高习明 李华

(青岛幼儿师范高等专科学校 山东青岛 266318)

校园网络的普及，为现代化教育改革步伐的加快提供了助力，协助高校科学开展教育活动，课堂教学与线上线下结合教学无缝衔接，丰富教学资源，完善教学模式，尤其是学生学习能打破时间与空间的限制，随时随地完成学习任务。无线校园网络钓鱼AP 攻击检测技术具有突出的应用优势，针对无线钓鱼AP的隐蔽性攻击能够准确识别，并且客观应对其破坏性与检测难度高等问题，方便无线校园网络的管理，有助于提高无线校园网络维护效率。

1 深层次剖析无线钓鱼AP攻击

根据对无线校园网络的研究发现，无线钓鱼AP攻击是常见安全隐患之一。为了更好地解决该问题，充分发挥出无线校园网络钓鱼AP攻击检测技术的作用，必须对无线钓鱼AP攻击深层次剖析，掌握其攻击原理的基础上，制订行之有效的应对方案[1]。所谓无线钓鱼AP 攻击，其主体为非法AP，通过对公共场合的入侵，模仿合法AP 参数进行信息调整，以此冲破用户网络阻挡，非法连接其网络账户，破坏用户网络安全，窃取隐秘信息等，对网络安全造成极大威胁。

现代化校园几乎实现了网络全覆盖，尤其是扩展服务集网络结构的建设，依校园整体框架为载体，全面布置网络服务器，随后讲无线网络覆盖范围扩大，确保教师与学生能够随时随地使用无线网络，不会受到任何地点或者建筑结构的限制。师生在使用无线网络期间，若出现连接信号虚弱或者断开的现象，或是数据包丢失，信息无法传输或者被阻塞，用户会寻找新的同名AP更换登录，这期间是无线钓鱼AP攻击的关键时机，攻击者通过对合法AP 参数的模仿，待用户切换登录AP过程中，非法钓鱼AP趁机攻击用户网络[2]。期间无线非法钓鱼AP会做出如下攻击。

第一，抓住用户发送登录合法AP的请求；第二，非法钓鱼AP 持续攻击合法AP，复制合法AP 的密钥，同时攻击SSID 与加密处理，将其传输至非法钓鱼AP，随即将发射功率放大；第三，借助无线阻塞攻击的方式，对用户登录合法AP进行干扰，同时营造出在信道冲突的假象，引导用户认合法AP存在故障，同步向合法AP发出请求占用信道的信号，成功阻隔用户与合法AP的连接[3]；第四，以特殊手段迫使用户不能连接其他合法AP，必须重新发送连接请求，这时非法AP会迅速占领信道，用户只能选择非法AP。

2 无线校园网络钓鱼AP攻击检测技术的研究

2.1 针对无线钓鱼攻击构建特定检测MAC管理帧

无线校园网络钓鱼AP攻击检测技术的应用，必须按照IEEE802.11 协议标准，放大网络设备连接过程中，管理帧的协调、管理通信等功能，保证设备间消息及时传输，具体涉及以下几方面。

一是可访问网络的查找；二是移动设备连接AP介入点的管理；三是网络设备验证；四是信息与服务同步。当前的无线校园网络，因为覆盖范围比较广，所以会出现SSID 中设置多个AP 的情况，这期间为了有效阻隔非法AP 攻击，需注意对AP 相关参数进行及时保护。尤其是Beacon（信标帧）、BSSID（MAC地址）、SSID（无线网络名称）、ProbeRequest（探测相应帧）等，此外还需要随时了解AP的接受信号强弱变化，掌握准确的芯片生产信息，积极检测相应帧长度波动，在此基础上，检测无线校园网络AP的安全性[4]。

对于检测中出现的特征指纹缺失或者薄弱环节等，都可以借助无线抓包工具及时捕捉，修改技术的辅助下，将帧控制中部分问题环节修改，特别是MAC 帧头中，打造更完善的管理帧框架，随后分别发送至无线AP，及时对传输后的相应信息指纹进行收集。帧控制又被称之为Frame Control，主体为两个字节，其中一个字节为固定属性，另一个字节为灵活调整属性，可以根据AP的需要组成特殊管理帧，可能性为255种。受到信息传输过程的影响，信息指纹收集的过程比较复杂，消耗时间也比较长，这种情况下，就需要提前创建特征指纹库，基于合法AP运行下，科学利用网络空闲空间，同时观察信号的稳定性，当信号处于最佳状态下，及时对响应帧位置加以标注，随后筛选重复的信息指纹，达到提高无线钓鱼攻击信息筛选与安全检测的效率[5]。

无线校园网络背景下，对钓鱼AP 的检测，打造特定MAC管理帧检测体系，科学规划检测步骤。

第一，对无线校园网络中的AP 列表进行检测，前提是无线AP 必须为相同BSSID，随后按照筛选顺序，分别连接无线AP，在LORCON 的辅助下，对无线AP中基本构造以及注入等进行分析，并捕获信息源，分析信息指纹等。此外，还需要Libpcap 开源库的加入，为管理帧构造函数提供基础，并且帮助其提高对FrameControl 参数甄别分析。正常管理帧当值参数为0，无线校园网络处于正常状态，若当值参数调整为1～255，则需及时向特定MAC 管理帧发送无线校园网络循环语句，同步对无线AP 响应帧观察，搜集特征指纹与响应特征码。期间，将响应特征码与不响应特征码分别设置为1、0。积极梳理响应帧类别，无线校园网络中常见的响应帧包括关联响应帧、认证帧、接触认帧这3 个方面。待梳理完响应帧类别后，开始比较检测的AP。

第二，合法AP检测过程中，观察对应响应状态，不会出现异常波动现象。非法钓鱼AP检测中，其本身设置与合法AP不同，特别是芯片、运行轨迹与驱动信息，这些都会在检测过程中出现不同程度的异动。通过MAC管理帧的检测分析可以发现，其识别的准确性非常高，检测的稳定性理想，不容易被伪造，并且可以覆盖无线校园网络全过程，以服务端为中心实时运行[6]。比较适用于无线校园网络中安全性与稳定性要求极为严格的检测中，同时网络结构中明确规定不允许明文对网站进行登录，无线不能对论坛或者邮箱等进行访问。

2.2 网络协议路由基础上的钓鱼AP跟踪检测

对于钓鱼AP攻击检测技术来讲，除了上述方法之外，还可以从网络协议路由角度出发，对钓鱼AP 攻击进行全方位检测。所谓网络协议路由跟踪检测，基础为网络路由，网络运行与用户查询等过程中，源主机会及时发送用户需要的信息，从此处开始便对数据包信息进行跟踪，一直到其进入网络路由后，实时监督。数据包在传输过程中会接触到所有网络路由器，这期间的跳数被称之为生存时间，生存时间在路由器接受数据包、转化数据包等过程中会被减少，待生存时间变成0 后，数据包会被系统丢弃，该过程的运行，主要目的是避免网络系统中数据被持续传递，增加无线校园网络损耗。网络协议路由接收到Ping 命令后，会迅速与路由器对数据包进行追踪，当然网络协议路由数量比较多，因此在追踪期间，合法AP 接受与转出数据包期间，生存时间都会变化，钓鱼AP 的生存时间会明显小于正常值，并且响应的时间也会延长，根据这一变化，帮助无线校园网络完成钓鱼AP攻击检测[7]。

路由跟踪的完成，需要TCP/UDP Tracert 技术的支持，通过SYN握手数据包，及时对网络协议路由系统进行扫描，随后提取其中的IP 地址，及时了解节点运行情况，以此达到路由实时跟踪的目的。根据路由器采集期间所传输的目标端口不可达信息，迅速生成差错报文，这样就可以了解到AP的合法性与非法性。

具体运行中需要注意：UDP 数据包端口号必须为源主机，并且还要＞32 768值，生存时间初始值为1，根据数据包传出的顺序，观察生存时间的变化，待由1到0 后，数据包被丢弃，源主机随之接收到差错报文，及时获取路由器地址，以此对数据包进行传输，得到无线校园网络覆盖的所有路由地址后后，达到最终传输的目标主机，及时将差错报文实施上传，最终完成网络协议路由跟踪。差错报文提取期间，受到传输时间的影响，往返时间会出现不同程度的推移。这期间需要交互式数据包引导处理程序的辅助，进一步对探测框架进行完善，做到实时处理差错报文，迅速解析后将其存储至无线校园网络检测数据库中[8]。AP路由相关信息的分析以及数据存储，主要以路由器IP地址为基本比较对象，与其一致代表其为合法AP，与其不一致代表其为非法AP。无线校园网络中的合法AP管理十分严格，均统一由网络管理员控制，根据无线校园网络需求合理配置。钓鱼AP在跟踪期间，对于差错报文的处理与合法AP 明显不同，虽然运行流程相同，但是差错报文返回期间却存在明显差异，不仅会延长返回时间，还会增加一跳，据此确定钓鱼AP。该检测方法在实际应用中具有操作灵活的特点，同时不易于伪造，对于隐蔽性比较高的钓鱼AP依然能够迅速捕捉与准确识别，不会局限于安全等级要求，可以进行无线访问，因此在应用中备受关注。

3 结语

综上所述，钓鱼AP严重威胁到了无线校园网络安全，其能够窃取用户信息，造成数据丢失。面对这种情况，需从安全检测角度出发，科学应用无线校园网络检测技术，对钓鱼AP 实时检测。深层次剖析钓鱼AP 对无线校园网络工攻击的原理，随后明确对钓鱼AP检测的关键点，以此为载体完善钓鱼AP 检测方案，加入MAC管理帧检测与网络协议路由检测环节，针对性地进行钓鱼AP 检测，及时了解无线校园网络安全状态，根据检测情况调整安全防护策略，由此达到提高无线校园网络安全性的目的。