對較低。所以采用PSK預共享密鑰的方式較為合理，PSK密碼即我們平常所說的Wi-Fi密碼。每一個使用網(wǎng)絡的用戶只需輸入相同的密鑰即可接入Wi-Fi網(wǎng)絡。PSK的優(yōu)點在于不需要對公鑰結(jié)構(gòu)進行配置，缺點在于一旦無線接入點的預共享密鑰發(fā)生改變，則手工配置的客戶端將無法繼續(xù)接入Wi-Fi網(wǎng)絡。

2 Wi-Fi網(wǎng)絡安全面臨的風險

2.1 針對Wi-Fi網(wǎng)絡的主要攻擊手段

（1）重放攻擊

舉一個簡單的例子：正常情況下，主機A發(fā)送報文到主機B，但是入侵者C從中截獲了A發(fā)送的報文，再把此報文發(fā)送給B，導致B誤認為C為主機A，并把原本發(fā)送給A的報文發(fā)送給了C，這就是重放攻擊。該攻擊可以導致攻擊者成功通過服務器的認證，進入無線局域網(wǎng)。同時攻擊者也可截獲大量數(shù)據(jù)包，不斷地重復發(fā)給接收方，造成網(wǎng)絡堵塞，使普通用戶無法正常使用Wi-Fi網(wǎng)絡，導致信息丟失。

（2）拒絕服務攻擊——Deauth攻擊

Deauth攻擊全稱是取消驗證洪水攻擊（De-authentication Flood Attack），是一種典型的Wi-Fi網(wǎng)絡拒絕攻擊。其原理是Wi-Fi的管理數(shù)據(jù)幀沒有進行加密，或者若加密被攻擊者破解，導致攻擊者可以偽造攻擊幀，向整個Wi-Fi網(wǎng)絡發(fā)送取消身份驗證幀使得終端轉(zhuǎn)為未認證的狀態(tài)。如果攻擊者持續(xù)向網(wǎng)絡中廣播取消驗證幀，就會導致終端始終無法與無線訪問接入點進行鏈接。

（3）釣魚攻擊

釣魚攻擊的主要目的是竊取用戶憑證或者用戶個人信息，通常需要搭配其他攻擊來實現(xiàn)釣魚目的。如目前一個主流的釣魚攻擊工具Wi-FiPhisher，其攻擊階段分為三步：第一步，利用Evil Twin Attack實現(xiàn)了中間人攻擊（Evil Twin攻擊是攻擊者使用相同SSID創(chuàng)建一個偽造Wi-Fi接入點，因其與原Wi-Fi同名，且信號一般超過原Wi-Fi，所以更容易使用戶連接）；第二步，Wi-FiPhisher會將所有用戶的http請求重定向，讓所有使用目標Wi-Fi的用戶訪問自己的釣魚頁面。再如fluxion，其原理是通過mdk3壓力攻擊強制用戶下線，然后偽裝一個假的無線接入點模擬原接入點，用戶嘗試鏈接時就會打開攻擊者的釣魚認證界面，進而釣取用戶的Wi-Fi密碼。

（4）暴力破解

類似于其他的密碼暴力破解，Wi-Fi暴力破解屬于一種比較傳統(tǒng)的Wi-Fi攻擊方式。針對Wi-Fi密碼，攻擊者利用自己的密碼字典，不斷嘗試登錄，例如：Wi-Fi萬能鑰匙；針對Wi-Fi流量，例如對于WPA-PSK認證模式，可以采用字典中的PSK+ssid先生成PMK密鑰的方式進行暴力破解。

2.2 安全機制層面的缺陷

（1）加密方式的缺陷

①WEP的安全缺陷

WEP由于密鑰的固定，初始向量僅僅只有24位且使用的是RC4分組加密方式導致其算法強度很低，密碼極容易被破解，目前已經(jīng)有專門針對WEP的破解程序，如：AirSnort和WEPCrack。

②WPA/WPA2的安全缺陷

目前WPA已經(jīng)更新到第三代，但其普及率目前還很低，Windows需要2004版本以上才支持WPA3協(xié)議，并且支持WPA3的路由器也屈指可數(shù)。WPA主要的問題是采用了TKIP的加密方式，其加密方式與WEP有很多相同的地方，從而導致其安全性不盡人意。提到WPA就要提WPS，WPS出現(xiàn)的目的是為了把較為難記的密碼濃縮成8位PIN碼，但是8位PIN碼并不能滿足全部的密碼空間。

（2）鏈路傳輸?shù)娜毕?/p>

IEEE 802.b標準所使用的擴頻技術(shù)其抗干擾性較差，所以如果攻擊者對采用IEEE 802.b標準的Wi-Fi網(wǎng)絡使用DoS攻擊，極易導致Wi-Fi網(wǎng)絡崩潰。

（3）無線頻段分配不合理

在為大型企業(yè)進行Wi-Fi規(guī)劃時，可能由于設(shè)計方面的問題，導致2.4GHz頻段與5GHz頻段分離開來，形成兩個無線接入點。由于普通用戶并不理解兩種頻段的區(qū)別，通常會根據(jù)Wi-Fi網(wǎng)絡使用手冊僅接入某一個頻段。如果無線接入點的單一頻段不能承受所有用戶接入訪問，很容易導致網(wǎng)絡堵塞，導致類似于DoS攻擊的情況發(fā)生。

（4）入網(wǎng)控制的不足

雖然目前已經(jīng)有較為成熟的入網(wǎng)認證方式，如IEEE 802.b與WebPortal認證接入方式，但由于對其安全性認識方面的不足，若IEEE 802.b采用了EAP_TLS認證或者WebProtal采用了PAP認證，就容易導致網(wǎng)絡受到DoS攻擊或者面臨密碼泄露風險。

2.3 新型的攻擊方式

（1）KRACK攻擊

KRACK即Key Reinstallation Attacks（密鑰重裝攻擊）。是近幾年提出的針對WPA2的一種新型攻擊手段。其原理是對WPA/WPA2采用的802.11i中定義的四次握手進行攻擊，終端和無線接入點通過四次握手來協(xié)商驗證PTK會話密鑰。

（2）MOTS邊注入攻擊

如果攻擊者已經(jīng)獲取到終端和無線接入點的通信情況，就可利用特定設(shè)備任意收發(fā)802.11 MAC層的數(shù)據(jù)包，一旦發(fā)現(xiàn)用戶進行DNS請求等敏感操作，就立即發(fā)出偽造的DNS響應包，讓終端訪問偽造的IP，從而進行釣魚攻擊，并且這種攻擊目前還無法進行取證。

（3）Side Relay邊中繼攻擊

WPA/WPA2為了避免重放攻擊，會設(shè)置一個逐漸遞增的序列號，并且無線接入點只接受比之前序列號更大的包。攻擊者可利用這一特性，抓取無線接入點所接收的數(shù)據(jù)包，并且將其序列號改得非常大，這就導致無線接入點很長一段時間不能接收正常的數(shù)據(jù)包。

3 Wi-Fi網(wǎng)絡安全防范措施

3.1 主流Wi-Fi網(wǎng)絡安全機制

（1）針對重放攻擊的防御方式

對于重放攻擊的防御主要有三種：時間戳、提問應答、流水號。

①時間戳主要用于非連接性的會話，如：下載、訪問頁面。通過在消息中添加以時間為憑證的時間戳，接入點只需判斷當前時間戳是否足夠接近請求的時間戳即可防止重放的發(fā)生。

②提問應答主要用于連接性會話，如：連接數(shù)據(jù)庫，ssh連接。終端與接入點事先規(guī)定好通信憑證或者加密函數(shù)，在每一次會話中必須攜帶憑證，通過判斷憑證或者加密結(jié)果是否一致來確認是否為重放。

③流水號，通信雙方在事先協(xié)商號初始序號，通過一次遞增或者其他遞增方法來判斷會話信息的新鮮性。

（2）針對拒絕服務攻擊的防御方式

D-Link路由器是市面上比較熱門的一個路由器品牌，然而在D-Link DWL-G700AP這款路由器的HTTP管理界面卻存在拒絕服務漏洞，攻擊者只要發(fā)送“GET ”字符串就可以導致服務崩潰。針對路由器的拒絕服務攻擊方式還有很多，比較常見的一種是前文提到的Deauth攻擊（目前無線網(wǎng)絡的拒絕服務攻擊具有多樣性，所以沒有一種通用的防御手段，本文只針對前文提到的Deauth攻擊講解目前的防御措施），目前的主流防御措施是當無線接入點收到取消驗證幀時，不直接斷開與終端的連接，而是等候一段時間，若在等待時間內(nèi)仍然存在數(shù)據(jù)傳輸，則判斷該取消幀為DOS攻擊，將該幀丟棄。

（3）針對釣魚攻擊的防御方式

2018年山西省的張女士在一家商城內(nèi)用手機連接了一個未設(shè)置密碼的Wi-Fi，然后在網(wǎng)上購買了一件商品，沒過多長時間，張女士的銀行卡就被盜刷8000多元。這就是典型的Wi-Fi釣魚攻擊，攻擊者建立一個虛假Wi-Fi熱點，用戶連接后訪問的虛假網(wǎng)站會記錄用戶支付密碼等敏感信息，進而造成財產(chǎn)損失。

目前針對釣魚攻擊的檢測主要分為三種：一致性檢測、網(wǎng)絡層檢測、主動式指紋掃描。

①一致性檢測的原理是分析被動指紋和無線網(wǎng)卡的MAC地址，無線接入點的ESSID通常是用無線接入點的MAC地址來充當。若在判斷ESSID或指紋是否一致時發(fā)現(xiàn)異常，則判斷該接入點為可疑接入點。

②當判斷可能為可疑接入點時，可以選擇更為準確的網(wǎng)絡層檢測，因為攻擊者偽造AP通常需要將數(shù)據(jù)返回到原接入點，所以在網(wǎng)絡鏈路層面會與直接連接原接入點存在不同。因此可以通過檢測網(wǎng)絡延遲或者路由路徑來判斷是否為偽造接入點。

③主動指紋掃描需要提前準備好各廠商設(shè)備的指紋庫，通過主動連接無線接入點，去對比接入點響應幀與指紋庫信息是否一致進而判斷是否為偽造接入點。

（4）針對暴力破解的防御方式

防止口令破解的最好辦法就是使用復雜口令以及定期更換口令。針對密鑰的破解，需要無線接入點使用安全的加密方式，如WPA2/WPA3，以及架設(shè)防入侵防火墻。

3.2 Wi-Fi網(wǎng)絡安全防御現(xiàn)狀

關(guān)于Wi-Fi網(wǎng)絡的安全問題，目前的熱點集中在硬件廠商以及行業(yè)規(guī)范的發(fā)展上，研究者的注意力往往也集中在協(xié)議安全以及安全策略方面。但筆者認為Wi-Fi網(wǎng)絡安全除了要依靠新技術(shù)的發(fā)展，同時也和Wi-Fi網(wǎng)絡部署有密切關(guān)系。由電信運營商等部署的大型Wi-Fi網(wǎng)絡相對成熟，對于來訪者的身份會有比較完善的認證機制。而對于家庭、小型企業(yè)部署的中小型網(wǎng)絡，往往因為Wi-Fi網(wǎng)絡部署者技術(shù)水平的參差不齊和安全意識的薄弱，導致所部署的網(wǎng)絡安全性較差，從而成為安全事件的重災區(qū)，也是無線攻擊者的主要目標。

4 Wi-Fi網(wǎng)絡安全防御改進對策

4.1 技術(shù)層面的改進

（1）完善加密方式

縱觀Wi-Fi網(wǎng)絡發(fā)展史，加密方式在一次又一次的破解中而逐步發(fā)展，從最初的WEP標準，到WPA/WPA2，再到如今的WPA3，隨著解密技術(shù)的不斷發(fā)展和算力的飛速提升，曾經(jīng)被認為的安全加密方式均面臨被破解的風險。當今公認最安全的主流加密方式WPA2，其安全性是建立在使用較強的密碼、通過WPA2認證協(xié)議加密、關(guān)閉WPS功能的基礎(chǔ)上的，后兩點目前硬件廠商已經(jīng)將其設(shè)置為默認選項，所以基本可以保證，但對于第一點，往往是大多數(shù)人容易忽略的地方。針對WPA2的破解分為兩步：抓取四次握手包、對握手包進行破解。如果用戶設(shè)置的密碼較為簡單，入侵者是可以在較短時間內(nèi)破解出密碼的，這就是前面所說的KRACK攻擊。

（2）設(shè)立統(tǒng)一的安全標準

目前硬件廠商推出的無線接入點安全性參差不齊，如：WPA、WP2和WPA2-PSK使用界限模糊，沒有配置給合適的用戶。即使具有相同的安全標準，在用戶的實際部署過程中也會因為配置界面不夠友好導致不會配置，更不用提讓用戶自行搭建802.1認證服務器了。所以，如何使用統(tǒng)一的安全標準以及如何編撰出言簡意賅的配置界面，是目前硬件廠商亟待解決的問題。

4.2 用戶的安全意識

無論Wi-Fi網(wǎng)絡安全技術(shù)發(fā)展到什么地步，人的安全意識才是保證網(wǎng)絡安全的基礎(chǔ)。應當做到以下幾點：

（1）使用WPA2-PSK認證加密。

很多無線接入點會提供給用戶多種加密方式的選擇，選擇WPA2-PSK加密，可有效提高密碼破解的難度，降低密碼被破解的可能性。

（2）隱藏接入點的服務識別碼（SSID)。

（3）通過服務識別碼SSID，入侵者可以獲取無線接入點的基本信息，進而采取針對性攻擊。通常無線接入點是默認開啟SSID廣播的，在部署時最好關(guān)閉廣播，或者修改SSID廣播內(nèi)容。

（4）使用強口令，定期更改登錄密碼。

（5）目前WPA2協(xié)議被破解的關(guān)鍵就是在于使用了較弱的口令，因此應使用8位以上、英文大小寫、數(shù)字、字符混合的密碼。同時定期修改登錄密碼，才能保證密碼不會被暴力破解。

（6）對無線接入點進行二次開發(fā)修改。

（7）很多企業(yè)級無線接入點會提供開發(fā)接口，部署者可以利用這些接口對接入點進行二次開發(fā)，如：采用特殊加密，修改認證界面，使用Portal認證等，模糊入侵者的攻擊方向。

（8）部署防火墻系統(tǒng)。

防火墻系統(tǒng)可以有效地幫助用戶抵御來自互聯(lián)網(wǎng)上的病毒蠕蟲等，因為內(nèi)網(wǎng)系統(tǒng)的防護往往較弱，使用防火墻系統(tǒng)也可以有效隔離內(nèi)網(wǎng)系統(tǒng)和互聯(lián)網(wǎng)，防止互聯(lián)網(wǎng)上的病毒、惡意軟件等入侵內(nèi)網(wǎng)。

[1]燕國云.Wi-Fi網(wǎng)絡安全技術(shù)中的短板及防范措施[J].電腦編程技巧與維護，2020（10）：165-167.

[2]林興峰.企業(yè)Wi-Fi網(wǎng)絡技術(shù)安全性問題探究[J].電子產(chǎn)品可靠性與環(huán)境試驗，2020，38（S2）：79-83.

[3]盛仲飆. Wi-Fi網(wǎng)絡技術(shù)及安全性研究[J].電子設(shè)計工程，2012，20（16）：1-3.

[4]王鳳珍.基于Wi-Fi的移動IP安全研究[J].網(wǎng)絡安全技術(shù)與應用，2015（11）：73-75.

[5]王蓓.論Wi-Fi網(wǎng)絡技術(shù)及安全問題[J].信息記錄材料，2019，20（05）：247-248.

[6]孫無極.Wi-Fi接入對園區(qū)網(wǎng)絡構(gòu)成安全隱患及其對策[J].現(xiàn)代計算機（專業(yè)版)，2012（04）：116-118.

[7]魯艷，毛旭.基于Wi-Fi的Wi-Fi網(wǎng)絡安全方案對比分析[J].廣東通信技術(shù)，2016（03）：25-29.