[发明专利]无线终端识别伪WiFi网络的方法及其装置

说明书

本发明涉及无线网络领域，公开了一种无线终端识别伪WiFi网络的方法及其装置。本发明中，包括以下步骤：监测当前网络通信数据包中是否有四次握手包出现；如果出现四次握手包，则至少执行以下步骤之一或其组合：步骤A，判断该四次握手包中的握手信息是否与最近一次接入WiFi网络时所使用的握手信息一致，如果不一致，则判定当前的WiFi网络存在属于伪WiFi网络的风险；步骤B，接入WiFi网络后，获取到达指定IP地址的第一路由，判断该第一路由与最近一次接入WiFi网络时到达该指定IP地址的第二路由是否一致，如果不一致，则判定当前的WiFi网络存在属于伪WiFi网络的风险。对伪WiFi网络给出了更精准的识别方法，减少误判和漏判。

技术领域

本发明涉及无线网络领域，特别涉及一种无线终端识别伪WiFi网络的技术。

背景技术

在有线网络中，数据包在物理链路上传递到目标节点，通常只有在通过有线直接接入到物理链路上或是在物理链路遭到破坏的情况下，数据才有可能泄露，恶意行为才有可能进行。而在无线网络中，数据通过无线电磁波传播，不需要特定的传播介质，只要在无线电波覆盖的范围内，终端节点都可以接收到无线信号从而获取数据，因此，数据泄漏和恶意行为更容易发生。伪WiFi的原理是构建一个虚假的由攻击者控制的网络接入点(AccessPoint，简称“AP”)，吸引用户连接到该AP，从而可以拿到用户在网络上的所有数据流量，进行信息窃取和网络攻击行为(如木马植入，钓鱼页面等)。根据伪WiFi的使用方法不同，分为两种类型分别介绍：钓鱼型伪WiFi和攻击型伪WiFi。

钓鱼型伪WiFi：互联网中有钓鱼网站的存在，用户点击恶意链接，然后被链接到被篡改过的伪造网址网页，流量被劫持，应用也被篡改。在无线网络中，也存在类似的钓鱼网络，而且实施简单，成功率高。钓鱼型伪WiFi先建好了伪WiFi，在那里等待用户去连接，用户可以连接的类型只有空密码型和已知密码型的WiFi。攻击者伪造一个空密码型的WiFi网络，等待用户主动连接；或者，伪造一个简单密码的WiFi网络(类蜜罐)，吸引一些喜欢猜密码或者使用蹭网工具的用户；还有，构建一个虚假的公用网络，如CMCC，iWuhan，KFC等，等待用户连接。

攻击型伪WiFi：用户已经连上了某一WiFi网络，但是攻击者构建一个跟真WiFi名称(SSID)密码(PSK)一模一样的伪WiFi，然后对用户发起断线拒绝服务攻击(De-auth DOS(Denial of Service))或是定向高功率信号干扰屏蔽(针对真AP信道做干扰而伪AP信道不受影响)，用户会被强制断线并重连到虚假的伪WiFi。网络劫持实现，目标客户端所有的流量都会通过搭建的伪AP转发，同时使用原有的真WiFi线路进行传输，对无线带宽和用户体验几乎没有影响。目标客户端会在不经意间被劫持到伪WiFi上，而且被劫持时几乎不会有任何察觉(短暂断网可能存在)。

现有技术中，空密码WiFi识别的主要问题是，对于运营商网络(CMCC)等，其前端提供的都是空密码接入(用户手机上显示的是开放网络)，打开浏览器后才会输入账号密码信息，此时单纯空密码识别会有误判；若是取消运营商网络空密码识别，则会产生漏判。攻击者可以伪装一个空密码的CMCC，然后当用户连接打开浏览器后，推送一个虚假的钓鱼登陆页面，套取用户的账号密码信息。

识别伪WiFi的网络接入点的路由器设备型号(设备MAC地址前三个字节OUI可以用来识别厂商)，主要针对公用网络/运营商网络，原理是同一区域部署的路由器应该是同一批次采购的同一型号路由器；识别空密码WiFi，主要针对一般的钓鱼WiFi，原理是空密码的WiFi多半都是假的。

设备型号识别存在一个很大的问题，攻击者可以采用相同的设备型号，或是直接修改MAC地址让用户误判为相同型号设备，此时该方法失效。攻击者可以扫描当前所有AP的MAC地址，直接将攻击设备的MAC前三字节OUI，修改为和真WiFi设备相同，操作简单易行且不易发现。