簡析無線網絡攻擊的12種類型與防護建議
無線網絡應用已經無所不在,企業組織是時候重視無線網絡的應用安全了!
盡管知道開放的無線網絡并不安全,但很多企業和個人還是高度依賴于使用這種網絡模式,甚至明明知道會有被攻擊的風險,但還是會連接。因此,企業安全團隊必須盡力保障無線網絡的安全性,以保護使用它們的用戶、設備和服務系統。而做好保護的前提是,要讓用戶了解可能出現的無線網絡攻擊主要有哪些類型,應該采取哪些適當的保護措施。
無線網絡攻擊的類型
從攻擊形態上看,無線網絡攻擊主要可以分為三個大類:被動型攻擊、主動型攻擊以及針對網絡組件的攻擊:
- 被動攻擊一般發生在攻擊者處于無線網絡范圍內并可以監視無線通信內容時,最常見的被動攻擊是數據包嗅探。由于被動攻擊者只是監聽網絡數據,而不是傳輸數據,因此被動攻擊通常檢測不到。
- 主動攻擊是指攻擊者部署非法無線接入點,誘騙人們錯誤連接上去。由于主動攻擊可以攔截、監視和改變通信內容,它們常常用于執行中間人(MitM)攻擊等活動。
- 針對網絡組件的攻擊指攻擊者通過攻擊無線網絡的某個組件,比如利用接入點未打補丁的固件或使用接入點的默認密碼,非法獲得無線網絡的管理訪問權限。
按照這三種大類,我們可以梳理出一些更具體的無線網絡攻擊形態,主要包括:
01、數據包嗅探攻擊
數據包嗅探是指獲取無線網絡中原始流量的行為。在日常網絡管理中,管理員需要通過Wireshark等數據包嗅探器檢測、監控和收集網絡數據包,以了解網絡系統的運行情況,這是一種合法的監控活動,但數據包嗅探器也可以被攻擊者非法使用,用來違規獲取網絡流量。
02、非法接入攻擊
非法接入攻擊是指攻擊者將任何未經授權的接入點連接到網絡。如果企業的無線網絡中被攻擊者成功放置了非法接入點,那么網絡中的應用和數據將不再安全,因為攻擊者隨時可以訪問它所連接的網絡。
03、雙面惡魔攻擊
無線網絡釣魚是指惡意分子創建模仿合法的網絡接入點,誘騙合法用戶連接。雙面惡魔是一種常見的用于Wi-Fi網絡釣魚的攻擊手法。它模仿成是合法的已授權接入點,并使用授權接入點的SSID來誘騙用戶連接上去。有時,攻擊者還會禁用授權接入點來破壞整個網絡。即使授權接入點沒有被禁用,雙面惡魔仍然能夠獲取一些有價值的網絡流量。
04、欺騙攻擊
欺騙攻擊指攻擊者假裝是合法用戶或服務來進行網絡訪問或數據傳輸活動。欺騙攻擊包括以下幾種類型:
- MAC地址欺騙,主要發生在攻擊者檢測到授權設備上的網絡適配器MAC地址,企圖冒充授權設備建立新連接。
- 幀欺騙(又叫幀注入),發生在攻擊者發送看似來自合法發送者的惡意數據幀時。
- IP欺騙,發生在攻擊者使用篡改過的IP數據包來隱藏數據包的真實來源時。
- 數據重放,發生在攻擊者捕獲無線傳輸的數據,篡改傳輸內容,并將篡改后的內容重新傳輸給目標系統時。
- 身份驗證重放,發生在攻擊者捕獲用戶之間的身份驗證交換內容,并在攻擊中重新使用這些交換內容時。
05、加密破解攻擊
許多過時的無線網絡安全協議也會很容易受到攻擊,包括有線等效隱私(WEP)和Wi-Fi受保護訪問(WPA)等,其中,2003年推出的WPA比WEP更有效。它使用比WEP更強大的加密和更好的身份驗證。然而,WPA也容易受到攻擊,目前也不應該繼續使用。后續推出的WPA2于2004年正式取代了WEP,它包含了AES加密技術。而2018年推出的WPA3則提供了比WPA2更強大的加密能力。
06、MitM中間人攻擊
MitM攻擊是一種第三方冒充合法通信方的竊聽攻擊,主要發生在網絡犯罪分子竊聽兩個合法用戶(應用)之間的通信內容時,比如兩個用戶相互通信,或者一個用戶與應用程序或服務進行交互。攻擊者會將自己偽裝成是合法的用戶,從而攔截敏感信息并轉發信息。
07、DoS攻擊
DoS攻擊可以阻止合法用戶正常連接到無線網絡,一般發生在惡意分子用大量流量阻塞網絡時,從而使網絡不堪重負,并使合法用戶無法正常訪問。
08、無線干擾攻擊
與DoS攻擊一樣,無線網絡干擾攻擊也會使網絡系統不堪重負,這樣很多合法用戶將無法連接到網絡。無線干擾攻擊的一個典型做法就是向某個網絡接入點發送大量流量,以“阻塞”其合法連接。
09、無線搜尋攻擊
無線搜尋又叫接入點映射,不法分子帶著無線設備(通常是電腦或移動設備)四處搜尋,查找那些可以自由連接的開放式無線網絡。很多企業的無線網絡由于疏忽等原因,未設置完善的安全措施,這樣就讓攻擊者可以趁虛而入。
10、戰艦式攻擊
戰艦式攻擊指攻擊者蓄意向企業組織投寄針對無線網絡的物理監視設備,這類設備一旦進入企業組織內部,就會自動連接到目標無線網絡,并采集外發敏感數據。這種攻擊需要特定的攻擊設備來配合,并且攻擊的目的性會非常明確。一旦設備進入受害企業無線網絡信號的覆蓋范圍,就會伺機攻擊網絡。
11、盜竊和篡改
攻擊者可以竊取或破壞無線接入點和路由器,從而對無線網絡發動物理攻擊。這些攻擊不僅阻止用戶訪問網絡,導致網絡運行異常,從而導致業務中斷和收入損失,還會使受害企業蒙受無線網絡系統維修的經濟損失。
12、默認密碼漏洞
企業級無線網絡應用是絕不應該使用默認密碼和SSID的,這將使攻擊者能夠輕易發現員工使用的路由器,進而發現該路由器所含有的潛在威脅漏洞。默認密碼和廠商提供的密碼常常記錄在消費級路由器的使用說明中,安全管理人員應及時修改密碼,防止未經授權的用戶看到和使用。無線網絡應用應該遵循密碼安全管理的最佳實踐,比如不要使用容易猜到的弱密碼、定期維護修改密碼。
無線網絡安全防護建議
企業組織可以按照以下建議加強無線網絡應用的安全防護,其中基本性的安全措施包括:
1. 如果接入點和客戶端設備能夠支持WPA3,請盡快使用這種最新的無線網絡安全標準。WPA2仍然也是不錯的選擇,但是WPA3可以提供的防護能力將更加可靠和完善。
2. 為每個無線網絡接入點設置一個獨特的、難以猜到的強密碼。
3. 確保所有網絡組件版本及時更新并合理配置,最大限度地減少可利用的漏洞。
4. 盡量減少或禁止接入點的遠程訪問,始終將默認接入點密碼改為獨特的、難以破解的密碼。這可以阻止隨意性的攻擊者通過互聯網連接到接入點,并輕松獲得控制權。
除了這些基礎無線安全措施外,有條件的企業組織還應該為其無線網絡實施以下安全控制措施:
- 將無線網絡與其他網絡系統區分開。這常常可以使用防火墻、虛擬局域網或其他網絡邊界執行技術來實現,同時執行限制流量進出的安全策略。
- 部署無線網絡特有的安全技術。這包括無線入侵防御系統(用于查找攻擊和可疑活動)以及無線網絡安全控制器(用于管理和監控整個企業的接入點)。
- 應定期開展安全意識培訓活動,向員工宣講無線網絡攻擊和安全最佳實踐。建議員工避免使用開放網絡。
