張學(xué)鋒 卓鑒軍

惠州學(xué)院數(shù)學(xué)系 廣東 516007

0 引言

隨著無線網(wǎng)絡(luò)開始普及應(yīng)用于政府機(jī)關(guān)部門、企事業(yè)單位、個人家庭等領(lǐng)域。無線網(wǎng)絡(luò)給人們的生活、工作、學(xué)習(xí)帶來便利，提高了工作效率，但由于無線網(wǎng)絡(luò)的傳輸媒介是基于空氣，在安全技術(shù)方面與以電纜為傳輸媒介的網(wǎng)絡(luò)有較大的區(qū)別，容易引發(fā)數(shù)據(jù)泄露、釣魚、截獲敏感賬戶及密碼等，比如偽裝成中國電信、移動的無線熱點等信息安全問題，尤其以非法AP的問題特別突出。偽造AP 問題已經(jīng)成為影響無線網(wǎng)絡(luò)安全的重要安全問題之一，如何能更快的解決偽造基站的攻擊呢？關(guān)鍵在于查找和定位。前人對于AP定位技術(shù)是收斂法，此法只能進(jìn)行水平區(qū)域的查找，無法進(jìn)行垂直區(qū)域的查找，也就不能快速的查找到偽造AP。本文提出用向量法對AP進(jìn)行定位，向量法能進(jìn)行垂直區(qū)域的查找定位，能夠快速的定位AP。

1 無線網(wǎng)絡(luò)中偽造AP的攻擊方法

通過搭建偽造非法AP基站來進(jìn)行無線網(wǎng)絡(luò)攻擊的主要目的有：(1)惡意創(chuàng)建大量偽造AP基站信號，使無線通信無法正常運行，破壞用戶網(wǎng)絡(luò)的正常運行；(2)偽造成正常的AP基站，使客戶連接到偽造基站，達(dá)到轉(zhuǎn)發(fā)客戶端網(wǎng)絡(luò)連接的請求從而截獲用戶信息的目的；(3)內(nèi)部成員在內(nèi)部網(wǎng)絡(luò)設(shè)備上搭建非法AP，使外部人員可以輕松進(jìn)入內(nèi)部高安全強(qiáng)度的環(huán)境中。其攻擊原理如圖1所示，圖1中(a)為正常工作的內(nèi)部網(wǎng)，圖1中(b)受到攻擊的內(nèi)部網(wǎng)。

圖1 偽造AP基站攻擊原理圖

1.1 創(chuàng)建大量虛假AP基站信號

創(chuàng)建大量虛假AP基站信號可以使無線通信無法正常運行，破壞用戶網(wǎng)絡(luò)的正常運行。

攻擊者可通過建立大量虛假AP基站信號來實現(xiàn)干擾正常無線通信的目的。攻擊者使用mdk2在linux環(huán)境下實現(xiàn)攻擊，用軟件通過無線網(wǎng)卡發(fā)射出偽造隨機(jī)的AP信號，設(shè)定和預(yù)干擾目標(biāo)AP的同頻段；除發(fā)射相同頻道外，還可發(fā)送相同SSID的無線數(shù)據(jù)流信號，實現(xiàn)干擾連接該AP的無線客戶端的正常工作。

1.2 偽裝成正常的AP

偽裝成正常的AP可以使得客戶端連接到偽造基站，實現(xiàn)轉(zhuǎn)發(fā)客戶端網(wǎng)絡(luò)連接請求，從而截獲客戶端發(fā)送的內(nèi)容。

目前無線網(wǎng)卡一般支持軟AP功能，即使用軟件通過網(wǎng)絡(luò)共享方式實現(xiàn)AP無線基站功能，可以在短時間將無線客戶端切換為無線接入點。但工作效果因產(chǎn)品的不同有一定區(qū)別。無線用戶通過無線網(wǎng)卡搜索有合法SSID的無線接入點信號，由于偽造AP放大了無線信號、具有相同SSID標(biāo)識，無線客戶端誤認(rèn)為偽造AP為合法AP，于是就通過偽造AP連接網(wǎng)絡(luò)。這樣無線客戶端并不容易察覺到已成為受害者，因為這些連接是無線網(wǎng)卡的探測和連接軟件的自動行為。

這樣可以大范圍欺騙無線客戶端，干擾合法AP基站的工作，截獲信息，破壞合法無線網(wǎng)絡(luò)通信。

1.3 內(nèi)網(wǎng)非法搭建AP

可進(jìn)入機(jī)房的內(nèi)部人員或外部人員在有線網(wǎng)絡(luò)設(shè)備上搭設(shè)非法AP，從而使得外部可以輕松進(jìn)入高安全環(huán)境。

便攜式無線路由的體積可以非常小，但是功能樣樣俱全，在無人查看的網(wǎng)絡(luò)設(shè)備隱蔽的地方可以用便攜式無線路由快速搭建一個無線接入點，這是相當(dāng)容易的事情。在電信網(wǎng)絡(luò)中心、企業(yè)內(nèi)部網(wǎng)絡(luò)、政府部門等，都具有多種多樣的網(wǎng)絡(luò)設(shè)備，在這些機(jī)構(gòu)的網(wǎng)絡(luò)設(shè)備上搭建便捷式無線路由，只要加大天線功率，就可以使在百米開外的非法客戶端輕松進(jìn)入高安全網(wǎng)絡(luò)環(huán)境中。

2 無線網(wǎng)絡(luò)中發(fā)現(xiàn)偽造AP的方法

發(fā)現(xiàn)偽造AP的方法：首先是利用掃描器Nmap查找，其次是對查找到的偽造AP主機(jī)的信息進(jìn)行查詢，發(fā)現(xiàn)偽造AP是相對簡單的工作。

2.1 利用掃描器Nmap查找

使用端口掃描器掃描所有主機(jī)的80端口，查找開放80端口的所有主機(jī)，排除正常提供Web服務(wù)的主機(jī)，剩下的就是可疑的無線接入點或無線路由器。

2.2 對偽造無線接入點信息查詢

通過監(jiān)測的可疑AP對應(yīng)MAC地址來了解可疑AP的產(chǎn)品信息，因為所有的網(wǎng)絡(luò)設(shè)備都有惟一的MAC標(biāo)志，網(wǎng)絡(luò)設(shè)備生產(chǎn)商在生產(chǎn)中燒錄到網(wǎng)卡適配器中的，所以所有網(wǎng)絡(luò)設(shè)備的MAC都是惟一，通過查看MAC可以快速辨別該網(wǎng)絡(luò)設(shè)備屬于哪個生產(chǎn)商及設(shè)備的信息。

3 無線網(wǎng)絡(luò)中傳統(tǒng)定位偽造AP的方法---收斂法

若無線接入點在公司網(wǎng)絡(luò)管理人員未許可的情況安裝的，可以視為非法接入點，這可能是內(nèi)部人員自帶的無線路由器，也可能是外部人員安裝的非法接入點，目的是攻擊網(wǎng)絡(luò)、獲得內(nèi)部信息、及免費訪問網(wǎng)絡(luò)，若目的是攻擊網(wǎng)絡(luò)和獲得內(nèi)部信息是非常嚴(yán)重的安全問題。

那么要如何消除偽造接入點帶來的安全隱患呢？網(wǎng)絡(luò)管理人員要先在網(wǎng)絡(luò)中檢查到偽造AP的存在，然后確定位置，找到位置后，網(wǎng)絡(luò)管理人員才能將偽造AP從網(wǎng)絡(luò)的刪除，也可以使用安全機(jī)制對網(wǎng)絡(luò)設(shè)備進(jìn)行重新配置。本文在前人研究的基礎(chǔ)上，通過研究和分析，總結(jié)了兩種定位方法：收斂法和向量法。

3.1 收斂法定位偽造AP的基本方法

使用帶有全向天線的網(wǎng)卡和信號強(qiáng)度儀組成的工具，采用收斂法。全向天線在又被稱為“無指向”天線因為它不需要使用任何特定的方向，它在各個方向上的發(fā)射和接收效果都比較好。

筆記本電腦使用的無線網(wǎng)卡就是全向天線，在使用過程中，無論筆記本電腦朝向如何，全向天線的信號強(qiáng)度都保持不變，因此使用特別方便，收斂法還需使用信號強(qiáng)度儀，用來測量來自偽造AP的無線射頻信號，與AP距離越近顯示的信號就越強(qiáng)。常見的強(qiáng)度分析儀就是無線客戶端程序，通常安裝在筆記本電腦的網(wǎng)卡中一起提供。無線客戶端軟件通常具有信號強(qiáng)度測量功能，一般都可以顯示信號強(qiáng)度。除了使用筆記本電腦，還可以選擇RF信號強(qiáng)度儀和安裝無線探測工具的PDA手持設(shè)備。這些設(shè)備專為查找偽造AP設(shè)計，能快速定位和能很好的顯示信號強(qiáng)度，查找無線信號的軟件還有NetStumbler。

在進(jìn)行收斂式非法AP搜索時，需要使用全向天線的網(wǎng)卡和信號強(qiáng)度儀。進(jìn)入搜索模式，在設(shè)備現(xiàn)場走動，同時使用強(qiáng)度分析儀監(jiān)測信號強(qiáng)度(圖2)，初步確立從哪里開始查找非法接入點。將搜索區(qū)域轉(zhuǎn)換成一個大矩形區(qū)域，然后將矩形區(qū)域四均分，如圖3在第一個搜索區(qū)域的一角測試信號強(qiáng)度，并記錄下信號強(qiáng)度；在第二個矩形區(qū)域的角測試信號強(qiáng)度，并記錄下信號強(qiáng)度；在第三個矩形區(qū)域的角測試信號強(qiáng)度，并記錄下信號強(qiáng)度；在第四個矩形區(qū)域的角測試信號強(qiáng)度，并記錄下信號強(qiáng)度。比較信號強(qiáng)度記錄，確定目標(biāo)非法AP所在的位置，即可測到最強(qiáng)信號的區(qū)域。圖3的最強(qiáng)信號為左下象限，將此象限作為新的搜索區(qū)域，并將其也或非為四等分。在這個區(qū)域中再次執(zhí)行信號強(qiáng)度測量步驟。重復(fù)上面的過程，將搜索區(qū)域劃分為更小的象限。只要經(jīng)過數(shù)次的劃分測量就足以找到目標(biāo)AP。

圖2 定向天線信號強(qiáng)度分布圖

圖3 收斂法測試原理

3.2 收斂法定位偽造AP的優(yōu)缺點

用收斂法定位偽造AP時測試者需要四處走動，行走的距離相對較長，這就會延緩偽造AP的檢測過程。但若在垂直位置確定的情況下，則收斂法定位偽造AP相對準(zhǔn)確。

4 向量法在無線網(wǎng)絡(luò)中定位偽造AP的應(yīng)用

雖然用收斂法能查找出偽造AP，但用收斂法所花費的時間較多，只能進(jìn)行水平區(qū)域的搜索，若還沒有確定偽造AP所處的水平區(qū)域，則花費的時間更多，需要每個水平區(qū)域的排除。

向量法是查找偽造接入點物理位置的搜索方法。向量法適合在有附帶定向天線的網(wǎng)卡和信號強(qiáng)度儀組成的工具包中使用，定向天線可以強(qiáng)化來自某一方向的信號，又同時可以抑制來自其他方向的信號(如圖4)。

圖4 向量法測試原理

4.1 向量法定位偽造AP的基本方法

定向天線有許多種類型，使用外部天線的網(wǎng)卡更易發(fā)現(xiàn)偽造AP，對于此類天線設(shè)計的網(wǎng)卡的接口一般都與天線插頭相配，如tnc接口，和定向外部天線連接后，內(nèi)部天線即全向天線就被禁用了。向量法也需要用哪個信號強(qiáng)度分析儀，這和收斂法相同。

用向量法搜索偽造AP時，需要使用定向天線、功率表和兼容的網(wǎng)卡，將無線網(wǎng)卡與和偽造AP相關(guān)聯(lián)，在某一位置移動監(jiān)測功率表的信號強(qiáng)度顯示的數(shù)據(jù)。和收斂法相似把搜索區(qū)域規(guī)劃成一個大矩形，再將大矩形分為四個部分，再在矩形區(qū)域中心，把天線朝向矩形區(qū)域的某一角，并記錄信號的強(qiáng)度；在矩形中心位置旋轉(zhuǎn)90°，把天線朝向矩形區(qū)域的第二角，并記錄信號的強(qiáng)度；在矩形中心位置旋轉(zhuǎn)90°，把天線朝向矩形區(qū)域的第三角，并記錄信號的強(qiáng)度；在矩形中心位置旋轉(zhuǎn)90°，把天線朝向矩形區(qū)域的第四角，并記錄信號的強(qiáng)度；比較所測得到信號記錄，確定偽造AP所在的區(qū)域，也就是信號記錄中最強(qiáng)信號的區(qū)域。如圖4為左下角，在左下角區(qū)域的矩形中央再次進(jìn)行信號強(qiáng)度的測量。重復(fù)以上過程，將搜索矩形區(qū)域再度進(jìn)行縮小，直至找到偽造AP。

4.2 向量法定位偽造AP的原理

向量法定位原理，首先檢測存在的偽造AP，讓信號強(qiáng)度儀關(guān)聯(lián)偽造AP，把搜索區(qū)域設(shè)置成一個大矩形，將這個矩形分成四個小矩形(即四個方位)，把定向信號強(qiáng)度儀放在搜索中心，將信號強(qiáng)度儀的定向天線指向第一方位，記錄信號強(qiáng)度，再把定向天線逆時針旋轉(zhuǎn)90度指向第二方位，記錄信號強(qiáng)度，同樣轉(zhuǎn)向第三方位和第四方位，分別記錄信號強(qiáng)度，確定信號強(qiáng)度最大的方位即為偽造AP 所在的方向，把該方位所在的矩形再分為四個小矩形，再用同樣的方法檢測四個方位的信號強(qiáng)度，這樣不斷循環(huán)縮小范圍直致找到偽造AP 為止。

4.3 向量法定位偽造AP的優(yōu)缺點

用向量法定位偽造AP時測試者并不需要四處走動，行走的距離相對較短，這就能加快偽造AP的檢測定位過程。向量法還可以進(jìn)行垂直區(qū)域的搜索，這個是收斂法所不具有的，但使用向量法時由于環(huán)境中存在金屬及電子設(shè)備等，會干擾向量法的測試數(shù)據(jù)，從而測試的數(shù)據(jù)產(chǎn)生誤差。

5 結(jié)論

綜上可知如果矩形區(qū)域是相同的，那么用向量法和收斂法在矩形區(qū)域中劃分測量次數(shù)是相同的，其中收斂法需要移動測量位置比較多，測量時間比較長，不利于快速查找偽造AP。使用向量法時由于環(huán)境中存在金屬及電子設(shè)備等，會干擾向量法的測試數(shù)據(jù)，從而測試的數(shù)據(jù)產(chǎn)生誤差。兩種搜索方式的搜索算法不同。若測試時使用向量法，測得四個方向的數(shù)據(jù)是相同的或者變化不大，則要進(jìn)行垂直區(qū)域的搜索測試，同樣進(jìn)行測試數(shù)據(jù)比較，判斷垂直區(qū)域的方向，從而定位偽造AP。

若使用收斂法則不能進(jìn)行垂直區(qū)域的搜索測試，收斂法只適用水平區(qū)域的搜索，向量法不但適用水平區(qū)域搜索還可以進(jìn)行垂直區(qū)域的搜索。在實際搜查中我們先進(jìn)行向量法搜查測試，在垂直區(qū)域上定位偽造AP的垂直位置，再進(jìn)行收斂法搜查測試，從而快速查找到偽造AP。

[1] William Stallings.無線通訊與網(wǎng)絡(luò)[M].北京：清華大學(xué)出版社.2005．

[2] 張明雷.WLAN中基于規(guī)范的自適應(yīng)DoS攻擊檢測[J].計算機(jī)應(yīng)用研究.2007.

[3] 雷震甲.網(wǎng)絡(luò)工程師教程[M].北京：清華大學(xué)出版社.2009.

[4] KjeU J Hole,Erlend Dyrnes,Per Thorsheim.Securing Wi—Fi Networks.Computer.2005.

[5] 謝希仁.計算機(jī)網(wǎng)絡(luò)[M].北京：電子工業(yè)出版社.2008.

[6] 楊哲.無線網(wǎng)絡(luò)安全攻防實戰(zhàn)[M].北京：電子工業(yè)出版社.2008.

[7] 鄧達(dá).無線局域網(wǎng)安全性研究與改進(jìn)[M].電子科技大學(xué).2007.

[8] 李慶.基于IEEE802.1l無線局域網(wǎng)的安全性研究[J].信息技術(shù).2005.

[9] 孫士潮.無線網(wǎng)絡(luò)的攻擊技術(shù)與安全防護(hù)研究[J].電子技術(shù)應(yīng)用.2007.

[10] 張興強(qiáng).網(wǎng)絡(luò)通信與安全．無線局域網(wǎng)WEP協(xié)議的安全性分析[J].2007.

[11] 嚴(yán)照樓,潘愛民.無線局域網(wǎng)的安全性研究[J].計算機(jī)工程與應(yīng)用.2004.

[12] 夏新軍.WLAN環(huán)境下拒絕服務(wù)攻擊問題研究[J].計算機(jī)工程與應(yīng)用.2005.

[13] 曹秀英,耿嘉中,沈平.無線局域網(wǎng)安全系統(tǒng)[M].北京：電子工業(yè)出版社.2004.

[14] 馮柳平,劉祥南.基于IEEE 802.1l認(rèn)證協(xié)議的Dos攻擊[J].計算機(jī)應(yīng)用.2005.

[15] 李翠然.淺析無線局域網(wǎng)的主要標(biāo)準(zhǔn).中國數(shù)據(jù)通信.2003.

[16] 劉琦,何連躍,楊燦群.無線局域網(wǎng)的信息安全保障.計算機(jī)應(yīng)用.2003.