区超球



Wi-Fi无线网络安全预防研究

区超球

广东省电信规划设计院有限公司，广东 广州 510630

无线Wi-Fi网络是当前人们最常应用的网络技术。Wi-Fi无线网络在给人们提供网络便利的同时，也存在着安全危险。在对Wi-Fi无线网络的应用技术进行研究的过程中，针对当前阶段几种常见的Wi-Fi网络应用环境进行了深入的分析，并以网络环境作为出发点，深入探讨了Wi-Fi无线网络安全预防的主要策略。

Wi-Fi无线网络；网络安全；恶意威胁

引言

在现阶段，人们通过智能终端设备连接网络时，一般会选用802.11协议的Wi-Fi无线网络。这种无线网络在使用场景方面相对自由，也避免了有线连接的固定化弊端，提升了用户的使用体验。但无线Wi-Fi网络在使用过程中也可能遭受不明的恶意攻击，最终造成安全损失。

目前人们最常应用的Wi-Fi网络，根据使用环境特征，一般可以分为家庭Wi-Fi、企业Wi-Fi和商业Wi-Fi三种不同的Wi-Fi场景类别。Wi-Fi网络在使用过程中可能遭受到的恶意威胁也有一定的区别。

1 家庭Wi-Fi的安全防范

1.1 家庭Wi-Fi受到威胁

随着互联网用户的逐渐增多，家庭Wi-Fi设备的使用率也逐渐提升。据相关的调查，我国家庭Wi-Fi的拥有量已经超过了1.3亿，位居世界第一。Wi-Fi的使用依靠的无线路由器主要为无线IP，为家庭环境提供信号覆盖。但是路由器本身无法防御拦截威胁，导致安全水平较低。根据360安全卫士的统计，国内用户在进行路由器账号管理方面水平偏低，超过98.6%的用户，Wi-Fi密码较弱，存在破译风险。

通过分析可以看出，家庭Wi-Fi面临的主要威胁为密码破译威胁。这一威胁主要表现在家庭之外。对于密码较弱的Wi-Fi设备，一旦不法分子通过CSRF漏洞对其进行攻击，就能够迅速跳过密码验证进入管理界面，修改管理设置权限，并劫持网站。一旦用于财产管理或者支付用途的Wi-Fi被破解，就会造成直接的财产损失。

1.2 家庭Wi-Fi处理措施

针对这种情况，家庭Wi-Fi应从以下几个方面展开防范措施。

首先，家庭Wi-Fi用户应注重Wi-Fi安全防御，避免因疏忽大意造成Wi-Fi信息泄露，威胁财产安全。在管理Wi-Fi的过程中，应提高Wi-Fi密码的复杂程度。通过设置多种密码组合的方式，避免密码遭到破译。还应选择WAP2的加密认证方式。密码长度需要增加到10位以上，并包含特殊符号、数字及字母。路由器管理中应对默认IP地址进行重设，使用特殊地址避免CSRF自动攻击。还应开启路由器Mac过滤功能，避免未知来源设备连接进入[1]。

其次，路由器生产厂商应在路由器研制生产和路由器管理软件设置方面，加入防御功能，例如通过未知连接提醒、用户信息评价、信号风险评价等方式，给予用户风险提示，提高用户的防范意识。

2 企业Wi-Fi的安全防范

2.1 企业Wi-Fi面临风险

企业Wi-Fi主要指企业内部组建的Wi-Fi局域网络，用于办公所需的信息传输。但是企业Wi-Fi的安全问题同样显著。在相关的社会新闻中，美国NSA窃听事件所引发的“棱镜门”就引发了广泛关注。企业Wi-Fi的安全威胁主要来源于非法用户接入、非法用户伪装入侵两个方面。非法用户接入主要指非法用户通过Wi-Fi搜索的方式获取Wi-Fi信号，并通过WEP密钥明文信息连接Wi-Fi；而非法用户伪装则指非法用户通过技术手段伪装成合法用户，对Wi-Fi管理进行欺骗，最终达到访问机密网络资源的目的。

2.2 企业Wi-Fi的处理对策

在以往的企业Wi-Fi环境中，企业Wi-Fi存在易于查找、易于破译的特点。因此为了提升企业Wi-Fi，需要通过隐蔽SSID广播信息以及过滤接入站点的MAC地址和IP地址来完成网络防御。对于部分企业用户来说，除了通过常规方法之外，还可以采用搭建恶意Wi-Fi检测系统的方式增强网络防御能力。

在当前企业Wi-Fi网络环境中，Wi-Fi所受到的恶意黑客攻击被称为中间人MITM攻击。这种攻击方式的主要过程是利用HTTPS进行中间人会话劫持，中间人再通过对HTTP通信的监视实现客户端和服务器之间的连接，最终冒充客户进行内容的窃取。为了对这种中间人攻击进行防御，需要在服务器端运用DHCP服务器进行功能拓展。具体操作中，企业客户端需要预先安装Tcpdump应用。利用这一应用对客户端报文内容进行解析，并获取DHCPACK地址，实现静态绑定，并将IP和Mac写入到ARP缓存表之中。在中间人进行ARP报文发送时，ARP缓存表会对报文内容进行判断，并且保证报文不会遭到修改，客户端HTTP/HTTPS之间的数据则会依据正确路由完成转发，实现保护目的，如图1所示。

3 商业Wi-Fi的安全防范

3.1 商业Wi-Fi的安全威胁

商业Wi-Fi主要指在商业环境中使用的Wi-Fi，一般出现在商场、餐厅、咖啡厅等公共场所中。这类Wi-Fi面向大客流、多需求种类的人群，受到广泛喜爱。但恰也因此，商业Wi-Fi受到的安全威胁更大。在当前的商业Wi-Fi环境中，由于网络环境商业Wi-Fi缺乏统一的规范标准，因此在进行商业Wi-Fi设定时基于其环境特殊性，至今仍然停留在备案制层面之上。由于缺少必要的身份验证，因此“钓鱼”问题大行其道。在商业Wi-Fi中，大部分Wi-Fi都将常规有线网络转变为无线电波来进行数据传输，因此不法分子会利用这种环境进行恶意的网络攻击，进而获取当前Wi-Fi环境下的用户信息、用户个人账号，最终实现利益的窃夺。此外，商业Wi-Fi由于网络强制共享，因此Wi-Fi负担严重，影响稳定性，造成Wi-Fi问题层出不穷。

图1 中间人攻击拦截流程

3.2 商业Wi-Fi的处理策略

当前商业Wi-Fi在应用中常常由于用户群体庞大，因此安全危险增多。在众多威胁中，最常见的是恶意用户通过DNS欺骗的方式进入Wi-Fi内部窃取信息。为了解决这一问题，需要网络管理人员采用IP地址映射技术，避免出现安全威胁问题。

常规的DNS欺骗技术主要包括被动监听和主动试探。在这两种方式的作用下，商业Wi-Fi客户端会连续收到多个应答包，其中一个应答包为合法应答，另一个应答包则为伪造包属于非法应答[1]。为了对其进行检测，传统设置中，网络管理端需要优先进行嗅探器的监视，通过DNS请求的回应对DNS状态进行判断。因而在多个目标站点中，会存在多个IP地址，最终使IP地址能够填写入多个应答域内完成防御。此外，还有商业处理机构会选用诸如Domain Obscenity Control等第三方工具，对DNS进行指令发出，并对回馈内容进行检验，通过这种方式对是否存在欺骗进行判断。IP地址映射则是在系统中建立一个域名地址，同时根据域名地址建立与之对应的地址映射表。当Wi-Fi环境中接入新的网络应用设备后，系统会对映射表单中预留的域名地址展开拨测，随后立刻完成IP地址的返回，再依据匹配情况对域名攻击情况进行判断，从而了解Wi-Fi是否遭到非法入侵。

4 结论

综上所述，针对无线Wi-Fi网络所面临的各种安全问题，网络管理人员应针对具体的Wi-Fi网络应用环境进行可能存有的安全威胁的判断，并依据Wi-Fi安全保障的相关技术手段，设计Wi-Fi访问、Wi-Fi攻击的保护程序，提升Wi-Fi网络的安全等级，避免因黑客恶意入侵造成Wi-Fi网络出现严重安全问题带来的损失。

[1]孟宪桐. 公共免费WIFI安全问题及应对策略简析[J]. 中国新通信，2017，19（7）：74.

[2]覃岚. 中国WiFi产业联盟发布《公共WiFi安全上网守则》[J]. 计算机与网络，2016，42（8）：16.

Wi-Fi Wireless Network Security Prevention Research

Ou Chaoqiu

Guangdong Planning and Designing Institute of Telecommunications Co., Ltd., Guangdong Guangzhou 510630

Wireless Wi-Fi network is the most commonly used network technology. While Wi-Fi wireless network provides people with the convenience of the Internet, there are also security risks. In the process of researching the application technologies of Wi-Fi wireless network, in-depth analysis is conducted on several common Wi-Fi network application environments at the current stage. Taking the network environment as a starting point, the main strategy for safety prevention of the Wi-Fi wireless network is deeply discussed.

Wi-Fi wireless network; network security; malicious threat

TN929+.53

A