無(wú)線(xiàn)802.11蜜罐研究綜述

隨著(zhù)無(wú)線(xiàn)網(wǎng)絡(luò )技術(shù)的普及發(fā)展,基于IEEE 802.11標準的無(wú)線(xiàn)局域網(wǎng)(WLAN)應用日趨廣泛。然而由于無(wú)線(xiàn)信號的空中廣播本質(zhì)以及協(xié)議設計的缺陷,WLAN的安全性受到了極大威脅[1]?，F有的安全策略，如MAC地址過(guò)濾、關(guān)閉SSID廣播、IEEE802.11i的安全防護問(wèn)題日益突出。而作為彌補手段之一的無(wú)線(xiàn)802.11蜜罐近年來(lái)越來(lái)越多地受到關(guān)注。
無(wú)線(xiàn)802.11蜜罐[2]是等待攻擊者或惡意用戶(hù)訪(fǎng)問(wèn)的無(wú)線(xiàn)資源，它通過(guò)搭建具有無(wú)線(xiàn)服務(wù)資源平臺的蜜罐,誘使攻擊者入侵,將攻擊者拖延在該蜜罐上,使得攻擊者花費大量精力對付偽造的目標,達到消耗攻擊者的資源、降低攻擊造成的破壞程度,從而間接保護真實(shí)的無(wú)線(xiàn)系統,同時(shí)記錄攻擊頻率、攻擊手段、攻擊成功的次數、攻擊者的技術(shù)水平及最容易被攻擊的目標等真實(shí)統計數據。
1 典型的無(wú)線(xiàn)802.11蜜罐
蜜罐蜜網(wǎng)技術(shù)已經(jīng)被廣泛應用于各種網(wǎng)絡(luò )環(huán)境上，用于監視攻擊者的各種入侵行為,其大量的研究工作也已卓有成效地展開(kāi)。無(wú)線(xiàn)802.11蜜罐作為蜜罐技術(shù)的一種,由于多應用于WALN,使得近年來(lái)研究工作也,愈來(lái)愈受到關(guān)注[3]。
1.1 WISE
WISE(Wireless Information Secuity Experiment)于2002年在華盛頓完成,項目旨在監視未授權的接入、使用和竊聽(tīng),并收集WALN黑客工具和技術(shù)的信息。采用802.11b,使用高增益天線(xiàn)增加信號覆蓋范圍，任何進(jìn)入WISE的企圖都被認為是可疑的。
1.2 簡(jiǎn)易無(wú)線(xiàn)802.11蜜罐
參考文獻[2]分別介紹了兩種基于Honeyd和FakeAp的簡(jiǎn)易無(wú)線(xiàn)802.11蜜罐,通過(guò) Honeyd模擬接入點(diǎn)后的內部網(wǎng)絡(luò ),以及模擬TCP/IP協(xié)議棧構建偽裝的AP,可同時(shí)監視攻擊者的探測攻擊行為?；贔akeAP實(shí)現的無(wú)線(xiàn)802.11蜜罐中,通過(guò)FakeAP發(fā)送大量的802.11b信標數據幀,進(jìn)而偽裝成大量的AP來(lái)迷惑攻擊者。
Mark Osborne通過(guò)搭建接入點(diǎn)以及利用筆記本上的無(wú)線(xiàn)網(wǎng)卡監視無(wú)線(xiàn)流量,建立了一個(gè)簡(jiǎn)易的無(wú)線(xiàn)802.11蜜罐系統，同時(shí)開(kāi)發(fā)了一套如圖1所示的無(wú)線(xiàn)入侵檢測系統(WIDZ)。

1.3 縱深欺騙型無(wú)線(xiàn)802.11蜜罐
參考文獻[4]提出了一種三層環(huán)系的縱深欺騙無(wú)線(xiàn)802.11蜜罐。最核心層為最深的欺騙,由內向外欺騙強度逐漸減弱。外層采用FakeAP模擬一個(gè)或多個(gè)參數可調的接入點(diǎn);中層使用Honeyed偽造一個(gè)包括網(wǎng)絡(luò )服務(wù)器,客戶(hù)工作站;無(wú)線(xiàn)服務(wù)的有線(xiàn)網(wǎng)絡(luò ),同時(shí)整合了Snort IDS;內層為蜜罐集邏輯結構,蜜罐被設計為一臺Linux Mandrake 9.0機器管理所有欺騙性資源,并提供蜜罐內所有活動(dòng)的logging功能。從內到外形成金字塔結構,同時(shí)內層對緩沖區溢出,中層對Nmap OS掃描和Nessus弱點(diǎn)掃描,外層對Kismet和Netstumbler嗅探均可作出欺騙性響應，三層環(huán)系以及金字塔結構如圖2所示。

1.4 Hive
Hive基于Linux Live CD環(huán)境, 提供了搭建獨立無(wú)線(xiàn)蜜罐的工具包括FakeAp、Honeyed等。
1.5 HoneySpot
HoneySpot[5]旨在建立一個(gè)提供Wi-Fi接入服務(wù)的場(chǎng)所,同時(shí)該場(chǎng)所的價(jià)值在于被探測、攻擊和入侵。HoneySpot分為公共和私有兩種,公共HoneySpot提供接入開(kāi)放WLAN；私有HoneySpot則分為基于WEP、WPA、WPA2的三種無(wú)線(xiàn)網(wǎng)絡(luò )。同時(shí)HoneySpot具有五個(gè)模塊：無(wú)線(xiàn)接入點(diǎn)(WAP)模塊提供無(wú)線(xiàn)網(wǎng)絡(luò )基礎架構;無(wú)線(xiàn)客戶(hù)端(WC)模塊模擬連接到HoneySpot的合法終端用戶(hù);無(wú)線(xiàn)監視(WMON)模塊收集整個(gè)HoneySpot內網(wǎng)絡(luò )流量的設備;無(wú)線(xiàn)數據分析(WDA)模塊分析WMON模塊收集的所有網(wǎng)絡(luò )數據;有線(xiàn)基礎設施(WI)模塊(可選)為HoneySpot模擬真實(shí)的有線(xiàn)網(wǎng)絡(luò )環(huán)境。HoneySpot的詳細結構如圖3所示。