无线校园网络钓鱼AP攻击检测技术

2022-09-21 16:46:25 来源:写作指导

摘要:信息时代下为校园网络的全面覆盖创造了有利条件,无线校园网络的落实,在一定程度上为教师与学生提供了便利条件,能够随时随地查询教育资料以及合理安排学习时间。无线校园网络的运行,在优化教学条件的同时,也面临着网络钓鱼AP的攻击、窃取个人信息、损坏个人数据等。此次研究的目的是及时、准确地检测无线校园网络钓鱼AP攻击。应用理论分析与技术分析的方法,明确钓鱼AP攻击检测关键点,运用不同方法不同角度对钓鱼AP进行检测,制订完善的检测方案,以顺利完成检测任务。

关键词:无线校园网络;钓鱼AP;管理帧;数据包传输

校园网络的普及,为现代化教育改革步伐的加快提供了助力,协助高校科学开展教育活动,课堂教学与线上线下结合教学无缝衔接,丰富教学资源,完善教学模式,尤其是学生学习能打破时间与空间的限制,随时随地完成学习任务。无线校园网络钓鱼AP攻击检测技术具有突出的应用优势,针对无线钓鱼AP的隐蔽性攻击能够准确识别,并且客观应对其破坏性与检测难度高等问题,方便无线校园网络的管理,有助于提高无线校园网络维护效率。

1深层次剖析无线钓鱼AP攻击

根据对无线校园网络的研究发现,无线钓鱼AP攻击是常见安全隐患之一。为了更好地解决该问题,充分发挥出无线校园网络钓鱼AP攻击检测技术的作用,必须对无线钓鱼AP攻击深层次剖析,掌握其攻击原理的基础上,制订行之有效的应对方案[1]。所谓无线钓鱼AP攻击,其主体为非法AP,通过对公共场合的入侵,模仿合法AP参数进行信息调整,以此冲破用户网络阻挡,非法连接其网络账户,破坏用户网络安全,窃取隐秘信息等,对网络安全造成极大威胁。现代化校园几乎实现了网络全覆盖,尤其是扩展服务集网络结构的建设,依校园整体框架为载体,全面布置网络服务器,随后讲无线网络覆盖范围扩大,确保教师与学生能够随时随地使用无线网络,不会受到任何地点或者建筑结构的限制。师生在使用无线网络期间,若出现连接信号虚弱或者断开的现象,或是数据包丢失,信息无法传输或者被阻塞,用户会寻找新的同名AP更换登录,这期间是无线钓鱼AP攻击的关键时机,攻击者通过对合法AP参数的模仿,待用户切换登录AP过程中,非法钓鱼AP趁机攻击用户网络[2]。期间无线非法钓鱼AP会做出如下攻击。第一,抓住用户发送登录合法AP的请求;第二,非法钓鱼AP持续攻击合法AP,复制合法AP的密钥,同时攻击SSID与加密处理,将其传输至非法钓鱼AP,随即将发射功率放大;第三,借助无线阻塞攻击的方式,对用户登录合法AP进行干扰,同时营造出在信道冲突的假象,引导用户认合法AP存在故障,同步向合法AP发出请求占用信道的信号,成功阻隔用户与合法AP的连接[3];第四,以特殊手段迫使用户不能连接其他合法AP,必须重新发送连接请求,这时非法AP会迅速占领信道,用户只能选择非法AP。

2无线校园网络钓鱼AP攻击检测技术的研究

2.1针对无线钓鱼攻击构建特定检测MAC管理帧

无线校园网络钓鱼AP攻击检测技术的应用,必须按照IEEE802.11协议标准,放大网络设备连接过程中,管理帧的协调、管理通信等功能,保证设备间消息及时传输,具体涉及以下几方面。一是可访问网络的查找;二是移动设备连接AP介入点的管理;三是网络设备验证;四是信息与服务同步。当前的无线校园网络,因为覆盖范围比较广,所以会出现SSID中设置多个AP的情况,这期间为了有效阻隔非法AP攻击,需注意对AP相关参数进行及时保护。尤其是Beacon(信标帧)、BSSID(MAC地址)、SSID(无线网络名称)、ProbeRequest(探测相应帧)等,此外还需要随时了解AP的接受信号强弱变化,掌握准确的芯片生产信息,积极检测相应帧长度波动,在此基础上,检测无线校园网络AP的安全性[4]。对于检测中出现的特征指纹缺失或者薄弱环节等,都可以借助无线抓包工具及时捕捉,修改技术的辅助下,将帧控制中部分问题环节修改,特别是MAC帧头中,打造更完善的管理帧框架,随后分别发送至无线AP,及时对传输后的相应信息指纹进行收集。帧控制又被称之为FrameControl,主体为两个字节,其中一个字节为固定属性,另一个字节为灵活调整属性,可以根据AP的需要组成特殊管理帧,可能性为255种。受到信息传输过程的影响,信息指纹收集的过程比较复杂,消耗时间也比较长,这种情况下,就需要提前创建特征指纹库,基于合法AP运行下,科学利用网络空闲空间,同时观察信号的稳定性,当信号处于最佳状态下,及时对响应帧位置加以标注,随后筛选重复的信息指纹,达到提高无线钓鱼攻击信息筛选与安全检测的效率[5]。无线校园网络背景下,对钓鱼AP的检测,打造特定MAC管理帧检测体系,科学规划检测步骤。第一,对无线校园网络中的AP列表进行检测,前提是无线AP必须为相同BSSID,随后按照筛选顺序,分别连接无线AP,在LORCON的辅助下,对无线AP中基本构造以及注入等进行分析,并捕获信息源,分析信息指纹等。此外,还需要Libpcap开源库的加入,为管理帧构造函数提供基础,并且帮助其提高对FrameControl参数甄别分析。正常管理帧当值参数为0,无线校园网络处于正常状态,若当值参数调整为1~255,则需及时向特定MAC管理帧发送无线校园网络循环语句,同步对无线AP响应帧观察,搜集特征指纹与响应特征码。期间,将响应特征码与不响应特征码分别设置为1、0。积极梳理响应帧类别,无线校园网络中常见的响应帧包括关联响应帧、认证帧、接触认帧这3个方面。待梳理完响应帧类别后,开始比较检测的AP。第二,合法AP检测过程中,观察对应响应状态,不会出现异常波动现象。非法钓鱼AP检测中,其本身设置与合法AP不同,特别是芯片、运行轨迹与驱动信息,这些都会在检测过程中出现不同程度的异动。通过MAC管理帧的检测分析可以发现,其识别的准确性非常高,检测的稳定性理想,不容易被伪造,并且可以覆盖无线校园网络全过程,以服务端为中心实时运行[6]。比较适用于无线校园网络中安全性与稳定性要求极为严格的检测中,同时网络结构中明确规定不允许明文对网站进行登录,无线不能对论坛或者邮箱等进行访问。

2.2网络协议路由基础上的钓鱼AP跟踪检测

对于钓鱼AP攻击检测技术来讲,除了上述方法之外,还可以从网络协议路由角度出发,对钓鱼AP攻击进行全方位检测。所谓网络协议路由跟踪检测,基础为网络路由,网络运行与用户查询等过程中,源主机会及时发送用户需要的信息,从此处开始便对数据包信息进行跟踪,一直到其进入网络路由后,实时监督。数据包在传输过程中会接触到所有网络路由器,这期间的跳数被称之为生存时间,生存时间在路由器接受数据包、转化数据包等过程中会被减少,待生存时间变成0后,数据包会被系统丢弃,该过程的运行,主要目的是避免网络系统中数据被持续传递,增加无线校园网络损耗。网络协议路由接收到Ping命令后,会迅速与路由器对数据包进行追踪,当然网络协议路由数量比较多,因此在追踪期间,合法AP接受与转出数据包期间,生存时间都会变化,钓鱼AP的生存时间会明显小于正常值,并且响应的时间也会延长,根据这一变化,帮助无线校园网络完成钓鱼AP攻击检测[7]。路由跟踪的完成,需要TCP/UDPTracert技术的支持,通过SYN握手数据包,及时对网络协议路由系统进行扫描,随后提取其中的IP地址,及时了解节点运行情况,以此达到路由实时跟踪的目的。根据路由器采集期间所传输的目标端口不可达信息,迅速生成差错报文,这样就可以了解到AP的合法性与非法性。具体运行中需要注意:UDP数据包端口号必须为源主机,并且还要>32768值,生存时间初始值为1,根据数据包传出的顺序,观察生存时间的变化,待由1到0后,数据包被丢弃,源主机随之接收到差错报文,及时获取路由器地址,以此对数据包进行传输,得到无线校园网络覆盖的所有路由地址后后,达到最终传输的目标主机,及时将差错报文实施上传,最终完成网络协议路由跟踪。差错报文提取期间,受到传输时间的影响,往返时间会出现不同程度的推移。这期间需要交互式数据包引导处理程序的辅助,进一步对探测框架进行完善,做到实时处理差错报文,迅速解析后将其存储至无线校园网络检测数据库中[8]。AP路由相关信息的分析以及数据存储,主要以路由器IP地址为基本比较对象,与其一致代表其为合法AP,与其不一致代表其为非法AP。无线校园网络中的合法AP管理十分严格,均统一由网络管理员控制,根据无线校园网络需求合理配置。钓鱼AP在跟踪期间,对于差错报文的处理与合法AP明显不同,虽然运行流程相同,但是差错报文返回期间却存在明显差异,不仅会延长返回时间,还会增加一跳,据此确定钓鱼AP。该检测方法在实际应用中具有操作灵活的特点,同时不易于伪造,对于隐蔽性比较高的钓鱼AP依然能够迅速捕捉与准确识别,不会局限于安全等级要求,可以进行无线访问,因此在应用中备受关注。

3结语

综上所述,钓鱼AP严重威胁到了无线校园网络安全,其能够窃取用户信息,造成数据丢失。面对这种情况,需从安全检测角度出发,科学应用无线校园网络检测技术,对钓鱼AP实时检测。深层次剖析钓鱼AP对无线校园网络工攻击的原理,随后明确对钓鱼AP检测的关键点,以此为载体完善钓鱼AP检测方案,加入MAC管理帧检测与网络协议路由检测环节,针对性地进行钓鱼AP检测,及时了解无线校园网络安全状态,根据检测情况调整安全防护策略,由此达到提高无线校园网络安全性的目的。

作者:高习明 李华 单位:青岛幼儿师范高等专科学校