◆魏 遠(yuǎn) 張 平

?

無線局域網(wǎng)中的假冒AP攻擊技術(shù)研究

◆魏 遠(yuǎn) 張 平

(戰(zhàn)略支援部隊(duì)信息工程大學(xué) 河南 450001)

無線局域網(wǎng)已經(jīng)成為生活中不可或缺的一部分，但因其空中傳輸?shù)奶匦?，近年來出現(xiàn)了一些針對(duì)無線局域網(wǎng)的攻擊技術(shù)。假冒AP攻擊就是其中比較常見的一種攻擊方法。本文主要研究了企業(yè)級(jí)無線局域網(wǎng)下的假冒AP攻擊技術(shù)，提出了一種針對(duì)企業(yè)級(jí)無線網(wǎng)絡(luò)的改進(jìn)型假冒AP。改進(jìn)型假冒AP聯(lián)合了軟件無線電干擾、可信認(rèn)證服務(wù)器證書以及不常用信道三種技術(shù)手段，有效地提升了假冒AP攻擊的成功率。此外，本文針對(duì)性的提出了一些假冒AP攻擊的防范建議。

無線安全；假冒AP；企業(yè)級(jí)無線網(wǎng)絡(luò)；802.1X

0 引言

企業(yè)級(jí)無線網(wǎng)絡(luò)在拓展了機(jī)構(gòu)網(wǎng)絡(luò)空間的同時(shí)也為機(jī)構(gòu)網(wǎng)絡(luò)帶來了嚴(yán)重的安全問題。假冒AP（Access Point）是一種最為常用的企業(yè)級(jí)無線網(wǎng)絡(luò)攻擊技術(shù)。攻擊者通過部署與合法AP具有相同網(wǎng)絡(luò)名稱的假冒AP可以實(shí)現(xiàn)竊取用戶賬戶密碼、還原用戶加密信息等目的。對(duì)于企業(yè)級(jí)無線網(wǎng)絡(luò)安全而言，研究企業(yè)級(jí)無線網(wǎng)絡(luò)的假冒AP攻擊技術(shù)，有助于網(wǎng)絡(luò)管理人員有針對(duì)性的部署防護(hù)機(jī)制，有利于保護(hù)機(jī)構(gòu)內(nèi)部的機(jī)密信息、敏感數(shù)據(jù)、科研成果的安全。學(xué)術(shù)界已有多位研究人員提出了針對(duì)企業(yè)級(jí)無線網(wǎng)絡(luò)安全的攻擊方式。Hyunuk Hwan[1]首次提出將中間人攻擊的思想應(yīng)用到企業(yè)級(jí)無線網(wǎng)絡(luò)，實(shí)現(xiàn)了對(duì)EAP-MD5和EAP-TTLS的攻擊。Cassola Aldo[2]利用企業(yè)級(jí)無線網(wǎng)絡(luò)的優(yōu)先網(wǎng)絡(luò)列表原則和客戶端設(shè)備證書認(rèn)證漏洞兩個(gè)弱點(diǎn)完成了針對(duì)企業(yè)級(jí)無線網(wǎng)絡(luò)的中間人攻擊。Mathy Vanhoef[3]提出通過修改無線網(wǎng)卡底層代碼來干擾合法AP，提升假冒AP的關(guān)聯(lián)成功率。本文提出了一種改進(jìn)的假冒AP攻擊技術(shù)。改進(jìn)的假冒AP通過聯(lián)合軟件無線電干擾、建立可信認(rèn)證服務(wù)器證書以及不常用信道三種手段，實(shí)際提升了企業(yè)級(jí)無線網(wǎng)絡(luò)中假冒AP攻擊的攻擊效率。

1 企業(yè)級(jí)無線概述

企業(yè)級(jí)無線網(wǎng)絡(luò)通常包含三大組成部分：接入點(diǎn)、控制器和認(rèn)證服務(wù)器。接入點(diǎn)負(fù)責(zé)宣告網(wǎng)絡(luò)存在以及為客戶端提供通信鏈路。控制器負(fù)責(zé)接收來自于遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)（Radius）服務(wù)器的指令以及控制網(wǎng)絡(luò)接入端口。Radius服務(wù)器負(fù)責(zé)配置企業(yè)級(jí)網(wǎng)絡(luò)的基本信息、具體的可擴(kuò)展的認(rèn)證協(xié)議（EAP）等。圖1描繪了企業(yè)級(jí)無線網(wǎng)絡(luò)的基本架構(gòu)。

圖1 企業(yè)級(jí)無線網(wǎng)絡(luò)基本架構(gòu)

不同用戶持有不同的憑證是企業(yè)級(jí)無線網(wǎng)絡(luò)對(duì)安全的基本需求，這種安全需求可以有效地防止因個(gè)別用戶賬戶泄露造成的無線網(wǎng)絡(luò)非法接入等問題。802.1X[4]協(xié)議恰好可以滿足企業(yè)級(jí)無線網(wǎng)絡(luò)的這種認(rèn)證需求，并可以聯(lián)合WPA/WPA2來保護(hù)數(shù)據(jù)的機(jī)密性和完整性。但由于WPA/WPA2兩種協(xié)議和EAP協(xié)議都存在一些安全風(fēng)險(xiǎn)，如RC4算法的缺陷、脆弱的EAP方法等，因此，企業(yè)級(jí)無線網(wǎng)絡(luò)的這些風(fēng)險(xiǎn)給假冒AP攻擊提供了可能。

2 假冒AP攻擊技術(shù)

假冒AP是指攻擊者建立的看起來像合法接入點(diǎn)的虛假接入點(diǎn)。利用假冒AP可以監(jiān)聽和注入無線數(shù)據(jù)幀、竊取用戶憑證和隱私信息。盡管基于802.1X的企業(yè)級(jí)無線網(wǎng)絡(luò)在理論上來講可以防范假冒AP攻擊，但由于認(rèn)證服務(wù)器配置及客戶端實(shí)現(xiàn)上的多個(gè)問題，已有多種針對(duì)企業(yè)級(jí)無線網(wǎng)絡(luò)的攻擊方法。

2.1 已知的假冒AP攻擊技術(shù)

通過對(duì)當(dāng)前已知假冒AP相關(guān)文獻(xiàn)[1][2][3]的分析總結(jié)可知，當(dāng)前已知假冒AP的攻擊通常包含以下步驟：

（1）建立信號(hào)強(qiáng)于合法AP的假冒AP；

（2）向客戶端設(shè)備發(fā)送斷開關(guān)聯(lián)幀，迫使受害者連接到假冒AP；

（3）利用企業(yè)級(jí)無線網(wǎng)絡(luò)認(rèn)證服務(wù)器在配置上的錯(cuò)誤或者客戶端設(shè)備證書校驗(yàn)的缺陷，在客戶端和攻擊者之間建立SSL/TLS隧道來完成對(duì)受害者憑證散列值的獲?。?/p>

（4）利用內(nèi)部認(rèn)證算法的缺陷，通過暴力破解等方式來完成對(duì)用戶憑證的還原。

2.2 已知的假冒AP攻擊技術(shù)存在的不足

已知的假冒AP攻擊在某些條件下能夠完成對(duì)目標(biāo)機(jī)構(gòu)網(wǎng)絡(luò)的攻擊，但受限于無線網(wǎng)絡(luò)環(huán)境的復(fù)雜性，已知的假冒AP存在以下問題：

（1）攻擊實(shí)施較為被動(dòng)

已知的假冒AP通常采用兩種手段來破壞目標(biāo)客戶端和合法AP的關(guān)聯(lián)。一是部署同目標(biāo)網(wǎng)絡(luò)具有相同名稱的大功率假冒AP，二是向客戶端設(shè)備發(fā)送斷開重連幀（Dissassociate幀）迫使客戶端設(shè)備與正在連接的合法AP斷開連接，重新發(fā)送探針請(qǐng)求（Probe Request）。

上述攻擊理論在實(shí)踐中存在一些明顯的缺陷。首先，在大型企業(yè)級(jí)無線網(wǎng)絡(luò)中，攻擊者具備的攻擊條件有限，攻擊者很難部署信號(hào)強(qiáng)度大于合法AP的假冒AP。其次，在復(fù)雜的無線環(huán)境中，攻擊者發(fā)送地?cái)嚅_重連幀很難抵達(dá)客戶端設(shè)備，即使抵達(dá)了客戶端設(shè)備，但由于快速重連的出現(xiàn)，客戶端設(shè)備并不會(huì)發(fā)送完整的重連幀。

（2）自簽名證書不受信

已知的假冒AP通常采用自簽名的證書，對(duì)于一些證書驗(yàn)證機(jī)制比較嚴(yán)格的客戶端系統(tǒng)而言，自簽名的證書很難被客戶端系統(tǒng)接受。因此，假冒AP無法和客戶端設(shè)備建立TLS鏈路，攻擊的成功率將會(huì)大大降低。

（3）MAC地址易被識(shí)別檢測(cè)

接入點(diǎn)MAC地址的識(shí)別是企業(yè)級(jí)無線網(wǎng)絡(luò)防御假冒AP的一種最重要的檢測(cè)方式。同時(shí)，由于企業(yè)級(jí)無線網(wǎng)絡(luò)中的合法AP之間會(huì)保持聯(lián)絡(luò)，克隆合法AP的MAC地址將會(huì)導(dǎo)致同一局域網(wǎng)下的地址沖突。這使得顯著異常的假冒AP的MAC地址無法逃避防御系統(tǒng)地檢測(cè)。

3 改進(jìn)的假冒AP的設(shè)計(jì)與實(shí)現(xiàn)

為了增強(qiáng)假冒AP的實(shí)際攻擊能力，本文提出了一種改進(jìn)的假冒AP。改進(jìn)的假冒AP實(shí)現(xiàn)了軟件無線電、可信的認(rèn)證證書以及不常用信道這三種技術(shù)的聯(lián)合。

3.1 改進(jìn)的假冒AP攻擊的關(guān)鍵技術(shù)

（1）軟件無線電干擾

作為一種物理層的操作方式，無線電干擾技術(shù)通過發(fā)射器傳輸干擾信號(hào)來打斷無線信號(hào)正常的通信。本文提出了利用軟件無線電干擾合法AP來輔助假冒AP攻擊的思想。在干擾攻擊中，攻擊者首先向目標(biāo)客戶端設(shè)備發(fā)送斷開連接幀，之后等待受害者設(shè)備發(fā)送的探針請(qǐng)求幀。一旦檢測(cè)到來自于目標(biāo)客戶端的還未傳輸完成的探針請(qǐng)求幀，攻擊者立即持續(xù)地向客戶端發(fā)送探針響應(yīng)幀。此時(shí)，發(fā)送探針響應(yīng)幀的時(shí)間間隔應(yīng)小于802.11標(biāo)準(zhǔn)中關(guān)于幀發(fā)送時(shí)間間隔，以此加快響應(yīng)幀的發(fā)送速度，確保目標(biāo)客戶端能夠接收到來自于攻擊者的探針響應(yīng)幀。如果受害者發(fā)送的原始的探針請(qǐng)求被成功干擾，探針請(qǐng)求將不會(huì)被合法AP接收到，也就不會(huì)收到來自于合法AP的探針響應(yīng)。

（2）可信的認(rèn)證服務(wù)器證書

以往的假冒AP的認(rèn)證服務(wù)器大多數(shù)采用自簽名的證書，自簽名證書由于不受客戶端設(shè)備系統(tǒng)信任，在假冒AP攻擊過程中，部分客戶端會(huì)提示證書風(fēng)險(xiǎn)。對(duì)于安全意識(shí)比較高的用戶而言，風(fēng)險(xiǎn)提示會(huì)降低假冒AP攻擊的成功率。為了避免因認(rèn)證服務(wù)器證書風(fēng)險(xiǎn)提示造成的假冒AP成功率下降，本文提出一種通過創(chuàng)建可信證書的方式來提高假冒AP攻擊的成功率的方法。為了最大程度與目標(biāo)企業(yè)級(jí)網(wǎng)絡(luò)的證書類似，本文首先分析了目標(biāo)無線網(wǎng)絡(luò)的證書詳細(xì)內(nèi)容，得到其通用名稱（CN）和其他證書實(shí)體信息。其次，通過注冊(cè)與合法網(wǎng)絡(luò)證書CN類似的域名，字符串上的相似性會(huì)在一定程度上迷惑受害者。最后，使用與受害者網(wǎng)絡(luò)相同的CA來簽名此證書。通過上述設(shè)置，攻擊者的認(rèn)證服務(wù)器證書將會(huì)和目標(biāo)網(wǎng)絡(luò)的證書非常相似。這種可信的認(rèn)證服務(wù)器證書使得改進(jìn)的假冒AP攻擊的成功率進(jìn)一步得到提升。

（3）不常用信道的利用

為了避免信號(hào)的相互干擾，企業(yè)級(jí)無線網(wǎng)絡(luò)在部署時(shí)通常會(huì)將合法AP的工作信道設(shè)置在1、6、11三個(gè)信道?；谶@點(diǎn)事實(shí)，本文提出了一種不常用信道（非1、6、11信道）的利用方式。在攻擊實(shí)施過程中，一方面利用軟件無線電平臺(tái)對(duì)常用信道上的合法AP進(jìn)行持續(xù)地干擾，迫使客戶端關(guān)聯(lián)其他信道上的AP。另一方面在不常用信道上部署擁有可信證書的假冒AP。由于合法AP所處的常用信道被持續(xù)干擾，當(dāng)目標(biāo)客戶端在切換通信信道的過程中，目標(biāo)客戶端關(guān)聯(lián)到假冒AP的可能性得到極大提高。

上述三種技術(shù)手段的聯(lián)合使得改進(jìn)的假冒AP在關(guān)聯(lián)成功率和認(rèn)證成功率方面都得到了極大提升。

3.2 改進(jìn)的假冒AP的實(shí)現(xiàn)

在實(shí)現(xiàn)中，改進(jìn)的假冒AP以O(shè)penWrt作為底層系統(tǒng)，以hostapd-wpe作為假冒AP的主守護(hù)程序。以目標(biāo)無線網(wǎng)絡(luò)的ESSID作為ESSID，設(shè)置EAP方式為PEAP，內(nèi)部認(rèn)證方式為MSCHAPv2，設(shè)置工作信道為不常用的7信道，并根據(jù)目標(biāo)網(wǎng)絡(luò)證書的權(quán)威簽發(fā)CA，在認(rèn)證服務(wù)器上部署相同的權(quán)威CA簽發(fā)的認(rèn)證服務(wù)器證書。硬件方面，以樹莓派作為系統(tǒng)載體，以TPLINK-722N作為假冒AP的硬件載體。同時(shí)，為了具備識(shí)別高層的無線信號(hào)幀和在無線數(shù)據(jù)幀傳送完成前實(shí)施干擾這兩種能力，本文采用搭載在Ubuntu主機(jī)上的軟件無線電平臺(tái)GnuRadio和通用軟件無線電外設(shè)USRP作為無線信號(hào)干擾平臺(tái)來完成干擾任務(wù)。表1中展示了改進(jìn)的假冒AP所需的軟硬件設(shè)備。

表1 軟硬件設(shè)備

3.3 改進(jìn)的假冒AP的攻擊流程

假設(shè)目標(biāo)客戶端設(shè)備尚未連接至合法的AP，攻擊者想要通過假冒AP竊取目標(biāo)客戶端（受害者）的用戶憑證。為了實(shí)現(xiàn)這一攻擊目的，本文提出的改進(jìn)的假冒AP的具體的攻擊流程如下：

（1）識(shí)別受害者設(shè)備發(fā)送的探針請(qǐng)求幀；

（2）攻擊者利用軟件無線電干擾器發(fā)送模塊持續(xù)地向合法AP的常用信道（1、6、11）發(fā)送無線干擾幀，阻止來自于合法AP的探針響應(yīng)，同時(shí)接收模塊保持監(jiān)聽來自受害者設(shè)備的探針請(qǐng)求。由于合法AP無法發(fā)送探針響應(yīng)幀，受害者設(shè)備在信道轉(zhuǎn)換時(shí)將極有可能關(guān)聯(lián)到不常用信道上的假冒AP；

（3）在受害者設(shè)備關(guān)聯(lián)到攻擊者設(shè)置的假冒AP后，攻擊者創(chuàng)建的認(rèn)證服務(wù)器會(huì)向受害者設(shè)備發(fā)送與目標(biāo)認(rèn)證服務(wù)器相同的根CA簽發(fā)的證書。對(duì)于由可信的根CA簽發(fā)的證書，大部分的受害者設(shè)備系統(tǒng)的無線網(wǎng)絡(luò)認(rèn)證模塊并不會(huì)提示證書風(fēng)險(xiǎn)；

（4）當(dāng)受害者客戶端系統(tǒng)接受了假冒AP提供的證書后，受害者設(shè)備和假冒AP之間將會(huì)建立SSL/TLS隧道來完成對(duì)受害者憑證的驗(yàn)證。若隧道內(nèi)部認(rèn)證采用MSCHAPv2，此時(shí)可以利用MSCHAPv2[5]的缺陷來破解還原受害者的用戶憑證，可以完成整個(gè)攻擊。圖2描述了改進(jìn)的假冒AP的攻擊流程。

圖2 改進(jìn)的假冒AP攻擊流程

3.4 實(shí)驗(yàn)結(jié)果與分析

為了驗(yàn)證改進(jìn)的假冒AP的實(shí)際攻擊能力，實(shí)驗(yàn)在同一實(shí)驗(yàn)室環(huán)境下分別創(chuàng)建了兩種假冒AP。一種是本文提出的改進(jìn)的假冒AP，一種是已知的普通假冒AP。實(shí)驗(yàn)中假設(shè)普通假冒AP采用自簽名的服務(wù)器認(rèn)證證書，工作在常用的信道上，并且沒有部署軟件無線電干擾設(shè)備。實(shí)驗(yàn)招募了11位持有主流智能手機(jī)的志愿者，以觀看某視頻站點(diǎn)為由讓志愿者分別連接由改進(jìn)的假冒AP和普通的假冒AP提供的無線網(wǎng)絡(luò)。在連接過程中沒有提示無線網(wǎng)絡(luò)風(fēng)險(xiǎn)和證書風(fēng)險(xiǎn)。

實(shí)驗(yàn)結(jié)果顯示，在普通的假冒AP實(shí)驗(yàn)中，11名志愿者中僅有5人成功通過認(rèn)證，3人關(guān)聯(lián)失敗，3人在關(guān)聯(lián)成功的情況下未能認(rèn)證成功。其中有4名志愿者設(shè)備收到證書風(fēng)險(xiǎn)提示。表2給出了普通假冒AP的實(shí)驗(yàn)結(jié)果。

表2 普通的假冒AP的實(shí)驗(yàn)結(jié)果

在改進(jìn)的假冒AP實(shí)驗(yàn)中，11名志愿者中有9人成功通過認(rèn)證，1人關(guān)聯(lián)失敗，1人在關(guān)聯(lián)成功的情況下未能認(rèn)證成功。其中僅有3名志愿者設(shè)備收到證書風(fēng)險(xiǎn)提示，并且有1人在收到風(fēng)險(xiǎn)提示后仍然選擇信任證書。表3給出了改進(jìn)的假冒AP的具體實(shí)驗(yàn)結(jié)果。

表3 改進(jìn)的假冒AP的實(shí)驗(yàn)結(jié)果

對(duì)比兩組實(shí)驗(yàn)結(jié)果可以發(fā)現(xiàn)，本文中提出的改進(jìn)的假冒AP，針對(duì)普通用戶的攻擊成功率達(dá)到81%，而普通的假冒AP的攻擊成功率僅有45%。改進(jìn)的假冒AP攻擊的關(guān)聯(lián)成功率達(dá)到90%，普通的假冒AP的關(guān)聯(lián)成功率僅為72%。改進(jìn)的假冒AP的證書引起的客戶端設(shè)備證書風(fēng)險(xiǎn)提示比率僅有27%，而在普通的假冒AP下，客戶端收到風(fēng)險(xiǎn)提示比率高達(dá)36%。表4給出了兩組實(shí)驗(yàn)具體數(shù)據(jù)的對(duì)比。

表4 兩組假冒AP成功率對(duì)比

以上實(shí)驗(yàn)結(jié)果可以得知，在同樣條件的網(wǎng)絡(luò)環(huán)境下，本文所提出的改進(jìn)的假冒AP在多種攻擊指標(biāo)上都要優(yōu)于普通的假冒AP。實(shí)驗(yàn)證明改進(jìn)的假冒AP有效地提升了企業(yè)級(jí)無線網(wǎng)絡(luò)環(huán)境下的假冒AP攻擊的成功率。

3.5 緩解措施

假冒AP攻擊能夠成功的關(guān)鍵原因在于兩點(diǎn)：一是企業(yè)級(jí)無線網(wǎng)絡(luò)配置漏洞，包括無線安全配置錯(cuò)誤、自簽名證書、弱的EAP認(rèn)證方式等。二是客戶端設(shè)備對(duì)于無線網(wǎng)絡(luò)證書校驗(yàn)不嚴(yán)格，比如大部分Android系統(tǒng)會(huì)接受自簽名的證書、客戶端設(shè)備會(huì)自動(dòng)連接到已經(jīng)連過的無線網(wǎng)絡(luò)等。

對(duì)于企業(yè)級(jí)無線網(wǎng)絡(luò)管理者而言，首先要正確配置無線網(wǎng)絡(luò)，并指導(dǎo)用戶正確使用無線網(wǎng)絡(luò)。其次，需要部署無線網(wǎng)絡(luò)入侵防范設(shè)施，一旦發(fā)現(xiàn)網(wǎng)絡(luò)范圍內(nèi)出現(xiàn)假冒AP，無線網(wǎng)絡(luò)管理人員應(yīng)及時(shí)清除假冒AP。對(duì)于無線網(wǎng)絡(luò)用戶而言，應(yīng)安裝可信的根證書和服務(wù)器證書、使用安全的EAP認(rèn)證方式、設(shè)置匿名身份和復(fù)雜密碼。

4 結(jié)束語

本文主要研究了企業(yè)級(jí)無線網(wǎng)絡(luò)下的假冒AP攻擊技術(shù)，提出了一種改進(jìn)的假冒AP攻擊技術(shù)，并在實(shí)驗(yàn)室環(huán)境下對(duì)比了已知的假冒AP和改進(jìn)的假冒AP的攻擊能力，證明了本文提出的改進(jìn)的假冒AP的攻擊的有效性。此外，本文還針對(duì)假冒AP攻擊提出了一些相應(yīng)的緩解措施。

[1]Hyunuk Hwang, Gyeok Jung, Kiwook Sohn and Sangseo Park. A Study on MITM (Man in the Middle) Vulnerability in Wireless Network Using 802.1X and EAP [A], international conference on information systems security[C]，2008.

[2]Aldo Cassola, William Robertson, Engin Kirda and Guevara Noubir. A Practical, Targeted, and Stealthy Attack Against WPA Enterprise Authentication [A], Network and Distributed System Security Symposium[C], San Diego, CA, United States，2013.

[3]Mathy Vanhoef and Frank Piessens. Advanced Wi-Fi attacks using commodity hardware [A], Annual Computer Security Applications Conference[C],Puerto Rico,USA，2014.

[4]Matthew Gast. 802.11 Wireless Network: The Definitive Guide[M].2nd Edition.Sebastopol,CA:Oreilly Media, 2005.

[5]Bruce Schneier, Mudge and David Wagner. Cryptanalysis of Microsoft’s PPTP Authentication Extensions (MS-CHAPv2) [M]. Springer Berlin Heidelberg ，1999.