【论文】 浅析无线钓鱼AP的检测研究方案

1、无线钓鱼接入点接入互联网，从客户端到服务器端的链路上就会多出无线钓鱼接入点这一跳。

可以通过Ping特定服务器找出在无线网络链路上的差别:

在应答时间和TTL上的值会有所不同，可以看出连接无线钓鱼接入点的链路往返的时间要比连接正常接入点往返的时间长，连接无线钓鱼接入点TTL的值要比连接正常接入点的值小。除此之外还可以通过Traceroute进行路由追踪，可以发现无线钓鱼接入点的链路上要明显比正常链路上多出一跳路由。

2、利用无线AP的静态信息进行检测

MAC地址是由48个二进制数组成，前24位是由国际组织固定地分配给相应的厂商，后24位是由厂商自己来分配的。

在搭设无线网络接入点时，通常会使用同一厂商的设备，这样通常具有相同ESSID的无线网络接入点的MAC地址的前24位通常都是一样的。根据MAC地址的厂商标志建立索引，对所获取的各个MAC地址进行归类，检查每一类MAC地址的数目。如果有多个真实接入点，那么这些接入点极有可能其MAC地址中的厂商标志是一样的，而虚假接入点一般会有不同的厂商标志。

由于虚假接入点可以通过修改发送帧中的信息让受害者误判MAC地址信息，所以MAC地址无法作为绝对的判断信息。

3、无线AP动态信息的安全检测

（1）基于到达指定IP地址路径的检测

主要是根据：一个由相同的ESSID的无线AP组成的无线网络，在相近的时间内对于每一个主机到达指定的IP地址的路由路径应该是一样的。

对比分析连接到伪造无线AP和链接真是忑网络接入点时，对到达一个指定IP所经过的路径。

（2）基于到达指定网络可达性的延迟和TTL的检测

主要是根据：一个由相同的ESSID的无线AP组成的无线网络，对于到达相同网络的网络延时应该相同或者相近。

从主机到达指定网络和主机到达默认网关的延时差应该是相等的。在伪造无线接入点的出口设置设为真的无线网络接入点时，主机到达指定网络和主机到达默认网关的延时差会有很大的差别。

还可以测试TTL值。依次递增IP报文中的TTL值获取报文经过的网络路径上各个节点的地址，从而找出TTL所对应的虚假无线接入点。也可以直接利用Ping命令返回的TTL的值进行分析，发现虚假接入点。

（3）利用收敛法定位虚假无线AP

同之前看过的收敛法相同，在四个角分别测一下，找最大的四分之一部分，依次缩小范围。