无线局域网MAC地址欺骗攻击的检测第l6卷第2期2006年2月计算机技术与发.展COMPUTERTE【;I-{N()I()(jYA)DEVEI』)P1ENTVL)116N【12Feb.2006无线局域网MAC地址欺骗攻击的检测司纪锋,王美琴2,曹宝香(1.曲阜师范大学计算机科学学院,山东曲阜273165;2.山东省计算中心,山东济南250014)摘要:在无线网络中,攻击者可以修改自己无线网卡的MAC地址为合法站点的地址,从而可以绕过访问控制列表,窃取网络信息,这给无线网络安全带来很大的危害.为了有效地防止和检测MAC地址欺骗攻击,文中在分析无线局域网MAC地址欺骗攻击的基础上,提出一种利用数据包序列号检测MAC地址欺骗攻击的检测方法.该方法不仅能够有效检测MAC地址欺骗攻击,并能迅速查找到入侵源,维护网络的性能和安全.经过试验证明,该方法具有良好的性能.关键词:无线局域网;安全检测;MAC地址欺骗;伪装AP中图分类号:TP393.08文献标识码:A文章编号:1005—3751(2006)02—0232—03 DetectingWirelessLANMACAddressSpoofingAttackSIji—feng,W ANGMei—qin2,CAOBao-xiang(1.DepartnmntofComputerScienceofOufuNomMUniversity,Oufu273165, China;2.ShandongComputerCenter,Jinan250014,China)Al~tract:Inwirelessnetwork,intruderscarlchangetheirMACaddressestolegit imateo nes.Thustheirwirelessfacilitiescarl’tbefoundby accesscontrollist,andtheyCanstealnetworkinformation.Thisisabigthreattow irelessnetwork.InordertoavoidanddetectMACad. dressspoofingattack,bringforwardanewdetectingmethodforthespoofingatta ckbydatapacketsequencenumber.Themethodtofindouttheintruder’Sequipmentisalsobroughtforward.Experimentationprovedt hedetectingmethodbmnghtoutisveryeffective.Keywords:WLAaN;securitydetection;MACaddressspoofing;rogueAP0引言无线局域网(WLAN)技术是无线通信领域最有发展前景的技术之一,其应用已经有了巨大的发展.同时,无线局域网的安全也越来越受到人们的重视.目前应用最广泛的无线局域网标准IEEE802.1ib主要有3个方面的安全措施:a.服务集标识SSID(ServiceSetIdentifier).SSID是一个服务区域的认证ID,只有得到服务区域认证rD,才可以对该服务区域进行访问.b.连线对等保密wEP(wiredEquivalentPrivacy).其在链路层采用RCA对传输的数据进行加密.C.物理(MAC)地址过滤(MediaAccessControlAd—dressFiltering).可以手动地在AP上维护一个MAC地址的访问控制列表,所有被允许访问的MAC地址都被记载在AP上.这3个方面的安全措施对访问控制和网络数据安全收稿日期:2005—05—26基金项目:山东省信息产业专项发展基金项目(20041900048)作者简介:司纪锋(198o__),男,山东淄博人,硕士研究生,研究方向为无线网络,图形图像;曹宝香,教授,研究方向为计算机辅助设计, 数据库.起到了一定的作用,但是其安全防护还是比较脆弱【lJ.由于对流密码算法RCA的不当使用,容易造成初始向量IV重用,使密钥序列重复使用的机会大大增加,而且也没有规定相应的密码分配协议,很容易造成密钥的泄漏.在802.1lb安全措施基础上人们提出了各种加强无线局域网安全的方案,其中比较流行的是采用8o2.1x协议.采用802.Ix协议后解决了一些安全问题,但是还是存在中间人攻击(Man—In—Middleattack)和会话劫持攻击等网络入侵l2J.入侵者之所以能够发起这些攻击,一个重要的原因就是他们利用了MAC地址欺骗攻击.所以,要保证无线网络数据的安全,使用安全性高的协议是一个重要的手段;同时,加强无线局域网的检测,及时发现无线局域网中的安全问题,也是一个重要的方面.在分析MAC地址欺骗攻击的基础上,给出一种利用无线网络数据包序列号的检测方法.这种方法能够检测假冒工作站和伪装AP.最后以伪装AP的检测为例介绍了利用Linux下的Qt语言编程实现的过程.lMAC地址欺骗攻击MAC是一个网络硬件设备的标识,一般是固定的,但是可以通过硬件或软件的方法修改.802.1l无线局域网标准中规定,在MAC层有一个字段用来标识数据帧的源第2期司纪锋等:无线局域网MAC地址欺骗攻击的检测?233? 地址,但是却没有规定对数据帧进行认证操作.接收端不能确定收到的数据帧是MAC地址的拥有者发送的,还是别人盗用地址发送的.攻击者正是利用了这一点,盗用合法用户的地址,同时享用盗用地址的一些权限,从而窃取信息或者破坏网络.MAC地址欺骗主要分为两种:(1)假冒合法的工作站(Station):由于在AP服务范围内的任何无线设备都可以接收到无线局域网的信号,所以通过把自己的网卡设为射频监听模式,攻击者就可以轻易获得网络中合法站点的MAC地址;然后攻击者利用Deauthentication或者Disassociation攻击_3断开合法用户与AP的连接,把自己的网卡MAC地址设置成合法用户的MAC地址,从而可以绕过访问控制列表,使用合法的身份窃取网络信息.(2)伪装AP:由于802.11没有要求AP必须证明自己真是一个AP,攻击者很容易利用无线局域网的这个缺陷入侵网络.AP伪装有两种方式_4J:一种是入侵者利用真实的AP,非法放置在被入侵的网络中;另一种假冒AP 的方式是采用一些专用软件将入侵者的计算机伪装成AP.AP伪装入侵方式具有很强的破坏性,可以实施中间人攻击.非法接入的AP,利用Deauthentication攻击,给一个无线工作站发送一个解除认证帧,这样无线工作站断开与它的AP的连接,然后寻找可以利用的AP.工作站在选择AP的时候,一般选择信号质量较好的AP.而攻击者为了吸引工作站,可以让自己的设备采用较大的发射功率,这样工作站就很容易连接到伪装成AP的攻击者的设备.攻击者利用获取的信息,可以连接到合法AP上去.从而无线网络数据就会通过入侵者的设备,他可以任意地截获数据.对于不修改MAC地址的非法AP,可以在安全检测设备上保存一个合法AP的MAC地址列表, 通过网络监听的方式,查看网络中正在使用的AP是否是合法的,但是如果攻击者把自己非法AP的MAC地址改成网络中合法AP的MAC地址,这样的检测方法就不起作用了.备共用一个MAc地址,则检测到的序列号将是时大时小的,不是严格的递增.因此可以根据MSDU序列号来检测无线局域网中是否有人盗用合法地址.要分析序列号,首先要捕获数据包.网卡在捕包的时候,会漏掉一部分数据包,而且在没有入侵者的情况下,检测到的数据包序列号会发生突变:(1)无线网卡重新初始化,数据包的序列号会再次从0开始.(2)数据包的序列号是模4096的,所以当数据包的序列号到4095后,会跳变为0.(3)无线工作站漫游出检测范围,然后又漫游回来.(4)lucent802.1lb无线网卡开始用低的序列号以递增的形式发送数据包,但是其数据包序列号有时会跳到和与其关联的AP的数据包序列号相对应,在经过一个简短的时间后,再跳到其初始值.由于以上情况的存在,不能通过检测源地址相同的MSDU的序列号是否严格加1来进行检测,而且由于一个MSDU可能由几个序列号相同而分段号不同的数据包组成,所以,文中采用的方法是:检测源地址相同的前后两个数据包的序列号是否在同一个范围.当发现了无线局域网中存在非法的工作站或者AP后,下一步的工作就是找出它们的位置了.将网卡设置为监听模式后,网卡捕获数据包的前144个字节是Prism MonitorHeader结构,这是网卡在捕获无线帧时添加在802.11MAC帧头前的数据,主要包括信号强度,传输速率等信息.其中的信号强度是和检测设备和数据包的发送设备之间的距离成正比的:距离远,其值就小;距离近,其值就大,所以可以根据信号强度来找出入侵者的设备.查找方法是:找出入侵者设备的MAC地址后,(如果是盗用合法设备的MAC地址,需暂停使用合法设备)分析源地址是入侵者MAC地址的数据包的信号强度,因为检测系统是集成到PDA中的,所以可以拿着检测设备,沿着信号增强的方向寻找,最终就可以发现入侵者的设备.2MAC地址欺骗攻击检测和入侵者设备定位方法3检测实现在无线局域网标准MAC帧头中有一个序列控制字文中以伪装AP的检测为例,介绍怎样检测网络中是段[5l,如图1所示.否有入侵者盗用合法地址.为了检测的方便,定义以下的Cc1.~fl3.川数据结构:上’:二:二二=L兰■’A(¨.P图lMAC帧头序列控制字段分为分段号子字段和序列号子字段.分段号子字段表明一个特定的介质服务数据单元(MS—DU)的分段号;序列号子字段从0开始,对于每一个发送的MSDU,序列号依次加1.无线网络设备的MAC地址虽然可以修改,但是MSDU序列号是由硬件决定的,用户无法随意修改.如果入侵者盗用合法地址,则会有两个设structfakeapdetstr{QStringmacaddress;//检测AP的MAC地址OStringapssid;/值测AP的SSIDQTimetin1estart;//开始检测的时间tx3olisfakeap;//标志检测的AP是否是伪装AJuim32一tstartmarks;uim16一tintervaltime;uint8一tstartid,endiduim16一tserialnum;uint16一tabserialnum;-?234?计算机技术与发展第l6卷uintl6一tserialerrnum【10J;structfakeapdetstr*next;//指向下一个检测的AP}一attribute一((packed));因为AP发送数据包的序列号根据网络的通信情况,在十分钟左右就可能循环一遍,跳变一次,所以只对最近一段时间内的序列号分析情况进行统计,这段时间用t来表示,是动态改变的.把t细分为相等的10小段,每小段的时间长度用intervaltime来设置;用startmarks来记录t 与开始检测时间的差(以ITIS为单位).serialerrnum数组用来记录在每小段时间内出现的不符合制定的序列号规则的数据包的数目.在这10小段时间中,包括最近捕获数据包的捕包时间的小段内发生的序列号错误累积在se—rialermum[endid],统计时间t中时间最早的小段内发生的序列号错误累积在serialermum[startid].在实际的检测过程中,发现AP可能在准备发送的数据包的时候是严格按照序列号递增的,但是发送出来的数据包不是严格递增的.有时先发送了序列号大的管理帧.然后发送序列号小的数据帧,或者先发送了序列号大的数据帧,然后发送序列号小的管理帧,不同的AP,情况不一样.但是前后两个数据包序列号差值一般在10以内,而且管理帧的序列号是严格增加的,数据帧的序列号也是严格增加的.根据这些情况,确定的检测原则是:设立两个标准,一个是检测管理帧序列号的严格增加,用serialnum记录已经检测到的管理帧的最大序列号,如果当前检测到的数据包是管理帧,且其序列号比serialnum小,则记为一次序列号错误;另一个是,对所有的数据包,用abserialnum记录检测到的数据包序列号最大值,如果当前检测的数据包的序列号值与abserialnum差值的绝对值大于30,则记为一次错误.检测中用到的时间关系如图2所示.段内,如果不在,需要将统计时间f向后移动一个interval—time,对应的endid=(endid+1)%10,如果此时endid=startid,则需要将serialermum[startid]的值清零,同时star—rid=(startid+1)%1O,并将startmarks增加一个imerva[一time.设templmint为指向检测AP数据结构的指针,即: temppoint--”serialermum[temppoint--*startid]=O;temppoint--*startid=(temppoint--*startid+1)%10;temppoint--*starmaarkstemppoint---~starmmrks+temppoint--~in—tervaltime;循环进行,直到当前捕包时间落在统计时间段内.然后分析当前的数据包的序列号是否符合标准.如果不符合,将对应的serialerrnunl数组内容加1.最后统计seri—alermum数组的和,如果大于某个值,将isfakeap置为True,同时向用户报警.考虑到突变情况的存在,经过实验测试,把这个值设为4.4结束语由于目前无线局域网安全的脆弱性,使得无线网络容易被攻击.要保证数据的安全,只采用新的安全措施和标准是不够的.加强无线局域网的检测,及时发现安全问题,并采取措施加以解决,才能更好地维护网络的安全. 通过试验测试,文中提出的MAC地址欺骗的检测方法具有良好的性能.参考文献:[1]李庆,梁学俊,江汉红.无线局域网WEP协议安全漏洞研究[J].微机发展,2004,14(11):133—135.[2]MishraA,ArbaughW A.AnInitialSecurityAnalysisofthe lRg.~802.1xStandard[EB/OL].http://www.meme~- /users/jlm/blogid1785350,2002.。
