昨晚,一年一度的“315晚會(huì)”隆重上演,對(duì)消費(fèi)者權(quán)益的保護(hù)深得人心。晚會(huì)現(xiàn)場(chǎng)通過(guò)一個(gè)自拍游戲活動(dòng)向大家展示了黑客通過(guò)“無(wú)密碼免費(fèi)wifi”竊取連接人用戶(hù)隱私的場(chǎng)景。此后,這一場(chǎng)景成為大家熱議的話題。今晨,山石網(wǎng)科的安全專(zhuān)家便詳細(xì)揭秘了這一被稱(chēng)為“Wi-Fi中間人攻擊”的攻擊原理。
什么是中間人攻擊?
中間人攻擊的概念最早應(yīng)該是在密碼學(xué)中定義的,所以它并不是什么新鮮的東西。密碼學(xué)中舉例通常就用Alice、Bob和Eve來(lái)說(shuō),我們也遵照這一習(xí)慣。本來(lái)Alice是想跟Bob通信,但沒(méi)想到通信的鏈路被攻擊者Eve有意的切斷,同時(shí)Eve假裝Bob跟Alice建立了通信鏈路,又假裝Alice跟Bob建立了通信鏈路,而這一切Alice和Bob都全然不知,也就是對(duì)于Alice和Bob來(lái)說(shuō)Eve是透明的。這樣Eve就能合法的把Alice發(fā)給Bob數(shù)據(jù)存下來(lái)再重新傳給Bob,反過(guò)來(lái)對(duì)Bob發(fā)給Alice的數(shù)據(jù)也是一樣。你當(dāng)然知道這發(fā)生了什么事。
中間人如何攻擊?
從中間人攻擊概念中你會(huì)發(fā)現(xiàn)為達(dá)到中間人攻擊的目的,必須具備兩個(gè)技術(shù)條件,首先就要讓本來(lái)應(yīng)該互相通信的雙方的數(shù)據(jù)流量都從攻擊者處轉(zhuǎn)發(fā)或中繼,我們稱(chēng)為流量牽引;其次,流量牽引過(guò)來(lái)了攻擊者還要讓通信雙方對(duì)他沒(méi)有任何懷疑,這里我們稱(chēng)為身份偽裝。
在有線網(wǎng)絡(luò)環(huán)境中,流量牽引不太容易。局域網(wǎng)中需要使用ARP欺騙技術(shù),而廣域網(wǎng)中需要使用DNS欺騙技術(shù),容易被防護(hù),也容易被發(fā)現(xiàn)。
在Wi-Fi的環(huán)境中,你會(huì)發(fā)現(xiàn)達(dá)到上面所謂的中間人攻擊技術(shù)條件非常容易,攻擊者只需要使用跟合法接入點(diǎn)同樣的SSID(如果加密的話,還要認(rèn)證/加密算法相同,并且預(yù)共享秘鑰相同),然后讓偽造接入點(diǎn)的功率大于合法接入點(diǎn)(相對(duì)被攻擊者而言)就可以了。攻擊者再以客戶(hù)端的身份連接到合法接入點(diǎn),在中間中轉(zhuǎn)被攻擊者跟合法接入點(diǎn)之間的流量,數(shù)據(jù)都能夠被明文監(jiān)聽(tīng)下來(lái),或者進(jìn)一步實(shí)施更高級(jí)的攻擊手段。
“Wi-Fi中間人攻擊”的攻擊原理
如何進(jìn)行安全防護(hù)?
由于Wi-Fi本身不具備更多地安全機(jī)制,因此在Wi-Fi上層考慮使用VPN加密的方案是Wi-Fi服務(wù)提供者應(yīng)該考慮的。這樣即使用戶(hù)接入到偽造接入點(diǎn)上來(lái),數(shù)據(jù)也能得到保護(hù),不被竊聽(tīng)。部署上可在wifi和Internet中間部署山石網(wǎng)科防火墻做認(rèn)證。
“Wi-Fi中間人攻擊”的防護(hù)方案
考慮到方案的成熟度和廣泛適用性,L2TP Over IPSec VPN是一個(gè)不錯(cuò)的解決方案。因?yàn)閃indows、Mac、iOS、安卓等終端產(chǎn)品都默認(rèn)支持L2TP Over IPSec VPN客戶(hù)端功能,無(wú)須額外安裝客戶(hù)端軟件。同時(shí)L2TP Over IPSec VPN服務(wù)端功能也得到了防火墻廠商的廣泛支持,Wi-Fi服務(wù)提供者能夠有更多的選擇。
京公網(wǎng)安備 11010502049343號(hào)