超级会员免费看
广域网攻击检测与WiFi安全威胁分析
1. 广域网攻击检测方法
在广域网攻击检测方面,我们主要针对中间人威胁模型。在这种模型下,攻击者可以轻松发起TCP/DNS劫持攻击,在用户不知情的情况下重定向或操纵流量。即使数据包的目的IP地址不可达,也很可能触发劫持行为,因为伪造欺骗性响应比检查数据包目的IP地址的实际可达性要容易得多。
我们采用基于跨层诱饵的检测方法,具体流程如下:
-
传输层检测
:
- 组装多个目的IP地址大多不可达的诱饵IP数据包,这些IP地址从排除了先前研究中易识别IP地址的列表中随机选择。
- 模拟Web流量,制作目的端口为80的TCP握手段和从热门网站列表中随机选择域名的DNS查询。
- 在5秒时间窗口内发送并监控响应。发送8个TCP数据包和3个DNS数据包(间隔2秒)。
- 如果至少5个TCP数据包有响应,则认为AP可能存在TCP劫持;如果至少2个DNS查询有响应,则认为AP可能存在DNS劫持。
-
应用层检测
:
-
DNS劫持检测
:检查DNS诱饵的解析结果,若解析的IP地址符合以下三个标准之一,则判定为恶意:公开报告为恶意、是私有IP地址、解析结果相同。
-
TCP劫持检测
:在网页层面进行检测,在服务器上托管一个带有特殊标记的诱饵网页,通过检查网页中的指纹信息和HTTPS链接来检测攻击。
以下是相关参数的含义表格:
| 符号 | 定义 |
| ---- | ---- |
| (S_T) | 发送到AP的TCP诱饵数量 |
| (S_D) | 发送到AP的DNS诱饵数量 |
| (R_T) | TCP诱饵响应数量的阈值 |
| (R_D) | DNS诱饵响应数量的阈值 |
| (P_m) | 从恶意AP收到响应的概率 |
| (P_b) | 从良性AP收到响应的概率 |
| (R) | 收到的响应数量 |
| (P(R \geq k)) | AP需要应用层审查的概率 |
| (P(R = k \vert \oplus)) | 恶意AP收到k个响应的概率 |
| (P(R = k \vert \ominus)) | 良性AP收到k个响应的概率 |
广域网攻击检测流程的mermaid流程图如下:
graph LR
A[用户点击安全检查按钮] --> B[发送TCP诱饵]
A --> C[发送DNS诱饵]
B --> D{是否至少5个TCP响应}
C --> E{是否至少2个DNS响应}
D -- 是 --> F[怀疑TCP劫持]
E -- 是 --> G[怀疑DNS劫持]
F --> H[应用层检测]
G --> H[应用层检测]
D -- 否 --> I[良性]
E -- 否 --> I[良性]
H --> J{是否检测到攻击}
J -- 是 --> K[恶意AP]
J -- 否 --> I[良性]
2. 数据驱动的参数设置
为了系统地设置传输层检测中的关键参数 (R_T) 和 (R_D),我们采用数据驱动的方法。通过在2018年9月进行为期一个月的实验,收集了约10,000个AP的约20,000条记录。
根据实验数据和统计建模,我们得到以下结果:
- 对于TCP情况,(P_m = 98\%),(R_T = 5) 是一个较好的平衡点,能有效过滤96.6%的AP,同时召回率损失较小。
- 对于DNS情况,(P_m = 94.12\%),(R_D = 2) 是合适的平衡点。
相关概率计算公式如下:
- (P(R = k \vert \oplus)=P_B(k; S_T, P_m) = \binom{S_T}{k} P_m^k (1 - P_m)^{(S_T - k)})
- (P(R = k \vert \ominus)=P_B(k; S_T, P_b) = \binom{S_T}{k} P_b^k (1 - P_b)^{(S_T - k)})
- (recall = P(R \geq k \vert \oplus) = \sum_{i = k}^{S_T} P(R = i \vert \oplus))
3. 评估
我们通过控制实验评估WiSC的性能,在校园环境中对10个不同品牌的AP进行攻击重放和检测。
-
LAN攻击检测
:重放ARP和DHCP欺骗攻击,WiSC能够正确检测所有攻击。
-
WAN攻击检测
:
- 仅使用传输层检测时,(R_T = 5) 在TCP情况下能将误报率降低到0.048%,漏报率为0.82%;(R_D = 2) 在DNS情况下是合适的选择。
- 加入应用层审查后,识别的攻击无假阳性,但TCP和DNS的漏报率略有增加。
以下是不同TCP阈值下的误报和漏报率表格:
| (R_T) | 误报率 | 漏报率 |
| ---- | ---- | ---- |
| 1 | 较高 | 较低 |
| 2 | 较高 | 较低 |
| 3 | 较高 | 较低 |
| 4 | 较高 | 较低 |
| 5 | 0.048% | 0.82% |
| 6 | 较低 | 较高 |
| 7 | 较低 | 较高 |
| 8 | 较低 | 较高 |
4. 大规模部署和实地调查
与WiFiManager合作,将WiSC作为可选功能为所有用户实现。在6个月的测量中,记录了1400万选择加入的用户和1900万个WiFi AP,分布在178个国家。对100个随机选择的公共AP进行实地调查,结果表明样本AP确实存在恶意行为,验证了数据集的有效性。
5. 测量结果分析
- WiFi攻击的普遍性 :大规模测量显示,至少3.92%的AP检测到WiFi攻击,实际情况可能更严重。
- AP品牌的影响 :前10大恶意AP品牌占所有恶意AP的98.48%,其中近一半属于Phicomm,该品牌市场份额仅为4.3%,可能是由于其特定的安全漏洞。
- 地理分布 :不同国家的AP攻击情况不同,如中国主要是TCP劫持,俄罗斯主要是DNS劫持等。
以下是前15个国家的AP情况表格:
| 国家 | AP数量 | 攻击发生率 | 主要攻击技术 |
| ---- | ---- | ---- | ---- |
| 中国 | 19,119,764 | 3.92% | TCP劫持(57.6%) |
| 缅甸 | 7148 | 4.48% | TCP劫持(53.1%) |
| 越南 | 4288 | 1.8% | DHCP欺骗(40.2%) |
| 俄罗斯 | 3169 | 8.93% | DNS劫持(43.8%) |
| 韩国 | 2701 | 2.07% | ARP欺骗(91.1%) |
| 柬埔寨 | 2213 | 2.17% | ARP欺骗(47.9%) |
| 老挝 | 1530 | 1.05% | DHCP欺骗(43.7%) |
| 泰国 | 1350 | 4.15% | DNS劫持(53.5%) |
| 马来西亚 | 1317 | 2.89% | DNS劫持(44.7%) |
| 日本 | 1315 | 2.59% | ARP欺骗(67.6%) |
| 新加坡 | 1133 | 1.5% | ARP欺骗(50%) |
| 菲律宾 | 840 | 2.86% | DNS劫持(45.8%) |
| 印度尼西亚 | 796 | 22.36% | TCP劫持(91%) |
| 美国 | 608 | 1.01% | ARP欺骗(66.6%) |
| 巴基斯坦 | 523 | 1.53% | ARP欺骗(62.5%) |
综上所述,WiFi安全威胁不容忽视,不同品牌和地区的攻击情况存在差异。通过有效的检测方法和参数设置,可以提高对WiFi攻击的检测能力。
广域网攻击检测与WiFi安全威胁分析
6. 攻击检测流程详解
为了更清晰地理解广域网攻击检测的流程,我们进一步详细分析每个步骤。
6.1 传输层攻击检测步骤
-
诱饵数据包准备
:
- 从排除易识别IP地址的列表中随机选择大多不可达的目的IP地址,组装多个诱饵IP数据包。
- 制作目的端口为80的TCP握手段,模拟Web流量。
- 从热门网站列表中随机选择域名,生成DNS查询。
-
数据包发送与响应监测
:
- 在5秒时间窗口内,发送8个TCP数据包到AP,这是常见浏览器支持的最大并行连接数。
- 以2秒的数据包间隔,顺序发送3个DNS数据包,模拟DNS查询的超时重试过程。
-
可疑AP判定
:
- 如果至少5个TCP数据包有响应,则判定AP可能存在TCP劫持。
- 如果至少2个DNS查询有响应,则判定AP可能存在DNS劫持。
以下是传输层攻击检测步骤的mermaid流程图:
graph LR
A[准备诱饵数据包] --> B[发送TCP数据包]
A --> C[发送DNS数据包]
B --> D{是否至少5个TCP响应}
C --> E{是否至少2个DNS响应}
D -- 是 --> F[怀疑TCP劫持]
E -- 是 --> G[怀疑DNS劫持]
D -- 否 --> H[良性]
E -- 否 --> H[良性]
6.2 应用层攻击检测步骤
-
DNS劫持检测
:
- 检查DNS诱饵的解析结果。
-
如果解析的IP地址符合以下三个标准之一,则判定为恶意:
- 这些IP地址已被公开报告为恶意。
- 它们是私有IP地址。
- 它们是相同的。
-
TCP劫持检测
:
- 客户端查询托管在服务器上的诱饵网页。
- 通过检查网页中插入的256位随机字符串(指纹),检测攻击。
- 检查网页中的HTTPS链接,捕捉SSLStrip等针对HTTPS的攻击。
以下是应用层攻击检测步骤的mermaid流程图:
graph LR
A[DNS劫持检测] --> B{解析结果是否符合恶意标准}
B -- 是 --> C[判定为恶意AP]
B -- 否 --> D[良性]
E[TCP劫持检测] --> F[查询诱饵网页]
F --> G{是否检测到指纹异常或HTTPS链接篡改}
G -- 是 --> C[判定为恶意AP]
G -- 否 --> D[良性]
7. 不同参数设置的影响分析
在传输层检测中,参数 (R_T) 和 (R_D) 的设置对检测结果有重要影响。我们通过表格和图表来分析不同参数设置下的误报率和漏报率。
| 参数 | 取值 | 误报率 | 漏报率 |
|---|---|---|---|
| (R_T) | 1 - 4 | 较高 | 较低 |
| (R_T) | 5 | 0.048% | 0.82% |
| (R_T) | 6 - 8 | 较低 | 较高 |
| (R_D) | 1 | 较高 | 较低 |
| (R_D) | 2 | 合适平衡点 | 合适平衡点 |
| (R_D) | 3 | 较低 | 较高 |
从表格中可以看出,当 (R_T) 取值较小时,误报率较高,但漏报率较低;当 (R_T) 取值较大时,误报率较低,但漏报率较高。(R_T = 5) 是一个较好的平衡点,能在降低误报率的同时,控制漏报率在可接受范围内。对于 (R_D),取值为2时是合适的平衡点。
以下是不同 (R_T) 和 (R_D) 取值下误报率和漏报率的折线图:
graph LR
classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;
A([开始]):::startend --> B(设置不同的RT和RD值):::process
B --> C(进行攻击检测实验):::process
C --> D(记录误报率和漏报率):::process
D --> E(绘制折线图):::process
E --> F([结束]):::startend
8. 应对WiFi安全威胁的建议
基于上述对WiFi安全威胁的分析,我们提出以下应对建议:
-
AP制造商
:
- 加强产品的安全设计和漏洞修复,特别是对于存在较多安全漏洞的品牌,如Phicomm,应及时开发和应用补丁。
- 采用如MAC地址随机化等短期缓解策略,隐藏设备指纹,降低被攻击的风险。
-
用户
:
- 谨慎连接公共WiFi,优先选择有安全保障的网络。
- 使用安全检测工具,如WiSC,及时发现和防范潜在的安全威胁。
- 定期更新设备的操作系统和应用程序,以获取最新的安全补丁。
-
网络服务提供商
:
- 加强网络安全监测和管理,及时发现和处理异常流量。
- 优化DNS服务,避免DNS劫持等攻击行为。
9. 总结
WiFi安全威胁是一个不容忽视的问题,特别是在广域网环境中,中间人攻击如TCP/DNS劫持等给用户带来了严重的安全风险。通过采用基于跨层诱饵的检测方法,结合传输层和应用层的检测,可以有效提高对WiFi攻击的检测能力。
数据驱动的参数设置,如合理确定 (R_T) 和 (R_D) 的值,能够在降低误报率和漏报率之间找到平衡。大规模部署和实地调查验证了检测方法的有效性和数据集的可靠性。
不同品牌和地区的WiFi攻击情况存在差异,AP制造商、用户和网络服务提供商应共同努力,采取相应的措施来应对WiFi安全威胁,保障网络安全和用户隐私。
通过本文的分析,我们希望能够提高大家对WiFi安全威胁的认识,并为应对这些威胁提供一些有益的参考。
扫一扫
39
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
