Wifi安全性分析
谭周兴13091076
0、前言
随着wifi技术的广阔应用,越来越多的人在家庭环境这样的小型范围内使用用户自己设置的无线路由器进行无线网络接入,但是大部分用户往往意识不到,在使用过程中也面临着很大的安全威胁。
目前wifi路由器的加密方式仍有很多不安全的因素:一些老的路由设备使用的安全级别比较低的wep方式加密,或者是使用一些比较容易被破解软件“猜”出来的密码。这些因素就导致了无线网络用户在用无线设备上网的同时,很容易被一些贪图小便宜的人使用破解软件“蹭网”,更严重的会让一些恶意黑客通过入侵路由设备对用户的wifi正常使用和用户的个人数据造成严重的影响。而且wifi的弱密码现象越来越普遍,弱密码也就是很容易遭到破解的密码组合,可能是简单的数字组合,字母排列,例如“123456”、“abcl23”、"admin"或者家庭门牌号等信息来作为无线密码,这些都很容易被破译。用户常常出于密码便于自己记忆的目的,来设置无线
路由的密码,殊不知这种现象越来越多的构成wifi路由的安全隐患之一。很多网络攻击者正是利用这一漏洞,破解用户的无线密码,非法使用用户的无线网络,甚至可能会对用户的数据安全构成威胁。
1、加密方式
1.1、WEP加密技术
即Wired Equivalent Privacy,是基于WLAN的安全性协议,定义在802.11b标准中。WEP可以提供与有线局域网同等级别的安全性能,不过,有线网络自身的安全性髙于无线网。而通过无线电波传输的无线局域网中,没有对应的物理结构,因此容易受到黑客的攻击。WEP标准的目的是为无线局域网提供必要的安全保护,它的创建始于WLAN发展初期,然而它的安全性能并没有达到期望值。出现这一现象的原因就在于:当数据在无线电波中传输时,机密过程由随机密钥来进行,可是,这些用来产生随机密钢的方法具有可预测性。因此对于攻击者来说,获取这些密朗是非常容易的。
虽然WEP加密技术性能差、效率低,不过现在仍然有很多的无线设备中,支持并使用着这
一种加密方式。因为它可以支持更老、设计更简单的无线设备,而且WEP加密方式本身设计上就简单的多,对一些安全级别要求不高的设备采取这种加密方式可以大大节约成本减少不必要的开支。
爱奇艺尖叫之夜20161.2、WPA加密技术
由于WEP这一加密方法的不安全性,802.11组织开始制定新的协议。在制定之前,在802.Hi草案的基础上,制定了一种称为WPA(WIFI Protected Access)的安全机制。这种机制使用TKIP,加密算法则是WEP中的RC4,老式的无线设备中的硬件设备也不用更改,在wep中所存在的密钢管理过于简单、不能有效保护信息完整性的问题,在WPA中得到了解决。同时WPA也适用于多种用户和应用的需求,比如:企业用户需要更高的安全级,否则会容易将重要的商业秘密泄露出去;而家庭用户,往往只是需要一些简单的网上浏览活动,相应所需的安全级别更低。正是考虑到这些不同的用户的不同需求,WPA中规定了以下的两类模式:企业模式,家庭模式(包括小型办公室)。
1.3、WPA2加密技术
在802.11i发布之后,WIFI联盟继而提出了支持AES算法的WPA2加密技术,这一技术利用的新的算法,所以,使用WPA2会需要全新的硬件,WPA2使用CCMP协议。在WPA/WPA2中,需要由PMK来生成PTK。WPA虽然是作为了一种商业化的标准,但是,它的制定就是为了要支持IEEE802.11i技术性标准。而WPA2意义就是WPA的第二个标准,就是由于WIFI联盟进行的一系列商业化行为,才会造成目前两个标准同时存在的局面。
2、密码破解
数学建模论文模板针对不的加密方式,wifi密码破解方式不同。首先对于wep加密的wifi密码破译较为简单,直接用一般的破译软件就可以很容易的破译密码,比如说用wifi。
对于wpa/wpa2加密的wifi密码,破译起来相对困难。常用的有两种破解放法。第一种是用软件抓包,然后对握手包进行字典破解。可以先安装一个vmwareworkstation,创建cdLinux虚拟机,在虚拟机上装上“水滴”、“奶瓶”等破解软件,破解wifi时需要一张无线网卡。
如打开“水滴”抓包,抓包时选择连有客户端的wifi,然后抓取握手包,达到四个之后就可以
对其进行跑字典破解了。跑字典是一个需要看运气与设备的过程,但现在淘宝上面有专门帮人跑字典来获利的人,他们有很好的设备,就算比较强的密码都可以跑出来。
Pin码破解wifi是一种很好的破解方法,成功率很高,而且是一种一劳永逸的方法,获得pin码之后,只要开启了wps功能,新密码就会被秒破,跑pin码破解wifi一般用“水滴”这个软件选择开启了wps功能的路由器直接跑pin码,操作简单效率很高,平均一天就能得到pin,码和密码。
3、wifi安全隐患
3.1家用wifi
伴随着具备wifi功能的设备不断增多,再加上无线wifi应用起来的方便性,wifi已悄然走入众多的家庭用户。美国市场调研公司strategy Analytics早在2006年5月的调查报告《家庭网络采用wifi的情况》预测,中国将成为全球wifi家用市场的主要增长动,并于2016年为wifi贡献1.1亿个家庭网络用户。而无线路由器作为家用wifi的一个无线ap,其安全性影响着家用wifi网络的安全。据我国360安全卫士发布的《2013年第三季度家用无线路由器安全报告》
显示,国内用户修改或重新设定路由器管理帐号和密码的比例还处在一个较低的水平,98.6%的家用无线路由器存在弱密码风险。家用wifi面临的安全威胁,主要来自家庭外部和家庭内部两个方面。家庭外部的安全威胁主要针对无线路由器,黑客通过CSRF漏洞攻击能够越过wifi密码的验证,直接入侵用户路由器管理界面,对路由器DNS、管理密码等设置进行篡改,从而实现劫持网站、插入广告、诱导用户进入钓鱼网站以及屏蔽安全软件的升级、云安全查询等目的。同时,黑客CSRF攻击手法已经升级,可直接修改用户路由器默认的管理端口。而来自家庭内部的安全,主要涉及wifi密码和路由器管理密码问题。wifi密码结构单一、破解难度系数低以及密码更新周期长是导致wifi密码存在安全问题的主要原因。
3.2企业wifi
凯vs鬼鲛随着wifi技术的广泛应用,越来越多的企业组建了基于wifi接入的Internet企业网,分享无线网络给企业生产、管理及营销带来的极大便利。目前国内使用wifi的企业非常普遍,有的甚至已经取消传统有线网络,完全依靠wifi进行办公。然而,大部分企业缺乏有效的wifi管理措施,尤其是2013年曝光的“棱镜门计划”披露了美国NSA窃听企业高层的信息,无线wifi安
全问题更是引起了企业的广泛关注。来自企业wifi的安全问题主要分为以下四方面:一是wifi网络信号容易被搜索发现,这为非法用户接入wifi网络创造了基本条件,wifi接入点设备的广播信息中携带了许多可以用来推断wep密钥的明文信息如wifi网络的名称、SSID号等,这些信息为非法用户入侵wifi网络创造了必要条件;二是非法用户伪装成合法的wifi网络用户或者网络地址,欺骗wifi网络的认证机制入侵网络,从而达到非法访问网络资源的目的;三是拒绝服务攻击(DOS),该攻击通过产生大量的数据包,耗尽网络资源,使网络无法响应合法用户的请求,导致网络瘫痪;四是通过客户端接入非法AP来窃取客户端的信息。当攻击者得知企业网络的SSID,则可使客户端错误关联到非法AP上,通过攻击客户端来窃取企业数据。
而且更有甚者,有些企业会为了不影响盈利,对于自己开发的硬件软件漏洞会采取不作回应或不承认的措施。像tplink路由器,在2015年3月被检测出漏洞,普通人都能够根据这个漏洞直接进入路由器的后台。该漏洞被发布在wooyun上,(乌云网(WooYun)漏洞平台是一个位于厂商和安全研究者之间的安全问题反馈平台,在对安全问题进行反馈处理跟进的同时,为互联网安全研究者提供一个公益、学习、交流和研究的平台。),但tplink公司不承认这回事,说这不是漏洞,而是自己留的后门,反而使得wooyun平台费力不讨好。
另外一般人常用的wifi是一个流氓软件,但很多人没有意识到这一点。当我们使用Wifi时,在电脑版本的设置向导中,会有“是否分享wifi热点”这一不明不白的选项,一般人们不会在意这些,但使用者一旦同意,那么使用者自己的wifi密码就公布给wifi了。所以别人就可以用wifi在该使用者附近容易地破解他的wifi密码。
3.3、公共WiFi热点
现在很多公共WiFi热点存在安全隐患,间接增加了免费WiFi APP的使用风险。据一份WiFi热点安全报告显示,我国可能有126万个公共免费WiFi绿豆价格热点存在安全隐患,而这些存在风险的公共WiFi电脑连接WIFI显示无INTERNET中有98%属于加密方式不安全。这些存在安全隐患的WiFi热点很容易遭受黑客WiFi钓鱼攻击,存在很大的安全隐患。用户安全意识缺乏免费蹭公共WiFi已经成为很多智能手机用户的选择。记者在采访过程中发现,很多用户都喜欢用免费WiFi APP应用来实现免费蹭网,而且他们大多数都缺乏安全意识,只要是能免费连接的公共WiFi都会尝试连接使用,丝毫没有考虑连接的安全性。免费公共WiFi热点目前种类繁多,而且门槛低,不用办理任何手续,就可以搭建免费公共WiFi热点。对于这一现象,是因为目前法律对于这一块还存在空白,现行法律对该范畴未有详细的法律规定。虽然法律对这块的规定存在空白,
如果利用公共WiFi热点获取他人信息,则有可能构成刑事犯罪,例如通过计算机系统盗窃国家机密资料,可能构成非法获取国家秘密罪;如果盗窃他人的技术秘密或商业秘密,可能构成侵权,严重的将构成侵犯商业秘密罪,如果泄露他人隐私,造成严重后果的可能构成侵犯隐私罪。如果盗取他人的网络交易密码、银行密码等并进行套现获利,可能就构成盗窃罪。
目前WiFi热点分享APP采用了鼓励用户分享WiFi热点密码的运营模式,对于这样的运营模式,现行法律体系下,如果征得WiFi用户同意的前提下,这种运营模式是不违法的,但如果利用非正规手段免费占用他人WiFi,造成对他人网络资费的占用,有可能违反《刑法》的相关规定,需承担刑事责任。”而对于用户分享WiFi密码的现象,如果是未经WiFi户主同意,就私自分享WiFi密码,会存在法律风险。如果造成户主网络资费损失或者分享秘密者从中获利,则构成侵权,有可能构成盗窃罪。WiFi热点分享APP未尽到相应的审查注意义务,未制止侵权行为发生,WiFi户主有权要求其承担连带责任。用户私自分享别人的WiFi密码是存在很大法律风险的。用户在使用该类免费WiFi APP时需要谨慎,切莫不小心触碰法律界限。另外,许律师指出,目前网络侵权案件,举证比较困难。用户在使用过程中,应注意留存各种操作记录,保留相关的证据。不过建议用户谨慎使用免费无线上网,使用
时尽量不进入涉密系统操作(如网银系统),防止被盗。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论