随着无线网络技术的普及发展,基于IEEE 802.11标准的无线局域网(WLAN)应用日趋广泛。然而由于无线信号的空中广播本质以及协议设计的缺陷,WLAN的安全性受到了极大威胁[1]。现有的安全策略,如MAC地址过滤、关闭SSID广播、IEEE802.11i的安全防护问题日益突出。而作为弥补手段之一的无线802.11蜜罐近年来越来越多地受到关注。
无线802.11蜜罐[2]是等待攻击者或恶意用户访问的无线资源,它通过搭建具有无线服务资源平台的蜜罐,诱使攻击者入侵,将攻击者拖延在该蜜罐上,使得攻击者花费大量精力对付伪造的目标,达到消耗攻击者的资源、降低攻击造成的破坏程度,从而间接保护真实的无线系统,同时记录攻击频率、攻击手段、攻击成功的次数、攻击者的技术水平及最容易被攻击的目标等真实统计数据。
1 典型的无线802.11蜜罐
蜜罐蜜网技术已经被广泛应用于各种网络环境上,用于监视攻击者的各种入侵行为,其大量的研究工作也已卓有成效地展开。无线802.11蜜罐作为蜜罐技术的一种,由于多应用于WALN,使得近年来研究工作也,愈来愈受到关注[3]。
1.1 WISE
WISE(Wireless Information Secuity Experiment)于2002年在华盛顿完成,项目旨在监视未授权的接入、使用和窃听,并收集WALN黑客工具和技术的信息。采用802.11b,使用高增益天线增加信号覆盖范围,任何进入WISE的企图都被认为是可疑的。
1.2 简易无线802.11蜜罐
参考文献[2]分别介绍了两种基于Honeyd和FakeAp的简易无线802.11蜜罐,通过 Honeyd模拟接入点后的内部网络,以及模拟TCP/IP协议栈构建伪装的AP,可同时监视攻击者的探测攻击行为。基于FakeAP实现的无线802.11蜜罐中,通过FakeAP发送大量的802.11b信标数据帧,进而伪装成大量的AP来迷惑攻击者。
Mark Osborne通过搭建接入点以及利用笔记本上的无线网卡监视无线流量,建立了一个简易的无线802.11蜜罐系统,同时开发了一套如图1所示的无线入侵检测系统(WIDZ)。
1.3 纵深欺骗型无线802.11蜜罐
参考文献[4]提出了一种三层环系的纵深欺骗无线802.11蜜罐。最核心层为最深的欺骗,由内向外欺骗强度逐渐减弱。外层采用FakeAP模拟一个或多个参数可调的接入点;中层使用Honeyed伪造一个包括网络服务器,客户工作站;无线服务的有线网络,同时整合了Snort IDS;内层为蜜罐集逻辑结构,蜜罐被设计为一台Linux Mandrake 9.0机器管理所有欺骗性资源,并提供蜜罐内所有活动的logging功能。从内到外形成金字塔结构,同时内层对缓冲区溢出,中层对Nmap OS扫描和Nessus弱点扫描,外层对Kismet和Netstumbler嗅探均可作出欺骗性响应,三层环系以及金字塔结构如图2所示。
1.4 Hive
Hive基于Linux Live CD环境, 提供了搭建独立无线蜜罐的工具包括FakeAp、Honeyed等。
1.5 HoneySpot
HoneySpot[5]旨在建立一个提供Wi-Fi接入服务的场所,同时该场所的价值在于被探测、攻击和入侵。HoneySpot分为公共和私有两种,公共HoneySpot提供接入开放WLAN;私有HoneySpot则分为基于WEP、WPA、WPA2的三种无线网络。同时HoneySpot具有五个模块:无线接入点(WAP)模块提供无线网络基础架构;无线客户端(WC)模块模拟连接到HoneySpot的合法终端用户;无线监视(WMON)模块收集整个HoneySpot内网络流量的设备;无线数据分析(WDA)模块分析WMON模块收集的所有网络数据;有线基础设施(WI)模块(可选)为HoneySpot模拟真实的有线网络环境。HoneySpot的详细结构如图3所示。