在這篇文章中,我們將會對 802.11 的相關內容進行簡單的介紹,並針對當前常見的WiFi攻擊以及檢測技術進行描述。
802.11管理幀存在的問題
802.11 WiFi標準包含一種專門針對網絡和連接管理的特殊幀類型。比如說,當你點擊電腦左下方的托盤圖標來查看當前範圍內的所有可用網絡時,你的電腦並不會主動“掃描網絡”,但它會被動監聽WiFi熱點所廣播出來的“beacon”管理幀(用來表明該熱點可用)。
另一種管理幀名叫“probe-request”,它的作用是代表WiFi網絡的可訪問距離,你的設備會發送這種管理幀來查看之前連接過的網絡當前是否在周圍。如果距離內存在已訪問過的網絡,相應的熱點將會用“probe-response”幀予以響應。
而這些管理幀存在的問題就是,它們完全沒有經過任何的加密。這樣做的目的是為了增加WiFi的易用性,因為你完全不需要進行任何的密鑰交換或密碼確認就可以查看到周圍的WiFi網絡以及熱點名稱,但這也增加了WiFi網絡的攻擊面。
常見攻擊技術介紹
嗅探流量
實際上,所有的WiFi流量都是可以通過監聽模式的適配器來嗅探的。大多數Linux發行版都支持WiFi芯片切換到這種特殊模式,並處理周圍環境中的所有WiFi流量(不僅是你連接到的網絡)。任何人都可以直接在X寶買到帶有這種芯片的無線網卡,而且價格都不貴。
而且,加密網絡其實也保護不了你。破解WEP加密也只是幾分鐘的時間而已,甚至連WPA2-PSK都是不安全的(如果你知道密碼的話)。比如說,你可以竊聽辦公室的WiFi網絡,因為你知道密碼,樓下咖啡廳的WiFi也不安全,因為他們的WiFi密碼一般都寫在桌子上。因為你和熱點之間設備特定的加密使用的是一套網絡密碼組合,而另一個密鑰是在協商過程中通過公開交換獲取的(別忘了管理幀是沒有經過加密的)。攻擊者將能夠通過偽造去認證幀來強制發起新的認證過程,而這將導致你的設備跟熱點之間出現短暫的掉線。
檢測網絡嗅探活動
嗅探流量是一種被動行為,所以它是不能被檢測到的。作為一名用戶而言,你可以認為所有的WiFi流量都是開放的,所以你一定要確保使用了更高層的加密手段,例如HTTPS。
暴力破解訪問
對熱點進行暴力破解攻擊其實是非常耗時間的,而且也完全沒有必要,大多數暴力破解工具都可以記錄(嗅探)WiFi流量。攻擊者可以安靜地坐在你辦公室樓下的咖啡廳,記錄你辦公室網絡的流量,然後回家再慢慢破解你的WiFi密碼。
與流量嗅探一樣,這種行為同樣是無法被檢測到的。我唯一能給你的建議就是使用健壯的WiFi密碼,並且不要使用WEP。
WiFi干擾
一般來說,檢測WiFi干擾行為將需要相對專業的設備才進行,而且有時甚至還需要使用到信號發射塔。但是有趣的是,802.11標準給我們提供了一種更簡單的方法:去認證幀和去關聯幀。這些“去認證”幀可以被用於多種不同的場景,而且該標準提供了超過40種預定義的原因代碼。下面給出的是一些合法的常用示例:
1. 之前的身份認證失效;
2. 由於不活動而導致的連接斷開;
3. 由於訪問點無法處理當前所有的關聯STA而導致的連接斷開;
4. 由於SAT不支持BSSBasicRateSet參數種的數據率而導致的拒絕連接;
因為去認證幀屬於管理幀的一種,所以它們是沒有經過加密的,而攻擊者甚至可以在無需連接該網絡的情況下偽造這種幀。信號範圍內的攻擊者可以向目標用戶所連接的熱點發送連續的去認證幀來達到干擾WiFi的目的。
檢測WiFi干擾器
類似nzyme(即將發佈)這樣的工具可以發現這種去認證幀,而且我們還可以通過查看WiFi日誌來發現這種幀。
流氓熱點
接下來,我們討論一下手機在自動連接至WiFi網絡時會發生什麼情況。一般來說,這種情況主要會發生在以下兩種場景:
1. 手機獲取已知WiFi網絡的beacon幀,然後開始與距離最近(信號最強)的熱點進行連接。
2. 手機給已知WiFi網絡發送一個probe-request幀,可提供網絡服務的接入點將響應一個probe-response幀。接下來,你的手機將會跟這個響應接入點進行連接。
這裡的問題就在於:任何設備都可以給任何網絡發送beacon幀和probe-response幀。
攻擊者可以搭建一個便攜式的流氓接入點,這個接入點不僅能夠響應(probe-response)任何的probe-request幀,而且它們還能夠給任何的目標網絡發送beacon幀。
現在的很多設備也都部署了相應的保護機制,如果你準備連接到一個之前加密但當前未加密的網絡,那麼設備將會給你發出警告提醒。不過,如果攻擊者知道你之前所連接的WiFi密碼或者說本身他攻擊的就是一個開放網絡的話,這種保護機制就沒有任何效果了。此時,你的手機將會毫不猶豫地連接到流氓熱點,而攻擊者將能夠獲取到你所有的網絡流量(類似中間人攻擊)。除此之外,攻擊者甚至還可以讓用戶的瀏覽器呈現惡意頁面並發動網絡釣魚攻擊。關於這個方面,大家可以參考一下著名的網絡釣魚攻擊平臺WiFi Pineapple,你很快就會知道這種攻擊是有多麼簡單了。
其實大家都知道,流氓接入點是很難被發現的。我們不僅很難去對它們進行物理定位,而且我們也無法從眾多合法熱點中發現那些流氓接入點。
檢測流氓接入點
方法1:BSSID白名單
跟其他網絡設備一樣,每一個WiFi接入點都有自己的MAC地址,而MAC地址也是它會發送的數據的其中一部分。一種檢測流氓熱點的方法就是設置一個可信接入點白名單,然後用MAC地址做標識來進行熱點匹配。但是問題就在於,攻擊者仍然可以輕而易舉地偽造MAC地址。
方法2:非同步的MAC時間戳
生成相同網絡的接入點都會擁有高度同步的內部時鐘。因此,接入點會不斷地交換時間戳以實現同步,這個時間是毫秒級的,同步增量為25微秒。大多數流氓熱點在嘗試進行時間戳同步時往往會出現各種各樣的錯誤,你可以通過檢測這種錯誤來發現流氓熱點。
方法3:錯誤的信道
你可以設置一個列表來存儲所有受信任接入點的信道,如果信道不同,則說明該接入點有問題。但是對於攻擊者來說,這種保護方式也是能夠輕鬆繞過的。
方法4:信號強度異常
我們還可以通過分析WiFi信號的強度來檢測流氓熱點。如果攻擊者偽造了一個接入點的話,你會發現其MAC地址(BBSID)和信號強度會突然發生改變。
總結
在這篇文章中,我們給大家簡單分析了幾種常見的WiFi攻擊技術以及相應的檢測技術,希望可以給那些對無線安全感興趣的同學帶來幫助。
閱讀更多 黑客迷 的文章
