無線接入點(diǎn)的安全性檢測算法研究

1、無線接入點(diǎn)的安全性檢測算法研究孫 峰（中國民航信息網(wǎng)絡(luò)股份有限公司 北京 100010）【 摘 要 】無線釣魚接入點(diǎn)通過設(shè)置與真實(shí)接入點(diǎn)完全相同的名稱誘騙受害者接入偽裝的無線接入點(diǎn)，進(jìn)而可以竊取隱私信息。本文針對無線釣魚接入點(diǎn)的網(wǎng)絡(luò)安全問題，在分析無線釣魚接入點(diǎn)的特征后，根據(jù)正常接入點(diǎn)與釣魚 接入點(diǎn)網(wǎng)絡(luò)鏈路和 mac 地址的區(qū)別，提出無線接入點(diǎn)的安全性檢測算法，從而保證無線網(wǎng)絡(luò)用戶的信息安全。實(shí)驗(yàn) 結(jié)果證明本文提出的算法準(zhǔn)確、有效。【 關(guān)鍵詞 】無線網(wǎng)絡(luò)安全；釣魚攻擊；安全性檢測research on security testing algorithm for wireless access

2、 pointsun feng（travelsky technology limited beijing 100010）【 abstract 】wireless phishing attack (or rogue ap) attracts victims by setting the same name as the legal wireless access point(ap). then it can captureprivacy information from victims. to solve network security problems in wireless phishing

3、 attack, this paper analyzes the features of wireless phishing attack. according to the link differences and mac addresses differences between rogue ap and legal ap, this paper proposes a security testing algorithm for wireless access point, which can improve information security for wireless users.

4、 the experiments results show our method can efficiently detect this wireless phishing attack.【 keywords】wireless network security; phishing attach; security testing通過刷新無線路由器 firmware 來建立釣魚專用 ap，例如 airsnarf，一般的無線網(wǎng)絡(luò)使用者幾乎無法識別。 這種 攻擊方式的危害性很大，一旦使用者連接到無線釣魚接 入點(diǎn)，使用該接入點(diǎn)上網(wǎng)瀏覽信息，那么使用者的幾乎 所有信息都能被攻擊者看到，包括個(gè)人信息、 電

5、子商務(wù) 相關(guān)的敏感信息等,與此同時(shí)，攻擊者還可以通過相關(guān)技 術(shù)手段向使用者終端中注入病毒等危害資源。針對無線局域網(wǎng)的釣魚接入點(diǎn)威脅，本文提出對無 線接入點(diǎn)的安全性檢測算法。 首先分析無線釣魚接入點(diǎn) 的各方面特征，發(fā)現(xiàn)其與正常無線接入點(diǎn)的區(qū)別 ， 通過 分析對比，最終選取網(wǎng)絡(luò)鏈路和 mac 地址特點(diǎn)分析，提 出基于訓(xùn)練識別的無線接入點(diǎn)的安全性檢測算法。 通過 實(shí)驗(yàn)和測試證明本文提出的算法是有效的。2 無線釣魚接入點(diǎn)的特征分析2.1 無線釣魚接入點(diǎn)的鏈路特點(diǎn)1引言隨著信息技術(shù)的迅速發(fā)展，無線網(wǎng)絡(luò)也得到了迅速 發(fā)展與廣泛應(yīng)用，給人們的生產(chǎn)和生活帶來了巨大的便 利。 尤其是近年來智能終端（包括智能手機(jī)

6、 、 平板電腦 等）的廣泛普及和云計(jì)算、云存儲的提出與發(fā)展，進(jìn)一步 推進(jìn)了無線網(wǎng)絡(luò)的使用，公共場合的無線接入點(diǎn)讓用戶 對互聯(lián)網(wǎng)觸手可得。但與此同時(shí)，無線網(wǎng)絡(luò)的發(fā)展也給信息安全帶來了 隱患。 在諸多無線網(wǎng)絡(luò)安全威脅中，無線釣魚接入點(diǎn)是 一個(gè)重要的安全威脅。 無線釣魚接入點(diǎn)是指攻擊者在公 共場合架設(shè)一個(gè)偽裝的無線接入點(diǎn) （ap，access point）， 設(shè) 置 與 真 實(shí) ap 完 全 相 同 的 名 稱 （ssid，service set identifier），使得受害者誤連上冒牌的無線接入點(diǎn) ， 進(jìn)而 可以竊取密碼或隱私信息。 一個(gè)攻擊者可以很容易地偽 造出和真實(shí)的接入點(diǎn)幾乎完全相同的接

7、入點(diǎn)，甚至可以信息安全與技術(shù) 2012 年 9 月 41information security 信息安全 網(wǎng)絡(luò)控制無線釣魚接入點(diǎn)，既然是一個(gè)非法的接入點(diǎn) ， 那么從網(wǎng)絡(luò)鏈路上應(yīng)該能夠找出其不同于合法接入點(diǎn)的特 征。 通常無線釣魚接入點(diǎn)有兩種方式提供互聯(lián)網(wǎng)接入。 一種方式通過原無線接入點(diǎn)接入互聯(lián)網(wǎng)，因此從客戶端到服務(wù)器的鏈路上就多出無線釣魚接入點(diǎn)這一跳。我們通過 ping 特定服務(wù)器找出在網(wǎng)絡(luò)鏈路上區(qū)別：正常鏈路下 ping 測試 ，結(jié)果顯示如 下：來 自 7 的 回 復(fù) : 字 節(jié) =32 時(shí) 間 =23msttl=51連接在釣魚接入點(diǎn)上 ping 測試 ，結(jié) 果顯示

8、如下：來 自 7 的 回 復(fù) : 字 節(jié) =32 時(shí) 間 =48msttl=50通 過兩個(gè)結(jié)果的對比我 們 可以發(fā)現(xiàn)其在時(shí)間和 ttl 上會有不同，無線釣魚接入點(diǎn)的鏈路上往返時(shí)間要 比正常接入點(diǎn)長，ttl 是比正常接入點(diǎn)小的。 此外可以 通過 traceroute 進(jìn)行路由追蹤，也可以發(fā)現(xiàn)無線釣魚接 入點(diǎn)的鏈路上明顯比正常鏈路上多出一跳路由。另外一種方式就是，無線釣魚接入點(diǎn)的出口網(wǎng)絡(luò)鏈 路選擇和合法接入點(diǎn)完全不同， 例如通過 3g 網(wǎng)絡(luò)連接 互聯(lián)網(wǎng)，那么其鏈路將幾乎完全不同于合法接入點(diǎn)的網(wǎng) 絡(luò)鏈路，那也可以通過分析路由和延時(shí)情況來分析可疑 鏈路。2.2 無線接入點(diǎn)的 m

9、 ac 地址特點(diǎn)在同 一個(gè)公共場合下 ， 比 如 圖 書 館 、 咖 啡 廳 、 火 車 站、 機(jī)場等環(huán)境下， 無論是電信公司布設(shè)的接入點(diǎn)，如 chinanet、cmcc 和 chinaunicom 等接入點(diǎn)，還是公司 、 企 業(yè) 、 商 家 自 己 布 設(shè) 的 無 線 接 入 點(diǎn) ， 如 starbucks、 macdonald 等，一般情況下，同一地方的無線接入點(diǎn)都是 在同一批次購買并安裝的， 這些接入點(diǎn) mac 地址通常 都是很相似的。這是因?yàn)?mac 地址是由 48bit 長的二進(jìn) 制數(shù)字組成，0 到 23 位是廠商向 ietf 等機(jī)構(gòu)申請用來 標(biāo) 識 廠 商 的 代 碼 ， 也 稱

10、為 “ 編 制 上 唯 一 的 標(biāo) 識 符 ”（organizationally unique identifier)。 由于同一批設(shè)備通 常都是來自同一廠商，這些設(shè)備 mac 地址的前 24 位都 是一樣的。 例如在本文作者居所附近搜索到正常的接入 點(diǎn) 中 chinaunicom 和 chinanet 不 同 接 入 點(diǎn) 的 mac 地 址是很相似的，如表 1 所示。因此，合法無線接入點(diǎn) mac 地址的特點(diǎn)是其前 24位是非常相似的，通常是屬于幾個(gè)固定的 mac 地址段。表 1 接入點(diǎn) ssid 與 bssid 的相似度分析3無線接入點(diǎn)安全性檢測算法通過對無線釣魚接入點(diǎn)的特征分析，根據(jù)正常接

11、入 點(diǎn)與釣魚接入點(diǎn)網(wǎng)絡(luò)鏈路和 mac 地址的區(qū)別， 本文提 出以下無線釣魚接入點(diǎn)的識別算法：s= mac 地 址 因 素 + traceroute 因 素+ping 的 ttl 因素 具體解釋如下：mac 地址因素：通過掃描可以得到無線接入點(diǎn)的相關(guān)信息，如 ssid 和 bssid，可以進(jìn)一步統(tǒng)計(jì)相同名稱的無線接入點(diǎn)的不同 mac 地址， 通過對比 mac 地址 的相似度可以作為對無線接入點(diǎn)安全性檢測的一個(gè)重 要參考因素。traceroute 因素： 檢查程序通過連接到無線接 入點(diǎn)，并且進(jìn)行追蹤路由來獲取該無線接入點(diǎn)的網(wǎng)絡(luò)鏈 路信息，通過對比分析網(wǎng)絡(luò)鏈路信息，作為區(qū)分無線釣 魚接入點(diǎn)的另一個(gè)重

12、要參考因素。ttl 因素：連接到無線接入點(diǎn)后，進(jìn)行 ping 操作可 以提取返回信息中的 ttl，通過對比 ttl 的數(shù)值差異， 形成識別算法的第三個(gè)重要因素。 該算法中，、 是 權(quán)值參數(shù)，這些參數(shù)可以根據(jù)安全管理員的經(jīng)驗(yàn)設(shè)置。在不同的無線網(wǎng)絡(luò)環(huán)境下， 可對 s 設(shè)定不同閾值， 以區(qū)分判斷結(jié)果是否在限定的可能范圍之內(nèi)。 如果 s 值 超過閾值限定的范圍， 那么判斷該接入點(diǎn)是不可靠的； 如果小于閾值，則判斷該接入點(diǎn)是可靠的接入點(diǎn)。當(dāng)使用該算法進(jìn)行識別之前，需要對相關(guān)因素進(jìn)行 信息預(yù)處理。 對 mac 信息的預(yù)處理過程中，如果 mac 地址的前面 24bit 相同， 那么意味著這些接入點(diǎn)屬于同 一

13、批次的可能性很大，則 mac 地址因素就等于 0，相當(dāng) 于 mac 的 影 響 因 素 被 降 低 到 最 小 ； 如 果 mac 的 前24bit 不是完全相同的，則其影響因素等于 1。 由于 mac通常在判斷中有很大影響，所以權(quán)值比較大。 具體 mac 42 2012 年 9 月接入點(diǎn)名稱（ssid）接入點(diǎn) mac 地址（bssid）chinanet00:23:89:24:b4:80chinanet00:23:89:23:b2:67chinanet00:23:89:24:ca:18chinaunicom68:1a:b7:42:f0:f0chinaunico

14、m68:1a:b7:42:a9:c8chinaunicom68:1a:b7:42:ab:f0網(wǎng)絡(luò)控制 信息安全 information security地址信息預(yù)處理過程如下：cmp（mac，macbase)=然后再進(jìn)行安全性檢測。 linux ubuntu 上運(yùn)行的檢測程序會一直運(yùn)行并且每個(gè) 15 秒鐘讀取相關(guān)信息進(jìn)行一次 檢測判斷， 如果檢測到無線接入點(diǎn)是屬于釣魚接入點(diǎn)， 那么程序會自動(dòng)切斷與該接入點(diǎn)的連接。 無線接入點(diǎn)安 全性檢測結(jié)果如表 2。通過表 2 可以看出， 本文提出的算法是有效的，可以有效地對接入點(diǎn)的安全性進(jìn)行判斷。5 結(jié)束語無線接入點(diǎn)的安全性，成為無線網(wǎng)絡(luò)安全的重要因 素，用

15、于惡意無線釣魚的接入點(diǎn)成為用戶信息安全的威 脅，本文通過調(diào)研無線網(wǎng)絡(luò)環(huán)境的特點(diǎn) ，結(jié)合無線接入 點(diǎn)的鏈路特點(diǎn)和 mac 地址特點(diǎn)進(jìn)行分析， 最終提出一 個(gè)無線接入點(diǎn)安全性檢測算法。 實(shí)驗(yàn)結(jié)果證明該算法可 以有效的發(fā)現(xiàn)無線釣魚接入點(diǎn)。本文提出的方法還存在一些不足，比如在算法上的 各因素的權(quán)值還可以進(jìn)一步自適應(yīng)優(yōu)化，實(shí)現(xiàn)方法上還 可以把檢測功能設(shè)計(jì)的更加主動(dòng)，這也是我們將來進(jìn)一 步研究的方向。軌0，當(dāng) mac 和macbase 庫中的某一個(gè)地址的前 24bit 相同時(shí)1，當(dāng) mac 和macbase 庫中的所有地址的前 24bit 都不相同考慮無線路由的上網(wǎng)和目標(biāo)是否可以到達(dá)的問題 以及 trac

16、eroute 的時(shí)間原因，算法只追蹤路由的前 五跳，把前五跳的詳細(xì)信息保存下來進(jìn)行比較。 比較過如果對應(yīng)的第 15 跳有一跳路由地址不同 ，則程中，traceroute 的 影 響 因 素 就 被 加 1， 所 以 ，traceroute 影 響 因 素的 值 被 限 定 為 05。 具 體 的traceroute 信息預(yù)處理過程如下：軌0，當(dāng)前五跳路由 5 跳相同時(shí)軌軌軌軌1，當(dāng)前五跳路由 4 跳相同時(shí)軌軌軌2，當(dāng)前五跳路由 3 跳相同時(shí)軌cmp（tr，trbase)= 軌軌軌3，當(dāng)前五跳路由 2 跳相同時(shí)軌軌軌軌4，當(dāng)前五跳路由 1 跳相同時(shí)軌軌軌軌5，當(dāng)前五跳路由 0 跳相同時(shí)軌通過 p

17、ing 測試的返回信息，可提取得到 ttl 的數(shù)預(yù)處理過程將得到的 ttl 值與訓(xùn)練值 ttlbase 進(jìn)值。行比較作為 ttl 的影響因素，預(yù)處理過程如下：cmp（ttl，ttlbase)=（ttl-ttlbase）2 最后得到安全性檢測算法: s=*cmp（mac，macbase)+*cmp（tr，trbase)+*（ttl，ttlbase)2參考文獻(xiàn)1 yimin song, chao yang, guofei gu. who is peeping at your passwords at starbucks? - to catch an evil twin access point.

18、in proceedings of the 40th annual ieee/ifip international conference ondependable systems and networks (dsn10), chicago, il, june 2010.last_result= 軌認(rèn)為是釣魚接入點(diǎn)，當(dāng) ss軌認(rèn)為是可信接入點(diǎn)，當(dāng) ss軌表 2 安全性檢測結(jié)果三 個(gè) 主 要 因 素 mac 地 址 因素 、traceroute 因 素 和 ttl 因 素 的 權(quán) 值 、 和 對 應(yīng) 網(wǎng) 絡(luò) 環(huán) 境 下相應(yīng)的 閾 值s軌 可 以 根 據(jù)安 全 管 理員的經(jīng)驗(yàn)設(shè)置。4 測試分析測試環(huán)

19、境選擇作者單位附件的 某無線網(wǎng)絡(luò)環(huán)境， 測試設(shè)備選用筆 記 本 thinkpad x220， 在 linux ubuntu 上運(yùn)行算法程序 ， 無線路由 器 tp-link tl-wr340g+ 用 于 偽 裝 chinanet 釣魚接入點(diǎn)。首先是進(jìn)行訓(xùn)練， 根據(jù)訓(xùn)練的經(jīng)驗(yàn)得到相關(guān) 因 素 的權(quán) 值 和 閾 值 ，、 、base，base，base，【下轉(zhuǎn)第 75 頁】信息安全與技術(shù) 2012 年 9 月 43測試順序 mactrttlsmac tr ttl s檢測結(jié)果112,1,100:23:4e,61,1300:23:4e,61,12正確212,1,100:23:4e,61,1300:23

20、:4e,61,6正確312,1,100:23:4e,61,1300:23:4e,61,9正確412.1.100:23:4e,61,1300:23:4e,61,9正確512,1,100:23:4e,61,1300:23:4e,61,15正確612,1,100:23:4e,61,1300:25:86,59,18正確712,1,100:23:4e,61,1300:25:86,59,19正確812,1,100:23:4e,61,1300:25:86,59,19正確912,1,100:23:4e,61,1300:25:86,60,15正確1012,1,100:23:4e,61,1300:25:86,59

21、,16正確軟硬件 信息技術(shù) information technology例并管理其運(yùn)行過程，而且更為重要的是為過程實(shí)例的運(yùn)行進(jìn)行導(dǎo)航，監(jiān)控業(yè)務(wù)流程的關(guān)鍵節(jié)點(diǎn)。 bpel 工作流 引擎和傳統(tǒng)工作流引擎在功能上很相似，其主要工作包 括：實(shí)例化和執(zhí)行 bpel 流程，為 bpel 流程及其活動(dòng)的 執(zhí)行進(jìn)行導(dǎo)航，維護(hù) bpel 工作流的控制數(shù)據(jù)和相關(guān)數(shù) 據(jù)，與外部資源交互完成各項(xiàng)業(yè)務(wù)活動(dòng)。根據(jù)自身的功能邏輯實(shí)現(xiàn)對 web 服務(wù)的擇 優(yōu) 查 詢 ， 最終確定目標(biāo)的 web 服務(wù)， 并將該 web 服務(wù)的參數(shù)傳遞 給傳遞給工作流引擎。4總結(jié)從技術(shù)的角度上來講 ， 由于工作流管理系統(tǒng)的特 點(diǎn)是面向過程的，對

22、比傳統(tǒng)面向應(yīng)用的系統(tǒng) ， 具有更大 的彈性， 更能適應(yīng)政府和企業(yè)的業(yè)務(wù)過程不斷變化的 需要，為政府和企業(yè)的流程再造提供了技術(shù)支持 ； 而采 用成熟的工作流引擎產(chǎn)品來實(shí)現(xiàn)系統(tǒng)設(shè)計(jì) ， 簡單的將 業(yè)務(wù)模型定義到工作流引擎之中 ， 通過過程實(shí)例對現(xiàn) 有的應(yīng)用程序的調(diào)用， 就可以實(shí)現(xiàn)對業(yè)務(wù)系統(tǒng)的工作 流技術(shù)改造， 從而使得快速應(yīng)用開發(fā)在政府和企業(yè)部 門得以實(shí)現(xiàn)。參考文獻(xiàn)1 付登科.面向 web 服務(wù)的工作流管理系統(tǒng)研究與實(shí)現(xiàn)d 碩 士論文.西安：西北大學(xué),2006.2 呂鳴劍,孟東升.基于 ws-bpel 的業(yè)務(wù)流程設(shè)計(jì)研究j.計(jì)算 機(jī)與數(shù)字工程,2009，37(11)：189-192.3 趙廣建,申

23、利民,劉 波,董明瑞. bpel 流程動(dòng)態(tài)調(diào)用 web 服務(wù) 的實(shí)現(xiàn)方法j.計(jì)算機(jī)工程與設(shè)計(jì),2010,31(11)：2952-2954.4 陳廷斌,袁磊,張明會.面向 scm 的物聯(lián)網(wǎng)動(dòng)態(tài)服務(wù)及應(yīng)用中 間件技術(shù)j.大連交通大學(xué)學(xué)報(bào),2012，33(1)：43-47.5 郭利軍,張振明,耿俊浩,陳君.基于 bpel 的工作流引擎調(diào)度技術(shù)研究j.中國制造業(yè)信息化,2011,40(9)：7-10.通過結(jié)合傳統(tǒng)的工作流引擎的設(shè)計(jì)，對 bpel 工作流引擎設(shè)計(jì)如圖 4 所示。 bpel 工作流引擎的組成主要 包括流程解析器、流程管理器、消息處理器和流程執(zhí)行 器四部分 。 流程解析器實(shí)現(xiàn)了對 bpel 流 程 文 件 的 解 析，并生成流程模板，在工作流運(yùn)行時(shí)，流程管理器會從 模板庫中調(diào)用流程模板，并對模板加以實(shí)例化 ， 最終將 由流程執(zhí)行器執(zhí)行 bpel 流程實(shí)例，在執(zhí)行過程中工作 流引擎需要與 web 服務(wù)代理進(jìn)行交互， 并由消息處理 器來完成它們之間的交互。消息處理器與 web 服務(wù)代理之間通過 soap 消息 進(jìn)行通信，bpel 工作流引擎會將 web 服務(wù)的描述信息 傳遞給 web 服務(wù)代理，由服務(wù)代理對消息進(jìn)行解析，并作者簡介：黃 川 林 （1979- ）， 女 ， 遼 寧 大 連 人 ， 講 師