淺析WIFI安全隱患類型及如何防蹭網(wǎng)

1、.當(dāng)前無線網(wǎng)的用戶對于隨時隨地訪問自己關(guān)心的網(wǎng)絡(luò)數(shù)據(jù)要求越來越高，為此，各類場所對無線網(wǎng)的部署也日益流行。布置方有家庭、企業(yè)還有運營商，但是無論何種規(guī)模的無線網(wǎng)絡(luò)，都面臨著各種各樣的安全隱患和威脅。常見的無線網(wǎng)安全威脅無線網(wǎng)的傳輸和接收數(shù)據(jù)是通過在空氣中廣播的射頻信號。由于無線局域網(wǎng)使用的廣播性質(zhì)，存在黑客可以訪問或損壞數(shù)據(jù)的威脅。安全隱患主要有以下幾點：1、未經(jīng)授權(quán)使用網(wǎng)絡(luò)服務(wù)如果無線局域網(wǎng)設(shè)置為開放式訪問方式，非法用戶可以不經(jīng)授權(quán)而擅自使用網(wǎng)絡(luò)資源，不僅占用寶貴的無線信道資源，增加帶寬費用，降低合法用戶的服務(wù)質(zhì)量，而且未經(jīng)授權(quán)的用戶沒有遵守相應(yīng)的條款，甚至可能導(dǎo)致法律糾紛。2、地址欺騙和會

2、話攔截(中間人攻擊)在無線環(huán)境中，非法用戶通過偵聽等手段獲得網(wǎng)絡(luò)中合法站點的MAC地址比有線環(huán)境中要容易得多，這些合法的MAC地址可以被用來進行惡意攻擊。此外，非法用戶很容易裝扮成合法的無線接入點，誘導(dǎo)合法用戶連接該接入點進入網(wǎng)絡(luò)，從而進一步獲取合法用戶的鑒別身份信息，通過會話攔截實現(xiàn)網(wǎng)絡(luò)入侵。由于無線網(wǎng)一般是有線網(wǎng)的延伸部分，一旦攻擊者進入無線網(wǎng)絡(luò)，它將成為進一步入侵其他系統(tǒng)的起點。而多數(shù)部署的無線網(wǎng)都在防火墻之后，這樣無線網(wǎng)的安全隱患就會成為整個安全系統(tǒng)的漏洞，只要攻破無線網(wǎng)絡(luò)，就會使整個網(wǎng)絡(luò)暴露在非法用戶面前。無線網(wǎng)的安全措施為了緩解上述的安全問題，所有的無線網(wǎng)都需要增加基本的安全認證、

3、加密和加密功能，包括： 用戶身份認證，防止未經(jīng)授權(quán)訪問網(wǎng)絡(luò)資源。 數(shù)據(jù)加密以保護數(shù)據(jù)完整性和數(shù)據(jù)傳輸私密性。身份認證方式包括：一、開放式認證。開放認證基本上是一個空認證算法，允許任何設(shè)備向接入點(AP)發(fā)送認證要求。開放驗證中客戶端使用明文傳輸關(guān)聯(lián)AP。如果沒有加密功能，任何知道無線局域網(wǎng)SSID的設(shè)備都可以進入該網(wǎng)絡(luò)。如果在AP上啟用了有線對等加密協(xié)議(WEP)，WEP密鑰則成為一種訪問控制的手段。沒有正確的WEP密鑰的設(shè)備即使認證成功也不能通過AP傳輸數(shù)據(jù)，同時這樣的設(shè)備也不能解密由AP發(fā)出的數(shù)據(jù)。開放認證是一個基本的驗證機制，可以使用不支持復(fù)雜的認證算法無線設(shè)備。802.11規(guī)范中認證的

4、是面向連接的。對于需要驗證允許設(shè)備得以快速進入網(wǎng)絡(luò)的設(shè)計，在這種情況下，您可以使用開放式身份驗證。而開放認證沒辦法檢驗是否客戶端是一個有效的客戶端，不管你是不是黑客或是惡意攻擊者的客戶端。如果你使用不帶WEP加密的開放驗證，任何知道無線局域網(wǎng)SSID的用戶都可以訪問網(wǎng)絡(luò)。二、共享密鑰認證。該方式與開放驗證類似而有一個主要的區(qū)別。當(dāng)你使用帶WEP加密密鑰的開放認證時，WEP密鑰是用來加密和解密數(shù)據(jù)，但在認證的步驟中卻不使用。在共享密鑰認證中，WEP加密被用于驗證。和開放驗證類似，共享密鑰認證需要客戶端和AP具有相同的WEP密鑰。AP使用共享密鑰認證發(fā)出一個挑戰(zhàn)文本包到客戶端，客戶端使用本地配置的

5、WEP密鑰來加密挑戰(zhàn)文本并且回復(fù)隨后而來的身份驗證請求。如果AP可以解密認證要求，并恢復(fù)原始的挑戰(zhàn)文本，AP將回復(fù)一個準許訪問的認證響應(yīng)給該客戶端。在共享密鑰認證中，客戶端和AP的交換挑戰(zhàn)文本(明文)并且加密的該挑戰(zhàn)文本。因此，這種認證方式易受到中間人攻擊。黑客可以收到未加密的挑戰(zhàn)文本和已加密的挑戰(zhàn)文本，并從這些信息中提取WEP密鑰(共享密鑰)。當(dāng)黑客知道WEP密鑰時，整個認證機制將受到威害并且黑客可以自由訪問該WLAN網(wǎng)絡(luò)。這是共享密鑰認證的主要缺點。除了WEP之外，現(xiàn)在還有WPA和WPA2機制。WPA是一種基于Wi-Fi聯(lián)盟的標(biāo)準安全解決方案，以解決本地?zé)o線局域網(wǎng)漏洞。WPA為WLAN系統(tǒng)

6、提供了增強的數(shù)據(jù)保護和訪問控制。WPA在原來的IEEE 802.11標(biāo)準的執(zhí)行基礎(chǔ)上解決了所有已知的有線等效保密(WEP)的漏洞，給WLAN網(wǎng)絡(luò)帶來了直接的安全解決方案，包括企業(yè)和小型辦公室，家庭辦公室(SOHO)這樣的WLAN網(wǎng)絡(luò)環(huán)境。WPA2是新一代的Wi - Fi安全協(xié)議。WPA2是Wi - Fi聯(lián)盟共同實施批準的IEEE 802.11i標(biāo)準。WPA2執(zhí)行國家標(biāo)準和技術(shù)局(NIS )建議基于高級加密標(biāo)準(AES)加密算法的計數(shù)器模式及密碼區(qū)塊鏈信息認證碼協(xié)議(CCMP)。AES計數(shù)器模式是一種分組密碼，該模式每次用一個128位密鑰加密128位的數(shù)據(jù)塊。WPA2比WPA提供了更高級別的安全

7、性。此外，還有其他兩個常用的機制用于無線網(wǎng)安全： 基于SSID認證 MAC地址認證服務(wù)區(qū)標(biāo)識符 (SSID)匹配無線客戶端必需設(shè)置與無線訪問點AP相同的SSID，才能訪問AP;如果出示的SSID與AP的SSID不同，那么AP將拒絕它通過本服務(wù)區(qū)上網(wǎng)。利用SSID設(shè)置，可以很好地進行用戶群體分組，避免任意漫游帶來的安全和訪問性能的問題?？梢酝ㄟ^設(shè)置隱藏接入點(AP)及SSID區(qū)域的劃分和權(quán)限控制來達到保密的目的，SSID是允許邏輯劃分無線局域網(wǎng)的一種機制，SSID沒有提供任何數(shù)據(jù)隱私功能，而且SSID也不對AP 提供真正驗證客戶端的功能。物理地址(MAC)過濾每個無線客戶端網(wǎng)卡都由唯一的48位物

8、理地址(MAC)標(biāo)識，可在AP中手工維護一組允許訪問的MAC地址列表，實現(xiàn)物理地址過濾。這種方法的效率會隨著終端數(shù)目的增加而降低，而且非法用戶通過網(wǎng)絡(luò)偵聽就可獲得合法的MAC地址表，而MAC地址并不難修改，因而非法用戶完全可以盜用合法用戶的MAC地址來非法接入。建議使用的無線網(wǎng)策略1、不建議使用WEP加密方式，而應(yīng)該使用WPA和WPA2的加密認證方式，而現(xiàn)在絕大多數(shù)家用AP是支持WPA和WPA2加密認證的。2、改變家用無線路由器的常規(guī)設(shè)置：家用無線路由器通常默認的DHCP服務(wù)(自動分配IP地址)是開啟的，這樣其他用戶如果進入了認證系統(tǒng)，不用猜測網(wǎng)絡(luò)的IP地址是多少，就可以獲得網(wǎng)絡(luò)IP地址了，從

9、而降低了攻擊者的難度，提高了風(fēng)險。具體來看，可以禁用DHCP服務(wù)和SSID廣播服務(wù)，并且更改路由器內(nèi)網(wǎng)網(wǎng)關(guān)的IP地址，能夠大大增加攻擊的難度。3、綁定MAC地址：在家用無線路由器上開啟MAC地址綁定功能，任何接入網(wǎng)絡(luò)的設(shè)備一定是預(yù)先錄入綁定的MAC地址，這樣能夠直接拒絕攻擊者設(shè)備連接入網(wǎng)的機率。4、公共場所無線用戶自身的安全策略：由于在公共場合里，所有連接無線網(wǎng)絡(luò)的電腦邏輯上都處于同一個網(wǎng)絡(luò)里，所以要注意設(shè)置自身上網(wǎng)設(shè)備的安全性。主要需要關(guān)注的：不使用未知的無線信號，在公共場合，由于無線接入設(shè)備可以獲取所有的交互信息，對于未知的無線網(wǎng)絡(luò)一定需要加以鑒別后進行使用;開啟防火墻、安全軟件和禁用網(wǎng)絡(luò)

10、發(fā)現(xiàn)等功能，防止其他人利用公共網(wǎng)絡(luò)對個人設(shè)備進行非法訪問;默認口令和弱口令需要進行修改，上網(wǎng)的設(shè)備管理員需要使用強口令，并且定期更改，防止使用弱口令以阻止非法用戶獲得管理員權(quán)限從而入侵我們的設(shè)備;有了路由器，在享受WiFi（無線網(wǎng)）時需要了解一些防蹭網(wǎng)的知識，學(xué)會保護自己的網(wǎng)絡(luò)安全（以b-link四天線無線路由器為例）1、 可以嘗試更改你路由器的登錄帳號、密碼。這里默認的帳號密碼均為admin，修改之后可以防止別人進入到路由器后臺。2、關(guān)閉無線SSID廣播。在打開無線的情況下又不想讓別人搜到你的WiFi，關(guān)閉無線廣播是個不錯的選擇哦（當(dāng)然只有自己知道啦）。這樣一來被別人蹭網(wǎng)的概率就大大降低呢。3、 IP地址過濾或限速。舉個例子就明白