无线Wi-Fi攻击技术及防范对策研究

2022-03-18徐志伟郑宝森

网络安全技术与应用 2022年3期

◆徐志伟郑宝森

无线Wi-Fi攻击技术及防范对策研究

◆徐志伟1郑宝森2

（1.中国人民公安大学北京 100038；2.山东警察学院山东 250200）

本研究以探讨Wi-Fi网络防御技术作为出发点，分析当前常见的Wi-Fi网络攻击的过程以及原理，提出多种安全防御加固对策，旨在加强Wi-Fi网络的安全性，从而减少公民个人信息泄露和财产损失。本文首先分析研究无线Wi-Fi所使用的协议及加密技术，从而了解Wi-Fi网络架构及运作方式。通过针对当今Wi-Fi网络面临的安全风险进行原理分析，解析攻击方式，获取攻击特征。同时对主流的安全策略进行辩证分析，发现其中的不足之处。最后利用Wi-Fi攻击特征提出相应的防御对策及改进措施，特别是对Wi-Fi使用者的安全意识提升进行详细阐述。

Wi-Fi网络；安全技术；安全问题；防御对策

通信技术的发展往往离不开人们对信息的需求日益增长，目前有线网络已经不能满足人们的生产生活需要，人们的目光正越来越多地投向无线网络。无线网络最典型的代表是Wi-Fi网络，是目前人们接触最多的无线局域网。但Wi-Fi网络的飞速发展带来了许多问题，其本身存在的缺陷以及漏洞，导致了许多违法犯罪情况的发生，不法分子利用Wi-Fi网络信道开放的特性采取特定攻击手段，窃取个人信息、商业秘密。破除Wi-Fi攻击带来的危机是本研究的起点。

1 Wi-Fi网络概述

1.1 Wi-Fi网络技术介绍

Wi-Fi网络是无线网络最典型的代表，是无线局域网的一种认证功能。当今无线局域网的通用标准是IEEE 802.11，是由电气和电子工程师协会（IEEE）所定义的Wi-Fi网络通信的标准，具有Wi-Fi认证的产品符合IEEE 802.11b无线网络规范。目前最新的标准是IEEE 802.11ax，在2017年由Broadcom率先推出802.11ax无线芯片。Wi-Fi网络采用的射频段一般为2.4GHz和5GHz，其中802.11b/g/n定义在2.4GHz频段中，802.11a/n/ac定义在5GHz频段中。如今越来越多的设备开始支持IEEE 802.11协议，Wi-Fi网络已经不仅仅连接手机、平板、电脑等设备，在家中还可连接智能家居设备，在工厂里可以连接工控设备。

1.2 Wi-Fi网络安全技术

（1）加密技术

①WEP协议

WEP协议是Wired Equivalent Privacy的简称（有线等效加密），是无线安全领域第一个安全协议，是一种比较传统的无线传输加密方式。Open system和Shared Key是WEP的两种认证方式，其中Open system顾名思义，并无安全防护作用。Shared Key的认证方式是通过共享两种静态密钥实现，认证过程如图1所示。

图1中的挑战为无线接入点发送给终端的一个随机数，终端用WEP密钥进行加密后向无线接入端发送结果，若验证成功，则接入点返回认证成功的消息给终端，完成认证流程。

图1 开放型授权与WEP授权流程图

②WPA/WPA2加密算法

WPA全称为Wi-Fi Protected Access（保护无线电脑网络安全系统），包括WPA和WPA2两种加密算法。WPA针对政企用户和普通用户提供了两种不同的认证方式：由于政企为保护商业机密或者国家秘密对安全保护的要求较高，故采用远程身份验证拨入RAD-IUS服务器与复杂安全认证的机制，每个客户端拥有单独的身份凭证，如图2所示是WPA政企用户认证流程；对于普通用户来说，Wi-Fi网络通常用于上网、通讯、发邮件等对安全性要求不是很高的功能，故采取无线接入点与终端预共享密钥（PSK）的方式保证通信安全，所有的客户端使用相同的密钥。

图2 WPA政企用户认证流程

（2）安全策略

① EAP身份认证方式

对于政企用户，使用可扩展身份验证协议（EAP）框架，目前最安全的方法是“内部”与“外部”双重认证。“外部”是通过客户端和服务器端的证书以创建TLS隧道，从而保证身份验证信息的安全传输。“内部”则是对用户的身份进行验证。政企用户可以根据自身需求，开发符合这些标准功能的多种EAP方法。常见的EAP验证方法有：EAP-TLS、EAP-TTLS、PEAP。

② PSK身份认证方式

对于家庭用户以及小型单位来说，花费大量金钱去支付802.1X身份验证服务器是不现实的，同时家庭和小型单位对无线安全的需求相对较低。所以采用PSK预共享密钥的方式较为合理，PSK密码即我们平常所说的Wi-Fi密码。每一个使用网络的用户只需输入相同的密钥即可接入Wi-Fi网络。PSK的优点在于不需要对公钥结构进行配置，缺点在于一旦无线接入点的预共享密钥发生改变，则手工配置的客户端将无法继续接入Wi-Fi网络。

2 Wi-Fi网络安全面临的风险

2.1 针对Wi-Fi网络的主要攻击手段

（1）重放攻击

举一个简单的例子：正常情况下，主机A发送报文到主机B，但是入侵者C从中截获了A发送的报文，再把此报文发送给B，导致B误认为C为主机A，并把原本发送给A的报文发送给了C，这就是重放攻击。该攻击可以导致攻击者成功通过服务器的认证，进入无线局域网。同时攻击者也可截获大量数据包，不断地重复发给接收方，造成网络堵塞，使普通用户无法正常使用Wi-Fi网络，导致信息丢失。

（2）拒绝服务攻击——Deauth攻击

Deauth攻击全称是取消验证洪水攻击（De-authentication Flood Attack），是一种典型的Wi-Fi网络拒绝攻击。其原理是Wi-Fi的管理数据帧没有进行加密，或者若加密被攻击者破解，导致攻击者可以伪造攻击帧，向整个Wi-Fi网络发送取消身份验证帧使得终端转为未认证的状态。如果攻击者持续向网络中广播取消验证帧，就会导致终端始终无法与无线访问接入点进行链接。

（3）钓鱼攻击

钓鱼攻击的主要目的是窃取用户凭证或者用户个人信息，通常需要搭配其他攻击来实现钓鱼目的。如目前一个主流的钓鱼攻击工具Wi-FiPhisher，其攻击阶段分为三步：第一步，利用Evil Twin Attack实现了中间人攻击（Evil Twin攻击是攻击者使用相同SSID创建一个伪造Wi-Fi接入点，因其与原Wi-Fi同名，且信号一般超过原Wi-Fi，所以更容易使用户连接）；第二步，Wi-FiPhisher会将所有用户的http请求重定向，让所有使用目标Wi-Fi的用户访问自己的钓鱼页面。再如fluxion，其原理是通过mdk3压力攻击强制用户下线，然后伪装一个假的无线接入点模拟原接入点，用户尝试链接时就会打开攻击者的钓鱼认证界面，进而钓取用户的Wi-Fi密码。

（4）暴力破解

类似于其他的密码暴力破解，Wi-Fi暴力破解属于一种比较传统的Wi-Fi攻击方式。针对Wi-Fi密码，攻击者利用自己的密码字典，不断尝试登录，例如：Wi-Fi万能钥匙；针对Wi-Fi流量，例如对于WPA-PSK认证模式，可以采用字典中的PSK+ssid先生成PMK密钥的方式进行暴力破解。

2.2 安全机制层面的缺陷

（1）加密方式的缺陷

①WEP的安全缺陷

WEP由于密钥的固定，初始向量仅仅只有24位且使用的是RC4分组加密方式导致其算法强度很低，密码极容易被破解，目前已经有专门针对WEP的破解程序，如：AirSnort和WEPCrack。

②WPA/WPA2的安全缺陷

目前WPA已经更新到第三代，但其普及率目前还很低，Windows需要2004版本以上才支持WPA3协议，并且支持WPA3的路由器也屈指可数。WPA主要的问题是采用了TKIP的加密方式，其加密方式与WEP有很多相同的地方，从而导致其安全性不尽人意。提到WPA就要提WPS，WPS出现的目的是为了把较为难记的密码浓缩成8位PIN码，但是8位PIN码并不能满足全部的密码空间。

（2）链路传输的缺陷

IEEE 802.b标准所使用的扩频技术其抗干扰性较差，所以如果攻击者对采用IEEE 802.b标准的Wi-Fi网络使用DoS攻击，极易导致Wi-Fi网络崩溃。

（3）无线频段分配不合理

在为大型企业进行Wi-Fi规划时，可能由于设计方面的问题，导致2.4GHz频段与5GHz频段分离开来，形成两个无线接入点。由于普通用户并不理解两种频段的区别，通常会根据Wi-Fi网络使用手册仅接入某一个频段。如果无线接入点的单一频段不能承受所有用户接入访问，很容易导致网络堵塞，导致类似于DoS攻击的情况发生。

（4）入网控制的不足

虽然目前已经有较为成熟的入网认证方式，如IEEE 802.b与WebPortal认证接入方式，但由于对其安全性认识方面的不足，若IEEE 802.b采用了EAP_TLS认证或者WebProtal采用了PAP认证，就容易导致网络受到DoS攻击或者面临密码泄露风险。

2.3 新型的攻击方式

（1）KRACK攻击

KRACK即Key Reinstallation Attacks（密钥重装攻击）。是近几年提出的针对WPA2的一种新型攻击手段。其原理是对WPA/WPA2采用的802.11i中定义的四次握手进行攻击，终端和无线接入点通过四次握手来协商验证PTK会话密钥。

（2）MOTS边注入攻击

如果攻击者已经获取到终端和无线接入点的通信情况，就可利用特定设备任意收发802.11 MAC层的数据包，一旦发现用户进行DNS请求等敏感操作，就立即发出伪造的DNS响应包，让终端访问伪造的IP，从而进行钓鱼攻击，并且这种攻击目前还无法进行取证。

（3）Side Relay边中继攻击

WPA/WPA2为了避免重放攻击，会设置一个逐渐递增的序列号，并且无线接入点只接受比之前序列号更大的包。攻击者可利用这一特性，抓取无线接入点所接收的数据包，并且将其序列号改得非常大，这就导致无线接入点很长一段时间不能接收正常的数据包。

3 Wi-Fi网络安全防范措施

3.1 主流Wi-Fi网络安全机制

（1）针对重放攻击的防御方式

对于重放攻击的防御主要有三种：时间戳、提问应答、流水号。

①时间戳主要用于非连接性的会话，如：下载、访问页面。通过在消息中添加以时间为凭证的时间戳，接入点只需判断当前时间戳是否足够接近请求的时间戳即可防止重放的发生。

②提问应答主要用于连接性会话，如：连接数据库，ssh连接。终端与接入点事先规定好通信凭证或者加密函数，在每一次会话中必须携带凭证，通过判断凭证或者加密结果是否一致来确认是否为重放。

③流水号，通信双方在事先协商号初始序号，通过一次递增或者其他递增方法来判断会话信息的新鲜性。

（2）针对拒绝服务攻击的防御方式

D-Link路由器是市面上比较热门的一个路由器品牌，然而在D-Link DWL-G700AP这款路由器的HTTP管理界面却存在拒绝服务漏洞，攻击者只要发送“GET ”字符串就可以导致服务崩溃。针对路由器的拒绝服务攻击方式还有很多，比较常见的一种是前文提到的Deauth攻击（目前无线网络的拒绝服务攻击具有多样性，所以没有一种通用的防御手段，本文只针对前文提到的Deauth攻击讲解目前的防御措施），目前的主流防御措施是当无线接入点收到取消验证帧时，不直接断开与终端的连接，而是等候一段时间，若在等待时间内仍然存在数据传输，则判断该取消帧为DOS攻击，将该帧丢弃。

（3）针对钓鱼攻击的防御方式

2018年山西省的张女士在一家商城内用手机连接了一个未设置密码的Wi-Fi，然后在网上购买了一件商品，没过多长时间，张女士的银行卡就被盗刷8000多元。这就是典型的Wi-Fi钓鱼攻击，攻击者建立一个虚假Wi-Fi热点，用户连接后访问的虚假网站会记录用户支付密码等敏感信息，进而造成财产损失。

目前针对钓鱼攻击的检测主要分为三种：一致性检测、网络层检测、主动式指纹扫描。

①一致性检测的原理是分析被动指纹和无线网卡的MAC地址，无线接入点的ESSID通常是用无线接入点的MAC地址来充当。若在判断ESSID或指纹是否一致时发现异常，则判断该接入点为可疑接入点。

②当判断可能为可疑接入点时，可以选择更为准确的网络层检测，因为攻击者伪造AP通常需要将数据返回到原接入点，所以在网络链路层面会与直接连接原接入点存在不同。因此可以通过检测网络延迟或者路由路径来判断是否为伪造接入点。

③主动指纹扫描需要提前准备好各厂商设备的指纹库，通过主动连接无线接入点，去对比接入点响应帧与指纹库信息是否一致进而判断是否为伪造接入点。

（4）针对暴力破解的防御方式

防止口令破解的最好办法就是使用复杂口令以及定期更换口令。针对密钥的破解，需要无线接入点使用安全的加密方式，如WPA2/WPA3，以及架设防入侵防火墙。

3.2 Wi-Fi网络安全防御现状

关于Wi-Fi网络的安全问题，目前的热点集中在硬件厂商以及行业规范的发展上，研究者的注意力往往也集中在协议安全以及安全策略方面。但笔者认为Wi-Fi网络安全除了要依靠新技术的发展，同时也和Wi-Fi网络部署有密切关系。由电信运营商等部署的大型Wi-Fi网络相对成熟，对于来访者的身份会有比较完善的认证机制。而对于家庭、小型企业部署的中小型网络，往往因为Wi-Fi网络部署者技术水平的参差不齐和安全意识的薄弱，导致所部署的网络安全性较差，从而成为安全事件的重灾区，也是无线攻击者的主要目标。

4 Wi-Fi网络安全防御改进对策

4.1 技术层面的改进

（1）完善加密方式

纵观Wi-Fi网络发展史，加密方式在一次又一次的破解中而逐步发展，从最初的WEP标准，到WPA/WPA2，再到如今的WPA3，随着解密技术的不断发展和算力的飞速提升，曾经被认为的安全加密方式均面临被破解的风险。当今公认最安全的主流加密方式WPA2，其安全性是建立在使用较强的密码、通过WPA2认证协议加密、关闭WPS功能的基础上的，后两点目前硬件厂商已经将其设置为默认选项，所以基本可以保证，但对于第一点，往往是大多数人容易忽略的地方。针对WPA2的破解分为两步：抓取四次握手包、对握手包进行破解。如果用户设置的密码较为简单，入侵者是可以在较短时间内破解出密码的，这就是前面所说的KRACK攻击。

（2）设立统一的安全标准

目前硬件厂商推出的无线接入点安全性参差不齐，如：WPA、WP2和WPA2-PSK使用界限模糊，没有配置给合适的用户。即使具有相同的安全标准，在用户的实际部署过程中也会因为配置界面不够友好导致不会配置，更不用提让用户自行搭建802.1认证服务器了。所以，如何使用统一的安全标准以及如何编撰出言简意赅的配置界面，是目前硬件厂商亟待解决的问题。