刘永磊， 唐国峰 ， 李志圣 ， 郝琨

（1.天津城市建设学院 电子与信息工程系，天津 300384;2.天津大学 计算机科学与技术学院，天津 300072）

随着无线网络技术的普及发展,基于IEEE 802.11标准的无线局域网(WLAN)应用日趋广泛。然而由于无线信号的空中广播本质以及协议设计的缺陷,WLAN的安全性受到了极大威胁[1]。现有的安全策略，如MAC地址过滤、关闭SSID广播、IEEE802.11i的安全防护问题日益突出。而作为弥补手段之一的无线802.11蜜罐近年来越来越多地受到关注。

无线802.11蜜罐[2]是等待攻击者或恶意用户访问的无线资源，它通过搭建具有无线服务资源平台的蜜罐,诱使攻击者入侵,将攻击者拖延在该蜜罐上,使得攻击者花费大量精力对付伪造的目标,达到消耗攻击者的资源、降低攻击造成的破坏程度,从而间接保护真实的无线系统,同时记录攻击频率、攻击手段、攻击成功的次数、攻击者的技术水平及最容易被攻击的目标等真实统计数据。

1 典型的无线802.11蜜罐

蜜罐蜜网技术已经被广泛应用于各种网络环境上，用于监视攻击者的各种入侵行为,其大量的研究工作也已卓有成效地展开。无线802.11蜜罐作为蜜罐技术的一种,由于多应用于WALN,使得近年来研究工作也,愈来愈受到关注[3]。

1.1 WISE

WISE(Wireless Information Secuity Experiment)于2002年在华盛顿完成,项目旨在监视未授权的接入、使用和窃听,并收集WALN黑客工具和技术的信息。采用802.11b,使用高增益天线增加信号覆盖范围，任何进入WISE的企图都被认为是可疑的。

1.2 简易无线802.11蜜罐

[2]分别介绍了两种基于Honeyd和FakeAp的简易无线802.11蜜罐,通过 Honeyd模拟接入点后的内部网络,以及模拟TCP/IP协议栈构建伪装的AP,可同时监视攻击者的探测攻击行为。基于FakeAP实现的无线802.11蜜罐中,通过FakeAP发送大量的802.11b信标数据帧,进而伪装成大量的AP来迷惑攻击者。

Mark Osborne通过搭建接入点以及利用笔记本上的无线网卡监视无线流量,建立了一个简易的无线802.11蜜罐系统，同时开发了一套如图1所示的无线入侵检测系统(WIDZ)。

1.3 纵深欺骗型无线802.11蜜罐

图1 Mark Osborne的简易蜜罐系统

参考文献[4]提出了一种三层环系的纵深欺骗无线802.11蜜罐。最核心层为最深的欺骗,由内向外欺骗强度逐渐减弱。外层采用FakeAP模拟一个或多个参数可调的接入点;中层使用Honeyed伪造一个包括网络服务器,客户工作站;无线服务的有线网络,同时整合了 Snort IDS;内层为蜜罐集逻辑结构,蜜罐被设计为一台Linux Mandrake 9.0机器管理所有欺骗性资源,并提供蜜罐内所有活动的logging功能。从内到外形成金字塔结构,同时内层对缓冲区溢出,中层对Nmap OS扫描和Nessus弱点扫描,外层对Kismet和Netstumbler嗅探均可作出欺骗性响应，三层环系以及金字塔结构如图2所示。

图2 三层环系以及金字塔结构

1.4 Hive

Hive基于Linux Live CD环境,提供了搭建独立无线蜜罐的工具包括 FakeAp、Honeyed等。

1.5 HoneySpot

HoneySpot[5]旨在建立一个提供 Wi-Fi接入服务的场所,同时该场所的价值在于被探测、攻击和入侵。HoneySpot分为公共和私有两种,公共HoneySpot提供接入开放 WLAN；私有 HoneySpot则分为基于 WEP、WPA、WPA2的三种无线网络。同时HoneySpot具有五个模块：无线接入点 (WAP)模块提供无线网络基础架构;无线客户端(WC)模块模拟连接到 HoneySpot的合法终端用户;无线监视(WMON)模块收集整个HoneySpot内网络流量的设备;无线数据分析(WDA)模块分析WMON模块收集的所有网络数据;有线基础设施(WI)模块(可选)为 HoneySpot模拟真实的有线网络环境。HoneySpot的详细结构如图3所示。

1.6 典型的无线802.11蜜罐的比较与评估

图3 HoneySpot的详细结构

无线802.11蜜罐比较的指标主要包括:安全级别是公有还是私有;是否支持802.11a/b/g;欺骗手段是否支持伪造AP信标帧、伪造有线网络结构、伪造缓冲区溢出;AP是真实还是伪造;AP的数量;是否支持802.1X/EAP;是否支持MAC地址过滤、日志、嗅探;是否开源等。参考文献[3]根据这些指标对大部分典型的无线802.11蜜罐进行了详细的比较,并得出评估结论,即HoneySpot在众多蜜罐中最为有效。

2 无线802.11蜜罐的应用

随着无线802.11蜜罐研究的深入,应用领域和研究范围从开始的部署和架构研究转向入侵检测系统(IDS)和入侵防御系统(IPS),应用范围也不仅是WLAN，已扩展到基于IEEE802.11的其他无线网络如Adhoc网络、无线Mesh网络等。

2.1 入侵检测

入侵检测是通过收集计算机网络或计算机系统中的若干关键点的信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。现有的无线802.11蜜罐应用于入侵检测的两种方式：(1)与现有的 IDS软件联动 (如 Snort、WIDZ)。 此时的无线 802.11蜜罐其实充当的是IDS的信息收集器,如纵深欺骗型蜜罐、WHIP[6]、HoneySpot。 (2)利用无线 802.11 蜜罐检测特定的攻击。如参考文献[7]提出的一种用于检测黑洞攻击的无线Mesh网络蜜罐,该蜜罐通过发送伪造的RREQ报文，引诱黑洞攻击节点发送声称自己具有最佳路由的伪造RREP,蜜罐可记录下这些信息从而检测到黑洞节点。

2.2 入侵防御

入侵防御是在入侵检测的基础上,具备阻止/阻塞检测到的攻击的能力。参考文献[8]提出了一种基于规划识别和蜜罐的无线入侵防御系统，可识别攻击者的攻击规划并作出预先决策，通过管理控制台发送警告信息或断开网络,该系统的结构如图4所示。

3 无线802.11蜜罐的主要挑战和发展方向

3.1 拒绝服务攻击防御

图4 无线入侵防御系统结构

目前应用蜜罐防御拒绝服务的研究均在有线网络环境下进行，目的是引入蜜罐使得真实主机受到攻击的概率和强度降低,同时将攻击定向在蜜网内，以减少危害。研究包括将固定配置的蜜罐改进为可漫游的蜜罐,即服务器池中的机器可以动态地在服务态和蜜罐态之间切换;研究利用蜜罐回溯到拒绝服务攻击的源,并使其停止。然而这需要网络硬件设备的支持(如路由器的支持)。而如何在上述研究基础上,利用无线蜜罐抵御无线网络的拒绝服务攻击还有待研究。

3.2 伪装技术

采用真实的计算机系统构建蜜罐系统,其交互程度高,但部署和管理困难;采用虚拟仿真技术,其部署容易,风险较低,但是交互程度低,较容易识别。虽然检测和攻击蜜罐的技术也在发展,但如何通过增强系统伪装智能性,感知和学习实时的无线网络环境,自动地进行系统配置,并确保无线802.11蜜罐的高度真实性和迷惑性,仍有待进一步研究。

3.3 无线802.11邪恶蜜罐

大多数蜜罐都是正义的,检测到入侵后往往采用被动的防护措施,并不会主动还击。然而邪恶蜜罐的提出颠覆了这一特点，蜜罐在遭到入侵后可以还击,如还击扫描、木马、蠕虫，甚至给攻击者设置文件陷阱等。显然今后专门用来反击无线802.11攻击的无线802.11邪恶蜜罐也将成为研究热点。

3.4 WLAN风险评估问题

已有一些研究通过在有线网络中部署蜜罐蜜网，从而对网络进行风险评估。而WLAN作为一种应用越来越广泛的网络，其安全性也至关重要,因此如何通过部署无线802.11蜜罐对WLAN进行风险评估也有待研究。

3.5 法律问题

蜜罐技术涉及的法律问题主要有:可能侵犯黑客的隐私权；诱捕行为的程度及合法性；蜜罐被利用攻击他人的责任。随着邪恶蜜罐的提出,法律问题更加不可回避。

目前,无线802.11蜜罐的研究还不能令人满意,应该借鉴一些成熟的理论、方法和技术,如机器学习、人工智能及数据挖掘等,从而更快地推动无线802.11蜜罐的技术进步,更大地发挥无线802.11蜜罐的价值。

蜜罐和蜜网技术是一种应用欺骗思想的主动防御技术,是现有安全机制的有力补充。无线802.11蜜罐作为新兴研究领域,必然为无线802.11网络安全的研究做出巨大贡献。

参考文献

[1]BECKM,TEWS E.Practical attacks against WEP and WPA[C].Proceedings of the 2nd ACM Conference on Wireless Network Security,2009.

[2]OUDOT L.Wireless honeypot countermeasures.http://www.securityfocus.com/infocus/1761,2004.

[3]HARABALLY N A G,SAYED N E,MULLA S A,et al.Wireless honeypots:survey and assessment[C].Proceedings of the 2009 Conference on Information Science,Technology and Applications,ISTA′09,2009:45-52.

[4]YEK S.Measuring the effectiveness of deception in a wireless honeypot[R].proceedings of the 1st australian computer,Network&Information Forensics Conference,2003:1-10.

[5]SILES R.Honey spot:The wireless honeypot,the spanish honeynet project(SHP)[EB/OL].http://honeynet.org.es/papers/honeyspot/HoneySpot_20071217.2007.

[6]BEEK J V,NAN T,VISSER R,et al.Wireless honeypot intrusion project[EB/OL].https://alumni.os3.nl/～wezeman/phh-02-06-2004.pdf.2004.

[7]PRATHAPANI A,SANTHANAM L,AGRAWAL D P.Intelligent honeypot agent for blackhole attack detection in wireless mesh networks[C].2009 IEEE 6th International Conference on Mobile Adhoc and Sensor Systems,MASS 2009.

[8]Chen Guanlin,Yao Hui,Wang Zebing.Research of wireless intrusion prevention systems based on plan recognition and honeypot[C].2009 International Conference on Wireless Communications and Signal Processing,WCSP 2009.