流量劫持是如何产生的？（五）

流量劫持是如何产生的？（五）

13. WiFi 热点钓鱼

上期简单的说了无线密码的破解。但若本来就知道密码的情况下，又如何发起入侵呢？

这种场合很常见，在一些商场、餐厅、旅馆等地方，无线网络即使有密码，大家一般也能在墙上或卡片上找到，处于半公开的状态。或者是破解了邻居的无线密码，但无法进入路由器后台，又该如何继续？

如今越来越智能的无线设备，已能很好的防御诸如 MAC 欺骗以及 ARP 攻击这类原始入侵了，因此需要一个更先进和隐蔽的方式，能绕过网络设备，直接发起点对点的进攻。

在大公司或大商场上过无线网的用户会发现，在室内无论走到哪里网络都存在，即使从一层到五层信号照样满格，而在自己家中信号隔墙就下降不少。难道是开了信号特别强大的热点吗？但在建筑外面却收不到。事实上，不难发现每层楼天花板上，都吸附着不少盘子似的东西。没错，正是这些分布在各处的设备，覆盖了整栋楼的无线网络，让信号死角变得更少。

但是同时存在那么多热点，搜索列表里显示的却没有几个。因为他们都有着同样的热点名（SSID），客户端通常会将同名热点合并成一个。至于连接时，系统会选择信号最好的那个。如果这些热点的认证方式也是相同的，无论连哪个都没问题。

　　仔细揣摩这条特征，不难发现其中大有文章可做 —— 这不天生就为我们钓鱼准备的！我们再开一个同名同认证的伪热点，只要在信号上压倒对方，钓上附近的鱼儿那是妥妥的。

目前几乎还没有哪个客户端对此有防御，无论是商场还是咖啡店，甚至是一些大公司里，对此也束手无策。原因很简单，问题既不出在设备、也不是部署上，更不能归咎与用户。这是整个协议栈的弱点。

发起此攻击的唯一材料，就是一个超大功率的热点，以此来压倒正常的，争做用户『最信赖』的信号源。

其实，每个热点都时时刻刻广播着一种叫 Beacon 的数据包，里面带有热点名等相关的信息。用户网卡收集之后进过筛选分析，即可得知附近有哪些热点，各自信号如何。功率大的热点，用户接收时的信号强度（RSSI）自然也会高一些。

当然，过高的信号源可能会引起一些监控的警觉，自己也被置于巨大的辐射之中。如果仅仅是对某个方位片杀，使用定向天线会有更好的效果。

不过，光有发射能力还是不够的。即使能把 Beacon 推送到数十公里外，让全城都能看见你的热点名，但前来连接的设备可没有那么强劲信号。因此没有一个高灵敏的接收系统，再强的信号也只是一厢情愿罢了。

防范措施：因为是底层的缺陷，这种劫持通常很难防护。从理论上说，热点通常是固定着的，因此可以事先记录下每个热点的3D坐标，然后根据 WiFi 定位时刻监控热点位置，如果某个热点信号出现在远离事先的地方，很可能是钓鱼热点发出的假信号。

但在现实中，要同时追踪那么多设备并不容易。除非所有的无线设备，都自带监控附近热点的功能，那样可以节省大量追踪成本。

不过在安全性高的场合，还是使用『接入认证』，连接时要求输入用户名和密码来准入。

用户成功连上 WiFi 后，导致网络状态发生改变，一些系统会尝试请求某个特定的 URL，如果返回的是 HTTP 302，会自动弹出重定向后的网页。目的是为了方便打开网页版的准入，有时连上 CMCC 会自动弹出一个登录网页就是如此。iPhone，iPad，MacOS，WP 都支持。利用这个废功能来弹广告应该很不错~