常見WIFI無線網絡安全疑難雜症解答

　　WIFI是最容易受到各種各樣威脅的上網方式，用Wi-Fi上網，由 於傳送的數據是利用無線電波在空中輻射傳播，無線電波可以穿透天花板、地板和牆壁，發射的數據可能到達預期之外的、安裝在不同樓層、甚至是發射機所在的大 樓之外的接收設備，數據安全也就成為最重要的問題。用在不知情的情況下，以為自己通過很好的信號連入WLAN，卻不知道已遭到黑客的監聽了，低成本和易於 配置造就了現在的WLAN的流行，許多用戶也可以在自己的傳統局域網架設無線基站(AP)，隨之而來的是一些用戶在網絡上安裝的後門程序成了黑客發動攻擊 的最佳途徑，下面我們將介紹一些常見WIFI無線網絡中的安全問題進行疑難解答：

　　如何進行地址欺騙和會話攔截?

　　我們都知道，由於802.11無線局域網對數據幀不進行認證操作，攻擊者可以通過欺騙幀去重定向數據流和使ARP表變得混亂，通過非常簡單的 方法，攻擊者可以輕易獲得網絡中站點的MAC地址，這些地址可以被用來惡意攻擊時使用。除攻擊者通過欺騙幀進行攻擊外，攻擊者還可以通過截獲會話幀發現 AP中存在的認證缺陷，通過監測AP發出的廣播幀發現AP的存在。然而，由於802.11沒有要求AP必須證明自己真是一個AP，攻擊者很容易裝扮成AP 進入網絡，通過這樣的AP，攻擊者可以進一步獲取認證身份信息從而進入網絡。在沒有采用802.11i對每一個802.11 MAC幀進行認證的技術前，通過會話攔截實現的網絡入侵是無法避免的。

　　從目前來看解決辦法並不奏效，在802.11i被正式批准之前，MAC地址欺騙對無線網絡的威脅依然存在。網絡管理員必須將無線網絡同易受攻擊的核心網絡脫離開。

　　無線網絡中如何流量分析與流量偵聽?

　　802.11無法防止攻擊者采用被動方式監聽網絡流量，而任何無線網絡分析儀都可以不受任何阻礙地截獲未進行加密的網絡流量。目前，WEP有 漏洞可以被攻擊者利用，它僅能保護用戶和網絡通信的初始數據，並且管理和控制幀是不能被WEP加密和認證的，這樣就給攻擊者以欺騙幀中止網絡通信提供了機 會。早期，WEP非常容易被Airsnort、WEPcrack一類的工具解密，但後來很多廠商發布的固件可以避免這些已知的攻擊。作為防護功能的擴展， 最新的無線局域網產品的防護功能更進了一步，利用密鑰管理協議實現每15分鐘更換一次WEP密鑰。即使最繁忙的網絡也不會在這麼短的時間內產生足夠的數據 證實攻擊者破獲密鑰。

　　如果用戶的無線網絡用於傳輸比較敏感的數據，那麼僅用傳統加密方式是遠遠不夠的，需要進一步采用像SSH、SSL、IPSec等加密技術來加強數據的安全性。

　　對於高級別入侵如何應付?

　　一旦攻擊者進入無線網絡，它將成為進一步入侵其他系統的起點。很多網絡都有一套經過精心設置的安全設備作為網絡的外殼，以防止非法攻擊，但是 在外殼保護的網絡內部確是非常的脆弱容易受到攻擊的。無線網絡可以通過簡單配置就可快速地接入網絡主干，但這樣會使網絡暴露在攻擊者面前。即使有一定邊界 安全設備的網絡，同樣也會使網絡暴露出來從而遭到攻擊。

　　由於無線網絡非常容易受到攻擊，因此被認為是一種不可靠的網絡。很多公司把無線網絡布置在諸如休息室、培訓教室等公共區域，作為提供給客人的接入方式。應將網絡布置在核心網絡防護外殼的外面，如防火牆的外面，接入訪問核心網絡采用VPN方式。

　　怎麼解決無線網絡中服務和性能的限制?

　　無線局域網的傳輸帶寬是有限的，由於物理層的開銷，使無線局域網的實際最高有效吞吐量僅為標准的一半，並且該帶寬是被AP所有用戶共享的。無 線帶寬可以被幾種方式吞噬：來自有線網絡遠遠超過無線網絡帶寬的網絡流量，如果攻擊者從快速以太網發送大量的Ping流量，就會輕易地吞噬AP有限的帶 寬;如果發送廣播流量，就會同時阻塞多個AP;攻擊者可以在同無線網絡相同的無線信道內發送信號，這樣被攻擊的網絡就會通過CSMA/CA機制進行自動適 應，同樣影響無線網絡的傳輸;另外，傳輸較大的數據文件或者復雜的client/server系統都會產生很大的網絡流量。

　　定位性能故障應當從監測和發現問題入手，很多AP可以通過SNMP報告統計信息，但是信息十分有限，不能反映用戶的實際問題。而無線網絡測試儀則能夠如實反映當前位置信號的質量和網絡健康情況。測試儀可以有效識別網絡速率、幀的類型，幫助進行故障定位。