Embed Size (px)
Citation preview
修 平 科 技 大 學
資 訊 網 路 技 術 系
實 務 專 題 報 告
植基於信標序號分析的偽裝無線
基地台偵測演算法
指導教授 : 高國峯 老師
組長:BN101142 蕭力榕
組員:BN101132 林柏宏
BN101166 劉建志
中華民國 105 年 6 月
I
摘要
偽裝無線基地台的安全危害越來越嚴重,本專題實作模擬偽裝無
線基地台偵測演算法。運用信標訊框的特性,試驗在無線網路的環境,
裡判斷是否存在可疑的 AP。該演算法將會擷取設備範圍之內所有 AP
發送的 Beacon封包,在不影響 AP與接受端資料接收與發送的情況下,
進行封包擷取並過濾所需資訊的動作。運用此演算法嘗試對已過濾的
封包資訊判斷,對於掌握範圍內無線網路的存在,以及是否存在非法
AP(Rouge AP),將有非常大的助益。
為了取得合法 AP及非法 AP的封包,又在不影響無線網路運行的
情況下,所採取的擷取方式將有兩種:(1)以手機搭配 OTG(On-The-Go)
的線材及搭配具有 RTL8187以上之晶片的 USB無線網路卡以 Pcap
capture來進行封包擷取的工具;(2)利用具 Linux系統的主機以無
線網路卡進行定點擷取的工具。主要目的在於正確取得信標訊框。就
可以確認該網路目前確實存在於該範圍之內,以便進行下一步工作。
本計畫將利用第二種方法來做為主要的擷取方式。本計畫的執行
將以擷取 Beacon封包並以演算法分析,最後藉由實驗成果的曲線圖
以及數據呈現出合法及非法 AP之間的差異性,對於環境中無線網路
的安全性、非法 AP的預防及偵測,相信將有極大的幫助。
II
章節目錄
摘要................................................................I
章節目錄........................................................... II
第 一 章 前言 ...................................................... 1
1-1 研究動機與研究目的........................................ 1
1-2 簡介...................................................... 3
1-3 硬體與軟體需求............................................ 4
第 二 章 文獻探討 .................................................. 6
2-1 非法 AP的定義與防範....................................... 6
2-2 非法 AP的類型............................................. 9
2-3 Beacon frame 的欄位格式與功用 ............................ 11
2-4 偵測非法 AP的方法........................................ 14
2-5 擷取封包軟體............................................. 18
2-5.1 執行於電腦的監聽及擷取封包軟體..................... 18
2-5.2 執行於手機的擷取封包軟體........................... 21
2-6 了解攻擊者的模仿 AP模式並找出其中差異性.................. 22
第 三 章 非法 AP的實驗與實作 ...................................... 25
3-1 模仿攻擊者架設 AP ........................................ 25
3-1.1 實驗環境網路架構與封包處理流程..................... 26
3-1.2 執行 aircrack-ng所有功能的前置作業................. 28
3-1.3 偵測周圍 AP訊號.................................... 30
3-1.4 架設違法虛擬 ap .................................... 31
3-2 擷取封包................................................. 33
3-3 將收集到的封包匯入 Wireshark ............................. 38
3-4 匯入 SQL Server .......................................... 39
3-5 調整封包資料以利進行判斷................................. 44
3-6 測試用資料取得地點的選擇與數據取得....................... 46
第 四 章 非法 AP偵測之演算法 ...................................... 60
4-1 非法 AP偵測之演算法...................................... 60
4-2 以 SQL Server 進行演算法規則撰寫.......................... 63
4-3 演算法測試實驗........................................... 69
第 五 章 問題與討論 ............................................... 74
第 六 章 結論與未來研究方向 ....................................... 75
參考文獻........................................................... 76
III
圖目錄
圖 (1-1) 企業的 AP因私自架設的 AP 而產生漏洞................................ 2
圖 (2-1) Beacon 的訊框格式................................................................. 11
圖 (2-2) Kismet...................................................................................... 18
圖 (2-3) Wireshark................................................................................ 19
圖 (2-4) inSSIDer.................................................................................. 20
圖 (2-5) aircrack-ng............................................................................ 20
圖 (2-6) pcap capture.......................................................................... 21
圖 (2-7) 攻擊者可能模仿的欄位及特徵判斷...................................... 23
圖 (3-1) 模仿攻擊者架設 AP示意圖.................................................... 25
圖 (3-2) 高度干擾實驗環境 E405教室網路架構圖............................ 26
圖 (3-3) 中度干擾實驗環境男生宿舍網路架構圖.............................. 26
圖 (3-4) 無干擾實驗環境地下停車場網路架構圖.............................. 27
圖 (3-5) 封包取得與處理流程圖.......................................................... 27
圖 (3-6) 查看電腦實體介面之執行畫面.............................................. 28
圖 (3-7) 延伸虛擬介面之執行畫面...................................................... 29
圖 (3-8) 查看周圍無線訊號指令圖...................................................... 30
圖 (3-9) 查看周圍無線訊號之執行畫面.............................................. 30
圖 (3-10) 隨機產生網卡位址.................................................................. 31
圖 (3-11) 產生指定網卡位址.................................................................. 31
圖 (3-12) 架設虛擬 AP之執行畫面........................................................ 31
圖 (3-13) 虛擬 AP架設後被嘗試連線.................................................... 32
圖 (3-14) 擷取封包示意圖...................................................................... 33
圖 (3-15) 擷取封包執行指令.................................................................. 34
圖 (3-16) 封包擷取之執行畫面.............................................................. 34
圖 (3-17) 擷取封包後自動產生的檔案.................................................. 35
圖 (3-18) Pcap capture........................................................................ 35
圖 (3-19) 選用的 USB無線網路卡.......................................................... 36
圖 (3-20) 以手機擷取封包實作畫面...................................................... 37
圖 (3-21) 擷取封包過程 圖 (3-22) 收集後的封包封存............ 37
圖 (3-23) 在 wireshark內處理及過濾封包流程圖.............................. 38
圖 (3-24) 將.csv檔匯入 SQL Server 流程圖....................................... 39
圖 (3-25) 因有逗號故以 Excel進行資料排序...................................... 40
圖 (3-26) 匯入非 Excel資料之錯誤訊息.............................................. 40
圖 (3-27) 設定 Excel資料分隔設定 1................................................... 41
圖 (3-28) 設定 Excel資料分隔設定 2................................................... 41
圖 (3-29) 已經過 Excel排序後的資料.................................................. 42
IV
圖 (3-30) 新增資料表-新增查詢指令.................................................... 42
圖 (3-31) 新增資料表後匯入資料.......................................................... 43
圖 (3-32) 未對齊封包資料...................................................................... 44
圖 (3-33) 已對齊封包資料...................................................................... 45
圖 (3-34) 實驗地點 1............................................................................... 47
圖 (3-35) 實驗地點 2............................................................................... 48
圖 (3-36) 實驗地點 3............................................................................... 49
圖 (3-37) 實驗方法 1之示意圖.............................................................. 50
圖 (3-38) 延伸虛擬介面之執行畫面及指令.......................................... 50
圖 (3-39) 偵測周圍無線訊號之執行畫面.............................................. 51
圖 (3-40) 將 MAC Address 修改為選定的 AP........................................ 52
圖 (3-41) 架設已經進行 MAC修改的虛擬 AP......................................... 52
圖 (3-42) 實體設為監控模式-步驟 1..................................................... 53
圖 (3-43) 實體設為監控模式-步驟 2..................................................... 53
圖 (3-44) 實體設為監控模式-步驟 3..................................................... 53
圖 (3-45) 實體設為監控模式-步驟 4..................................................... 53
圖 (3-46) 經修改後可正常運行的 AP 之執行畫面................................ 53
圖 (3-47) 實驗方法 1的擷取結果欄位缺失.......................................... 54
圖 (3-48) 實驗方法 2示意圖.................................................................. 54
圖 (3-49) 實驗方法 3示意圖.................................................................. 55
圖 (3-50) 實驗方法三-查看新網卡的代號............................................ 57
圖 (3-51) 實驗方法三-將新的網卡設定為監聽模式............................ 57
圖 (3-52) 實驗方法三-修改 MAC Address............................................. 58
圖 (3-53) 實驗方法三-經過修改的無線網路卡之結果畫面................ 58
圖 (3-54) 實驗方法三-擷取封包結果.................................................... 59
圖 (4-1) 演算法流程圖.......................................................................... 60
圖 (4-2) 演算法規則輸出資料.............................................................. 68
圖 (4-3) E405 教室測試現場…………………………………………………………….69
圖 (4-4) 男生宿舍測試現場……………………………………………………………..70
圖 (4-5) 地下停車場中段測試現場………………………………………………….71
圖 (4-6) 實驗環境之結果曲線圖.......................................................... 72
1
第 一 章 前言
1-1 研究動機與研究目的
網際網路在這幾十年間蓬勃發展,現已成為現在社會日常不可或
缺的角色。新興的網路工具,如電子郵件、網路日誌、即時通訊、線
上金融投資等…已慢慢成為人類日常生活中重要的部份,而在網路安
全的保護中,維持企業內部 AP的合法性,保護內部資料安全,是對
資安重大的課題。一般來說,無線網路對於接收端的資訊保密性,使
得接收端通常無法得知 AP是否進行著正確的資料傳輸。而讓資料可
能會有外洩的風險。
這樣的問題,對於網路管理人員懷疑他人私自架設 AP使用網路
服務時就更令人困擾了。網路管理人員藉由擷取封包,可能得知某個
接收端連上某個 AP,但該 Beacon卻也可能是由附近的 AP發出的,
其情境,如圖 (1-1)所示。若有了私自架設的 AP,破壞了企業網路
的一致性及合法性,就像泡泡一樣有了洞就會破掉,而讓網路不再具
有完善的安全性,而能夠透過這台私自架設的 AP連線進行攻擊,我
們希望實作一個能夠即時判斷出該 AP是否為私自架設的並運用在無
線網路的環境裡,可以有效擷取出封包並進行分析的工具。情境如圖
(1-1)
2
圖 (1-1) 企業的 AP因私自架設的 AP而產生漏洞
3
1-2 簡介
現今無線網路技術快速發展及大量使用者的需求下,使得無線網
路的架置成本越來越低、快速簡單的架設過程且只要做一些簡單的設
定就可以使用,這儼然已成為一種趨勢。但也因為如此,在本該是合
法的無線網路下,為了方便私自架設 AP已經不再困難,也因為方便,
所以私自架設的 AP(wireless LAN Access Point,AP)通常不具有
任何的安全措施。也就是處於 OPEN的狀態,而這種做法只要開啟
Wi-Fi選定後就會自動連線,但同時也破壞了無線網路的安全性,提
供有心人士一個進行攻擊的管道,造成資訊安全的重大威脅。例如可
以隨意存取內部網路。所以非法 AP的偵測成了一個很重要的課題。
此專題將針對 AP的無線網路封包的特性並以演算法進行判斷,
封包擷取端收集周圍 AP的 Beacon封包。為了確認演算法在各種環
境都通用,本研究以多樣的環境,不同的干擾程度進行收集的動作。
匯入資料庫後,再根據演算法規則所撰寫的新增查詢指令進行過濾並
找出其中是否有存在不正常動作的非法 AP(Rouge AP)存在。在非
法 AP的部分將利用電腦自行架設了一台以周圍環境的 AP資訊為基本
的虛擬 AP,並模仿其中的一台 AP(以學校的 AP作為模仿目標並修改
其 SSID)作為一台非法 AP,並進行擷取,以周圍環境干擾而偶然會
出現不符合規則的動作作為此演算法的判斷基準。
4
1-3 硬體與軟體需求
本演算法運行的基本要求為需要多個不同程度干擾的擷取點。封
包擷取端以 Ubuntu 14.10作為作業系統的桌上型電腦搭配無線網路
卡或以智慧型手機/平板電腦搭配 USB無線網路卡來進行擷取的動
作。
虛擬 AP端則以桌上型電腦搭配無線網路卡並新增虛擬介面
(Virtual Interface)後架設出以實體硬體的 MAC Address以及 IP
Address為基本的虛擬 AP(Virtual AP)。
表 (1-1) 使用之硬體與軟體
封包擷取端 虛擬 AP 端 資料分析
硬體
桌上型電腦、筆
記型電腦、USB無
線網路卡*2
桌上型電腦、智慧型
手機、USB 無線網路
卡
桌上型電腦
作業系統 Android 作業系
統、Ubuntu 14.10
Android 作業系統、
Ubuntu 14.10
WINDOWS 7
使用軟體 Pcap capture、
Aircrack-ng
Aircrack-ng SQL SERVER
2012,Wireshark
5
本專題報告其他章節的內容組織如下:第二章中將描述本專題的
相關技術概況、目前偵測非法 AP的方法及其優缺點。第三章則以說
明本專題所提的環境架構進行建置、實驗流程以及遇到的困難。第四
章裡則以說明演算法本身的運作規則以及此演算法輸出的數據呈現
為主。第五章會針對此專題報告及實驗過程的失誤提出檢討,第六章
將總結本專題,以及未來的研究方向。
6
第 二 章 文獻探討
2-1 非法 AP 的定義與防範
非法 AP(Rouge Access Point , Rouge AP)的定義是無線 AP未
經由公司及區域網路管理員的允許所架設的或者是駭客指示中間人
(通常是買通公司內部的人)來進行架設非法 AP以進行中間人攻擊
(man-in-the-middle attack),最常見的做法通常是以架設大量價
格低廉的無線 AP並以未經授權的方式到達目標網域並拿取需要的資
料,而這種非法 AP又有分為四大類。在稍後 2-2非法 AP的類型會進
行詳細的說明。
為了預防非法 AP被安裝,公司可以安裝無線入侵阻止系統來監
控未知的 AP,這種方式可以利用大量架設的無線 AP來偵測具有威脅
性的數據傳輸,這些具有管理功能的AP就會在受保護的網路下運作,
無線入侵阻止系統利用了這些 AP以不中斷偵測的方式以得知是否有
任何的非法 AP存在於無線區域網路之內,這種方法最常見的做法就
是它是利用傳統的白名單與管理 AP得知的所有 AP資訊並一一比對過
濾出黑名單,但是這種方法通常會有產生許多的誤判,攻擊者通常也
已經想到這一點所以會做預防措施(例:修改 MAC位址),此專題同時
也會針對這些缺點進行改進。
7
為了偵測非法 AP存在與否,當出現以下兩種情況時需要進行測
試:
1.AP是否存在於 AP列表中。
2.是否連線至合法的網路中。
為了偵測上述的兩種情況需要進行以下簡單的測試:比對無線
MAC位址並找出違反管理 AP中 MAC位址列表的 AP。
但進行這種測試會遇到以下幾種問題:1.需要過濾不同樣的設備:
比如說橋接器(bridge)、NAT(router)、未加密的無線連接、加密的
無線連接。2.在大量 AP中沒有關係的有線及無線的 MAC以及軟體架
設而成的 AP。3.需要去判斷 AP在連接大型網路中回傳時間是否在允
許的範圍內。4.需要去特意迴避已經被認定是非法的 AP。
疑似非法的 AP會出現會在無線入侵阻止系統沒有正確連線到受
保護的網路時,這時這些疑似非法的 AP就會如同非法線路一般,且
管理 AP上的頻寬資源會屢次的浪費在追蹤這些 AP上。
這些疑似非法的 AP也可能會架設用於妨礙非法線路給予周遭善
意 AP權利的動作,進而讓非法線路中斷連線。
當無線入侵阻止系統無法偵測的 AP已連線至受保護的網路中時
它就如同非法線路一樣,此時就會出現無法確定 AP,無法確定的 AP
就會出現於安全的漏洞中。
8
如果未經授權的 AP連線至受保護的網路內並被找到時,這就是
內部非法 AP,換句話說,如果未經授權的 AP未連線至受保護的網路
中並被找到時,這就是外部非法 AP,而因為 AP對於使用者的資訊保
密性,這些非法 AP均會混淆使用者,因為使用者通常不會想太多,
所以這無疑是無線網路的一大危險。
9
2-2 非法 AP 的類型
非法 AP被架設的目的不盡相同,不過通常都有個共通點:取得
流量中的重要資訊,例如:連線授權、密碼、硬體資訊…等等,所以
以下將介紹非法 AP的類型。同樣的,也是以取得資料為前提介紹。
1.一般非法 AP
一般為了方便而架設的 AP。沒有經過任何刻意的模仿,此種非
法 AP的出現會造成周圍頻道的干擾而造成訊號的減弱等影響,但危
害程度不至於到達可造成危害的程度,而此種非法 AP種類通常更可
能是個人架設且在使用中的 AP。
2.簡易模仿的非法 AP
特意修改 SSID的非法 AP且使用者也可以輕易做到。現在連手機
都可以輕易地模仿 SSID,但因為不在同一個頻道所以就不容易被察
覺,但在 AP對手機的資訊保密性下仍是具有基本威脅性的非法 AP。
10
3.刻意模仿的非法 AP
特意修改 MAC Address的 AP。現在的 Wi-Fi網路偵測 app都可
以看到周圍設備的 MAC Address,使用者只要使用後就可以以此為根
據修改 MAC Address,因為只要修改 MAC Address及 SSID後 AP發出
的 Beacon frame就會讓網路嗅探工具視為是同一 AP發出的,進而欺
騙使用者,修改 MAC Address的 AP可能是實驗性質,也可能是懷有
惡意的,但此種非法 AP類型已具有一定的威脅性。
4.需要經過收集後才能模仿的非法 AP
在收集封包並解析後才可進行模仿的非法 AP。在收集封包後解
析出其中可以模仿的欄位並以參數進行修改,上述的兩個非法 AP類
型是模仿目標的 SSID與 MAC Address,而此類型的 AP是頻道(channel)
以及頻率間隔(Time interval)都進行模仿的,上一個類型的非法 AP
仍有頻道不同的問題,但此類型的 AP已經除了將使用者可以查看到
的資訊模仿外,連 Beacon Frame的發送頻率都已經模仿,是駭客常
用的非法 AP類型,同時也是具有強烈惡意及威脅性的非法 AP類型。
同時也是本專題會進行模仿的 AP。
11
2-3 Beacon frame 的欄位格式與功用
Beacon frame是存在於管理封包裡的重要訊框,主要工作是讓
client得知此 AP的存在。當 client開啟 wi-fi進行掃描後即會顯
示出可供連線的 AP,就是因為接收到該 AP發出的 beacon frame,此
時移動設備就可以發出要求與該 AP進行連線。
圖(2-1)為 beacon frame的訊框格式:
圖片來源:http://www.mdpi.com/1424-8220/14/1/1850/htm
圖 (2-1) Beacon的訊框格式
1. Source (來源) :
代表 AP的發送位址,這個欄位通常顯示的是該設備的 MAC
Address。
2. Destination (目的地) :
代表該訊框的發送目的地,資料封包及控制封包的目的地通常都
是 client本身,但 Beacon frame的目的地皆是廣播位址。
12
3. Arrival Time (到達時間) :
代表該設備收到該筆資料的時間。
4. Sequence number 序列號碼 :
代表了將該訊框或封包進行編號以此做為資料傳輸的順序,而因
為無線訊號並不會一直存在於空氣中所以此欄位在固定的數量
時會出現重置的現象。
5. MAC address :
以前半段廠商專屬出廠代號加上後半段硬體本身的識別組成的
編號,是每個網路設備都會有的硬體識別編號,要進行硬體管理
時也可以以此欄位進行管理。
6. SSID (服務組編號):
SSID為一串文字或添加數字所組成的名子,也可說是代表擷取
點(AP)的名子,且 SSID的長度通常介於 0到 32個位元組之間。
7. Time stamp (時間戳記) :
目的為讓相同 BSS中的工作站做同步,BSS的基地台計時器會定
期傳送目前已使用到的微秒數(Micro-second),當此欄位到達最
大值的時候,就會從頭累計。
13
8. Beacon interval (訊標間隔) :
每隔一個時間單位就會發出 Beacon frame,一個時間單位相當
於 1024個微秒,通常訊標間隔會設定為 100個時間單位,相當
於 0.1秒 。
而 Beacon frame中除了包含 BSS參數的資訊,也包含 AP暫存訊
框的資訊,因此行動式工作站必須仔細聆聽 Beacon frame。
9. Capability information(性能資訊):
用來表示該網路提供那些功能,工作站會依據性能資訊來判斷自
己是否有資源此 BSS所具備的功能。
14
2-4 偵測非法 AP的方法
(a)筆記型電腦手動偵查法
筆記型電腦是一般民間或任何地方都較為常見的封包偵測法,作
法通常是利用筆記型電腦搭配 USB無線網路卡以搜尋周圍 AP之名稱
(SSID)的方式來判斷該 AP是否合法。如果對 AP抱持懷疑,再利用
訊號強度來大約判斷此 AP是合法、非法以及大概位置,以全人工的
方式進行 AP的判斷。但是這種方法防範為數不多的 AP有一定的效率,
對於由公司行號、政府建立的大量 AP或者是由內部員工利用公司內
部無線區域網路(WLAN)以方便為目的私自架設連線使用或未經申請
與控管的大量 AP而言就是一件非常累人的事情了,因為必須利用人
員地毯式的在內部尋找,所以缺乏即時性,而且通常都是員工發現無
線區域網路變慢,出現干擾時才會通知網管人員,但這時事情通常已
經有一定程度的嚴重性了,礙於網管人員平日工作量大,沒有時間進
行,故通常等到問題具一定嚴重性才處理。
15
(b) 封鎖交換器連接埠法
此種方法通常搭配筆記型電腦手動偵查法使用。是在利用筆記型
電腦得知周圍網路的 AP名稱後,再分析有非法流量之虞的 AP連接的
port編號,再連上 switch將這個 port的流量限制住,可以使用於
網路環境較單純的地方,通常網路管理外包的廠商接收到客戶的要求
後就會利用此種方法來保護客戶的網路再進行問題排除,可以利用此
種方法的地方例如:醫院;因為醫院為了不要影響到儀器的運作都是
禁止無線網路的架設及存在的,若有發現無線網路的存在廠商即可立
即封鎖該無線網路的流量,因為無線網路的訊號在某些有精密儀器的
特殊病房甚至可能危及病人的生命安全。
但是如果在網路環境較為複雜的地方,連接埠數量大,廠商無法
全盤得知客戶的網路設備連接埠的具體功用,就會利用工具分析流量,
即立即封鎖該 swich的 port,但通常要等到流量到達一定程度的時
候才會封鎖連接埠,且攻擊者不一定會利用需要大量資料交換的攻擊
方式,所以除了該種方法之外,還需要搭配多種的防護才可以達到防
護的目的,故這種方法在管理上較為複雜。
16
(c) 資產管理設備法
因為 core switch在有新的 AP連接並連線後就會新增至路由表
(Route Table)並納入網路架構的一部份,所以這種方法就是利用
資產管理系統的輔助來執行,因已經將 AP納入架構中,所以資產管
理系統可以迅速的掃描目前的網路環境內的設備,並比對網路設備的
變更紀錄來確定設備更動情形,如有發現未經允許的網路設備出現,
就可以立即通報網管人員進行處理,但是目前的資產管理系統多利用
client-server的方式且大多利用網頁方式呈現,所以對於使用者所
能得知的設備其實不盡完全,所以必須利用監控程式才可以監控無線
網路卡,且不能監控一般的 AP,如果想要隨時的監控周圍設備,就
必須開啟即時監控模式,但是這樣將會佔用大量的頻寬且成效不彰,
所以大多不會開啟即時監控模式,大多採取定時排程,但這樣無法立
即得知並阻止入侵行為。
(d) 單一型無線監控
此種方法主要是以”聽”為作法且不主動發送訊號的做法為主
的產品,因 AP只要與擷取封包裝置取得連繫時,即會主動發出訊號,
這類產品就能從訊號中進行分析,加密與否或是有安全性的疑慮。
17
(e) 整合型無線管理
這類的產品是採用 Thin AP(Thin AP:與一般 AP比較起來,功
能較為薄弱,除了能夠發送訊號之外其他基本上都無法設定,從功能
性上就與 Fat AP區隔開來。)來進行無線網路集中管理,這類產品大
約分為無線訊號管理、認證伺服器管理以及入侵防護系統,雖然這類
型產品對於無線網路管理功能強大,但也有單價高的缺點,且需要採
購同品牌的 AP,適用於無線網路環境尚未成熟的新公司。
在上面描述了非法 AP的定義與防範及偵測非法 AP的方法後,我
們將以方法(d)單一無線監控來進行實驗用封包的主要取得方式。利
用對我們架設的非法 AP再以擷取設備進行擷取封包的動作來取得需
要的資料後並進行進一步的分析。
18
2-5 擷取封包軟體
要進行非法 AP偵測前必須先取得封包,而當今市面上有許多的
擷取封包軟體,電腦理所當然地可以達成,只要買符合自己需求的設
備就可以達到與自己目標相近的結果,手機雖然也有類似的軟體,但
依靠手機的天線能夠偵測到的 AP數量非常有限,同時大多數的軟體
也無法使用外部設備進行封包擷取,於是在試用了多數的軟體後選出
了下列幾款選用的軟體:
2-5.1 執行於電腦的監聽及擷取封包軟體
1. Kismet
圖 (2-2) Kismet
這款軟體主要的功能是偵測周圍無線訊號並以可以以個人習慣
進行設定,但在使用上並不貼近使用者,所以這款軟體作為初期的訊
號偵測使用。
19
2. Wireshark
圖 (2-3) Wireshark
這款可說是網路上主流的封包分析軟體,主要功能可以匯入擷取
後的封包封存檔(.cap)並進行篩選,除了軟體本身預設的一些欄位之
外,也可以針對各種封包(控制、管理與資料)裡的資料進行特定的欄
位客製化,但是在欄位客製化上參數種類極多,需要先了解後才可以
上手,此軟體用於封包過濾、訊框過濾,訊框欄位過濾以及 beacon
frame的輸出。
20
3. inSSIDer
圖 (2-4) inSSIDer
這款軟體是以圖形化的介面周圍無線訊號偵測及過濾設定,能提
供即時的周圍 AP的頻道、訊號強度、SSID、無線網路版本(802.11
系列)及頻寬,也因為圖形化介面,更貼近使用者,不用深入了解也
可以很快上手使用。
4. Aircrack-ng
圖 (2-5) aircrack-ng
21
此款軟體是執行於 Linux環境下並以文字介面使用,功能強大,
能做到加密、解密、偽裝、範圍擷取、針對固定 AP擷取…等等諸多
功能,在使用上要搭配多種參數,其中牽涉到驅動程式是否被正確安
裝,在使用上並不貼近使用者,需要去了解後才可以上手,此軟體作
為模擬攻擊者架設 AP、周圍無線訊號偵測、封包擷取使用。
2-5.2 執行於手機的擷取封包軟體
1.pcap capture
圖 (2-6) pcap capture
此款軟體是運行於Android作業系統的app,在使用上容易上手,
但對於硬體(手機,USB無線網卡)的限制較多,手機的輸出不足容易
出現擷取中斷的情形,USB無線網卡也有晶片上的限制,此軟體作為
實驗初期以移動方式擷取封包以便了解數據使用。
22
2-6 了解攻擊者的模仿 AP 模式並找出其中差異性
要偵測出非法 AP之前,要先了解攻擊者在進行非法 AP架設時會
模仿目標 AP裡的什麼欄位,也就是以攻擊者的角度來看合法與非法
AP的差異性。以下是攻擊者可能會模仿的 AP設定:
1. Service Set Identifier:SSID(服務組編號):
現在的手機都可以隨意更改 SSID,在無法得知 MAC Address的
情形下,手機熱點也可以視為某種非法 AP的存在。
2. Media Access Control – MAC(實體硬體位址):
攻擊者特意模仿此設定並搭配修改 SSID的話帶來的欺騙成效
會比其他的設定還來得高,甚至只要修改這兩項設定就可以建立一個
基本的非法 AP,但在訊號及 AP混雜的情況下是無法連上線的,必須
在取得目標 AP資訊後進行攻擊將目標 AP的動作停止。
3. Channel:頻道:
無線網路是建立在各個頻道下的,攻擊者可以利用軟體得知
AP是存在哪個頻道並在同一個頻道下出現進行欺騙讓使用者連線。
23
4. Beacon Interval:時間間隔:
攻擊者模仿 Beacon Interval並以此作為發送 Beacon的時間
間隔以讓使用者在不知情的情形下並要求進行連線。
在了解了攻擊者會模仿的欄位後,即可以攻擊者的特徵為條件來
觀察與合法 ap有何差異。圖(2-7)為我們以學校 AP資訊為基礎架設
非法 AP並進行擷取後的封包檔,以此從中判斷攻擊者的特徵:
圖 (2-7) 攻擊者可能模仿的欄位及特徵判斷
在上圖的方框為非法 AP的特徵判斷,在 Arrival Time欄位中因
為 AP的出現時機不同,所以會出現少許差別。而 Sequence number
因為 AP會有定期重置 Sequence number避免封包長度過長的動作,
所以因為重置時間不同會出現差別。Beacon Interval則會因為外在
干擾因素(空氣...等等)會有出現傳送時間稍有誤差。TS欄位會因為
24
封包到達時間不同而出現誤差。
橢圓框為非法 AP可能模仿的欄位,MAC欄位及 SSID欄位都會因
為模仿而令一般使用者難以察覺。
25
第 三 章 非法 AP 的實驗與實作
在本章將分成六節,要描述的是模擬我們作為攻擊者會如何架
設非法 AP讓使用者上當以擷取其中的重要資訊以及作為網管人員
會如何對非法 AP進行封包擷取及如何選擇出實驗的環境。第四章則
是延續第三章擷取封包後如何利用演算法判斷此 AP為合法或是非
法並撰寫出演算法,第五章為我們在此專題中遇到的困難描述以及
種種不足的地方。
3-1 模仿攻擊者架設 AP
圖 (3-1) 模仿攻擊者架設 AP示意圖
我們利用了 aircrack-ng中包含名為 airbase-ng的功能。它的
功能為架設並設定虛擬 AP的參數。以下是模仿攻擊者架設 AP的指
令、實驗環境網路架構、封包取得與處理流程、過程及執行畫面:
26
3-1.1 實驗環境網路架構與封包處理流程
為了使封包讓演算法判斷,於是選擇了三個地點進行封
包抓取。以下是三個地點的網路架構:
圖 (3-2) 高度干擾實驗環境 E405教室網路架構圖
圖 (3-3) 中度干擾實驗環境男生宿舍網路架構圖
27
圖 (3-4) 無干擾實驗環境地下停車場網路架構圖
下圖流程表為整個實驗的流程,在後面章節進行會描述
圖 (3-5) 封包取得與處理流程圖
偵測周圍AP訊號
模仿並架設違法AP
擷取合法及非法AP的封包
匯入wireshark並過濾所需欄位
匯出.csv檔
匯入至excel
將資料對齊後匯入至SQLserver
套用演算法並輸出結果
將結果化為曲線圖4
28
3-1.2 執行 aircrack-ng所有功能的前置作業。
在執行 aircrack-ng所有功能前都必須先將虛擬監控介面由實
體介面延伸出來,這是保護實體介面的作法,後面使用 aircrack-ng
的時機都要使用。以下是由實體介面延伸出虛擬監控介面的指令:
(1) 查看目前安裝的實體介面:ifconfig
在延伸出虛擬介面之前必須先知道自己的電腦有安裝什麼實體
介面,以利延伸出虛擬監控介面。如圖(3-6)
圖 (3-6) 查看電腦實體介面之執行畫面
29
(2) 延伸虛擬監控介面:airmon-ng
為了能夠使用實體介面的參數及保護預設參數,所以必須延伸
出虛擬監控介面(這步驟為強制執行),可以看到延伸出的虛擬監控
介面名稱為 mon0。如圖(3-7)
圖 (3-7)延伸虛擬介面之執行畫面
30
3-1.3 偵測周圍 AP訊號
在架設虛擬 AP前必須先知道目標 AP的資訊,於是先利用名為
airodump-ng的功能查看目前周圍訊號。以下是指令及執行結果:
(1) 偵測周圍訊號:airodump-ng
圖 (3-8) 查看周圍無線訊號指令圖
圖 (3-9) 查看周圍無線訊號之執行畫面
31
3-1.4 架設違法虛擬 ap
在得知周圍有哪些 AP存在後,可以得知 MAC Address、SSID、
發出的 beacon活躍度(越高可以取得的資料量越大)、加密模式、訊
號強度 Time Interval以及頻道,即可以依照 MAC Address、SSID、
頻道以及 Time Interval進行模擬。以下是架設虛擬 AP的過程、指
令及執行畫面。
(1) 模仿網卡的 MAC Address:macchanger
圖 (3-10) 隨機產生網卡位址
圖 (3-11) 產生指定網卡位址
(2) 架設虛擬 AP:airbase-ng
圖 (3-12) 架設虛擬 AP之執行畫面
32
圖 (3-13) 虛擬 AP架設後被嘗試連線
被要求進行連線後表示可以取得該 client的資料,該 AP已具
有欺騙的功能,至此虛擬 AP架設完成。
33
3-2 擷取封包
圖 (3-14) 擷取封包示意圖
擷取封包的目的是有助於了解對於 Beacon frame的訊框格式
以及其中的運行規則,於是擷取的方式越多元化越佳,市面上也有
許多的封包擷取軟體,所以以固定式擷取以及移動式擷取為條件選
擇其中兩款軟體,以下是我們所選擇的兩款軟體:
34
在整個實驗過程中的架設違法 AP以及擷取封包所使用的軟體
皆為(a)固定式擷取軟體,因為使用手機進行擷取固然方面,但在需
要長時間擷取的考量下所以選擇(a)。
(a) 固定式擷取軟體:Aircrack-ng
Aircrack-ng裡有 airodump-ng的偵測訊號功能,同時它也有
擷取封包的功能,於是可以利用此功能進行封包擷取的動作。以下
是輸入的指令以及其執行畫面。
(1) 擷取封包並指定儲存位置
圖 (3-15) 擷取封包執行指令
圖 (3-16) 封包擷取之執行畫面
35
Ubuntu的指令中斷按鍵為 ctrl+c,同樣也是封包擷取的中斷指令,
中斷後的檔案會儲存為下列 4個格式的檔案,結束固定式封包擷取
的流程。如圖(3-17)
圖 (3-17) 擷取封包後自動產生的檔案
(b) 移動式擷取軟體:pcap capture
圖 (3-18) Pcap capture
36
此款軟體的限制為必須使用具RTL8187晶片的USB無線網路卡,
於是我們使用的 USB無線網路卡的規格如下:
GSKY 802.11b/g USB wireless net interface card
廠牌 GSKY
型號 GS-27USB
晶片 RTL8187
支援協定 802.11b/g
MAC Address 00:E0:4C:92:77:6E
介面 USB 2.0
天線接頭 RP-SMA
天線功率 5dBi
表 (3-1) 無線網卡硬體規格表
圖 (3-19) 選用的 USB無線網路卡
37
圖 (3-20) 以手機擷取封包實作畫面
圖 (3-21) 擷取封包過程 圖 (3-22) 收集後的封包封存
38
3-3 將收集到的封包匯入 Wireshark
圖 (3-23) 在 wireshark內處理及過濾封包流程圖
因為預設的欄位設定並不是我們需要的,所以必須先將欄位設
定為需要的,以下為欄位的設定:
Source Source address
Destination Destination address
Arrive _time Custom(frame.time_epoch)
Sequence_number Custom(wlan.seq)
MAC_Address Custom(wlan.bssid)
AP_SSID Custom(wlan_mgt.ssid)
Timestamp Custom(wlan_mgt.fixed.timestamp)
Beacon interval Custom(wlan_mgt.fixed.beacon)
表 (3-2) Beacon欄位與 wireshark欄位之對應表
將欄位客製化後就可以查看我們所需要的資料,接著利用廣播
欄位客製化
匯入Wireshark
過濾出.cap中的beacon frame
另存為.csv檔
39
位址為過濾條件輸入 wlan.da == ff:ff:ff:ff:ff:ff 即可過濾出所
有的 beacon frame,這時即可將封包資料輸出為.csv檔供 excel
進行資料排序。
3-4 匯入 SQL Server
圖 (3-24) 將.csv檔匯入 SQL Server流程圖
SQL server要進行匯入時如資料分隔有逗號(如下圖)會有錯誤
的情形發生,如果以人工輸入資料料太過龐大,所以我們採用先匯
入 Excel後讓資料正確排序後再匯入 SQL Server。
以excel開啟.csv檔
設定字元間隔條件
新建資料表
將在excel中經過排序的資料匯入SQL Server
40
圖 (3-25) 因有逗號故以 Excel進行資料排序
圖 (3-26) 匯入非 Excel資料之錯誤訊息
如上,Excel在匯入非以 Excel本身輸出的資料時,會出現以
上錯誤訊息,點擊”是”即可。
41
圖 (3-27) 設定 Excel資料分隔設定 1
選擇”固定寬度”後點選”下一步”進行資料分隔設定。
圖 (3-28) 設定 Excel資料分隔設定 2
42
因為是以逗號為分隔設定,所以選擇”逗號”,文字中斷辨識
符號是雙引號。
圖 (3-29) 已經過 Excel排序後的資料
經過設定後,原本在 csv裡的資料已經經過排序,即可匯入 SQL
Server使用。
在匯入之前需先將資料表新增出來,新增查詢指令如圖(3-30)
圖 (3-30) 新增資料表-新增查詢指令
43
圖 (3-31) 新增資料表後匯入資料
44
3-5 調整封包資料以利進行判斷
調整封包資料的目的在於初始化封包的第一筆資料以符合演算
法的流程以及讓被對齊的欄位只顯示誤差值、讓人眼較方便判斷,
因為攻擊者在架設非法 AP時會因為外在因素而讓資料出現非微小
的誤差。
圖 (3-32)未對齊封包資料
45
圖 (3-33)已對齊封包資料
46
3-6 測試用資料取得地點的選擇與數據取得
檢測非法 AP之前要先取得大量的數據,所以我們在校內各地偵
測無線訊號以要求取得最適當的環境來進行封包擷取。以下是我們
在校內收集的各個數據:
表 (3-3) 校內地點 AP統計數量表
地點 AP數量
停車場 中段 ------ 2個
中後段 ---- 2個(訊號弱)
後段 ------ 1個(訊號弱)
機車棚 大 -------- 4個
小 -------- 5個
B棟 右中柏油路 -2個
吸菸區 ---- 3個
體育館 ---------- 2個
吸菸區 ---- 3個
保健室 ---------- 2個
女生宿舍 ---------- 2個
男生宿舍 ---------- 6個
47
司令台 ---------- 2個
董事會 ---------- 2個
圖書館 ---------- 3個
C棟(學生自治) ---------- 4個
D棟(應財系外) ---------- 6個以上
E405教室 ---------- 7個
從上述收集的數據中我們依照三個條件挑選出 3個地點來進行
數據的取得。以下為選出的三個地點:
嚴重干擾 – E405教室
圖 (3-34) 實驗地點 1
48
會以此地點選為嚴重干擾的原因是:因為這裡已經有大量且穩
定的無線網路環境供人使用了,在內部的人沒有必要再私自架設 AP,
同時這裡的無線網路環境較為平衡,訊號發散較為穩定。
中度干擾 – 男生宿舍
圖 (3-35) 實驗地點 2
會以此地點選為中度干擾的原因是:因為這裡雖然有無線網路
的環境存在,但在地段上屬於學校較邊緣的地帶,所以比起中心,
這裡的 AP數量稍少且稍弱。
49
輕度干擾 – 停車場中段
圖 (3-36) 實驗地點 3
會以此地點選為輕度干擾的原因是:人源流動少,只要停完車
就會出來,故熱點的出現率幾乎等於零,在內部架設虛擬 AP的話干
擾極低甚至無。
上述三個地點的數據將會以 3.1 模仿攻擊者架設 AP以及 3.2
封包擷取結合多種作法進行。以下是過程中嘗試的實驗方法所遇到
的問題以及解決方法:
50
實驗方法 1:以 aircrack-ng架設虛擬 AP + 手機搭配 USB無線網
卡擷取封包
圖 (3-37) 實驗方法 1之示意圖
(1) 發送端
步驟 1.延伸虛擬介面
圖 (3-38) 延伸虛擬介面之執行畫面及指令
步驟 2.偵測周圍無線訊號以選定要進行模仿的 AP
發送端 接收端
擷取封包
筆電 平板
51
圖 (3-39) 偵測周圍無線訊號之執行畫面
52
步驟 3.架設虛擬 AP(選定 MAC = 18:9c:5d:82:4e:81)
圖 (3-40) 將 MAC Address 修改為選定的 AP
圖 (3-41) 架設已經進行 MAC修改的虛擬 AP
此時出現了 Error: Got channel -1, expected a value > 0.
意思是頻道 = -1,在 802.11規範中沒有頻道 = -1,也就是說在任
何環境下這個 AP都將不會被偵測到,這個 AP無法作為實驗使用。
於是以下描述解決方法:
Error: Got channel -1, expected a value > 0.之解決方法
不以實體介面延伸出虛擬介面,而將實體本身設定為監控模式
(monitor mode)。
53
步驟 1:將實體介面卸載
圖 (3-42) 實體設為監控模式-步驟 1
步驟 2:利用 LWE中的 iwconfig將實體介面為監聽模式
圖 (3-43) 實體設為監控模式-步驟 2
步驟 3:再度掛載實體介面
圖 (3-44) 實體設為監控模式-步驟 3
步驟 4:利用 LWE中的 iwconfig確定實體介面為監聽模式
圖 (3-45) 實體設為監控模式-步驟 4
錯誤訊息消失,即可執行接下來的手機搭配 USB無線網路卡封
包擷取。
圖 (3-46) 經修改後可正常運行的 AP之執行畫面
54
但擷取後的封包出現新的問題:TimeStamp缺失(如下圖),於
是利用實驗方法 2。
圖 (3-47) 實驗方法 1的擷取結果欄位缺失
實驗方法 2:利用手機修改 SSID作為 AP+電腦搭配 USB無線網路卡
進行封包擷取。
圖 (3-48) 實驗方法 2示意圖
接收端 發送端
擷取封包
平板 筆電
55
此實驗方法只是將實驗方法1的接收端以及發送端互換,此實
驗方法雖可以取得正確的數據,但對於 AP本身的設定自由度侷限太
高,於是最後不予採用,進而採用實驗方法 3。
實驗方法 3:電腦搭配兩張 USB無線網卡同時進行接收與擷取。
此方法發想於以手機作為 AP自由度侷限太高及同時攜帶過多
器材的不便,於是利用終端機的可多執行特性同時讓電腦進行發送
與接收。
圖 (3-49) 實驗方法 3示意圖
56
(1) 發送端
發送端使用了新的 USB無線網路卡,以下為新增的 USB無
線網路卡的硬體規格:
表 (3-4) 無線網路卡規格表
廠牌 TP-LINK
型號 TL-WN821N
連接介面 USB 2.0
按鈕 QSS 按鈕
尺寸(長*寬*高) 3.4 *1.0 * 0.5 英吋 (86 * 26 * 12 公釐)
天線類型 內建
使用頻率 2.400~2.4835 GHz
無線標準 IEEE 802.11n, IEEE 802.11g, IEEE
802.11b
訊號速率 11n:最高達 300Mbps (動態)
11g:最高達 54Mbps (動態)
11b:最高達 11Mbps (動態)
接收靈敏度 270M: -68dBm@10% PER
130M: -68dBm@10% PER
108M: -68dBm@10% PER
57
54M: -68dBm@10% PER
11M: -85dBm@8% PER
6M: -88dBm@10% PER
1M: -90dBm@8% PER
EIRP <20dBm(EIRP)
無線模式 臨機操作 (Ad Hoc)/基礎結構模式
無線網路安全性 支援 64/128 bit WEP、WPA-PSK/WPA2-PSK
調變技術 DBPSK, DQPSK, CCK, OFDM, 16-QAM, 64-QAM
此張 USB無線網卡的特性是 QSS按鈕支援即時加密保護資訊安
全,但是以 airmon-ng延伸虛擬介面仍然有頻道 = -1的問題,但
是測試過後發現此張網卡只要架設為監聽模式後即可正常的運作,
數據也沒有問題。以下是對於這張網卡的處理:
步驟 1:修改為監聽模式
圖 (3-50) 實驗方法三-查看新網卡的代號
圖 (3-51) 實驗方法三-將新的網卡設定為監聽模式
58
步驟 2:修改 MAC Address(選定 MAC = 18:9c:5d:82:4e:81)
圖 (3-52) 實驗方法三-修改 MAC Address
經過以上修改後利用 ifconfig查看這張網卡的資訊會成為這
樣。如下圖:
圖 (3-53) 實驗方法三-經過修改的無線網路卡之結果畫面
59
(b) 接收端
接收端只需開啟另一個 terminal接著延伸虛擬介面後再輸入
sudo airodump-ng –c 頻道 -w 儲存絕對路徑/檔名 --beacons 虛
擬介面 即可。圖(3-54)為擷取後的結果。
圖 (3-54) 實驗方法三-擷取封包結果
60
第 四 章 非法 AP 偵測之演算法
4-1 非法 AP 偵測之演算法
此演算法是針對攻擊者架設 AP時可能會模仿的欄位進行差異
判斷,並以每筆已經混合的數據依序取出進行判別,第一次是取得
第一、二筆比對……依此類推,其中在演算法流程的中間部分是判
斷非法 AP演算法中較為核心的流程,下面將針對重要流程做介紹。
圖(4-1)為整個演算法的流程圖:
此演算法流程圖取自高國峯老師的論文-FakeAPDetection
圖 (4-1) 演算法流程圖
開始 收集Beacons SSID有在白名單嗎?
開始偽造AP偵測並接連讀
取2筆完成擷取的Beacons
以beacon A、B序列取得Time interval、Serial number、網卡上回報的訊框時間以及
Time interval(以下簡稱TI、SN、TR以及TS)
A的TI=B的TI偽造AP案例1:
不符合的TI
依照以下演算法並計算:
α=|(B的TS-A的TS)
β=|TI(B的SN-A的SN)|-|B的TR-A的TR|
A的SN = B的SN
α!=0
β>TI 偽造AP案例2:
不同步的SN or TS
偽造AP案例3:
同步 TI、SN和TS
成立
不成立
成立
不成立
成立
成立
成立
不成立
不成立
61
在演算法開始時,需選定一個環境對周圍進行訊號偵測後擷取
封包,在白名單的 SSID取得上利用選定多個地點環境並重複進行訊
號偵測並在其中選出重複率最高的 AP確認。
接著會對收集到的封包以每次收集 10次封包每次收集兩分鐘
的方式,再從中取出兩次進行以 Sequence Number為依據進行交叉
混合(Capture10select2 簡稱 C10取 2)。
在擷取完成後匯入 wireshark並將欄位客製化為我們所需要的
欄位,分別是:TS(Time Stamp)、SN(Sequence Number)、TR(Time
Receive)以及 TI(Time Interval)作為演算法後面流程所需。
對於混合後的資料會以經過多個判斷式來確認該筆資料是否經
由非法 AP所發出的。
首先會對 TI進行比對,依序取出每個資料表的兩筆資料,如果
經比對後數值相同(成立),即進行下一階段的判斷,如不相同(不成
立)就結束演算法流程,代表非法 AP案例 1:TI不符合。
62
在進行下一階段的判斷之前,需先經由下列算式計算後再進
行:
α = | (第二筆的 TS – 第一筆的 TS) |
β = | TI(第二筆的 SN-第一筆的 SN) | - | 第二筆的 TR – 第一
筆的 TR |
在後面的判斷都需要經過以上的計算後才可以進行。
接著是對 SN的判斷,如果第一筆與第二筆的 SN相等(成立)的
話,就進行算式α的判斷,如果算式α的結果不為 0(成立)的話即
是非法 AP案例 3:同步的 TI、SN及 TS;
算式α的結果為 0(不成立)的話就跳出判斷流程並對下一組資料進
行判斷。
如果第一筆與第二筆的 SN不相等(不成立)的話,就進行算式β
的判斷,如果算式β的結果大於 TI(成立)的話即是非法 AP案例 2:
不同步的 SN或者是 TS;
如果算式β的結果小於 TI(不成立)的話就跳出判斷流程並對下一
組資料進行判斷。
63
4-2 以 SQL Server 進行演算法規則撰寫
依照圖(4-1)演算法並為了要把擷取到的資料做比對跟判斷,因
此選用SQL Server。利用SQL Server存放資料到資料表並使用T-SQL
語法來做演算法邏輯的程式,下表(4-1)是在 T-SQL宣告的函數:
表 (4-1) 程式中變數代表的意思
Source 來源位址
Destination 目的地位址
Arrival_Time 封包到達時間
Sequence_Number 序列編號
MAC 實體硬體位址
SSID 服務編號組
Timestamp 時間戳記
Beacon_Interval 時間間隔
Packet_Number 匯入到資料庫的封包編號
x 用來存放演算法的α值
y 用來存放演算法的β值
Count_Data 用來記錄檢查到第幾筆封包
64
以下是依照圖(4-1)演算法用 T-SQL語法撰寫演算法的邏輯判斷程式
--利用 cursor並以 order by 將資料混合
DECLARE my_cursor CURSOR SCROLL STATIC
FOR
SELECT Source, Destination, Arrival_Time, Sequence_Number,
MAC, SSID, Timestamp, Beacon_Interval, Packet_Number
FROM <資料表>
ORDER BY Sequence_Number
--依照 表 4-1另外宣告兩組變數放入 fetch 取得的資料,此兩組變數後面加
編號 1跟 2
DECLARE @Take_Source_1 varchar(50),
@Take_Destination_1 varchar(50),
@Take_Arrival_Time_1 float,
@Take_Sequence_Number_1 bigint,
@Take_MAC_1 varchar(50),
@Take_SSID_1 varchar(50),
@Take_Timestamp_1 bigint,
@Take_Beacon_Interval_1 float,
@Take_Packet_Number_1 bigint,
---------------------------------
@Take_Source_2 varchar(50),
@Take_Destination_2 varchar(50),
@Take_Arrival_Time_2 float,
@Take_Sequence_Number_2 bigint,
@Take_MAC_2 varchar(50),
@Take_SSID_2 varchar(50),
@Take_Timestamp_2 bigint,
@Take_Beacon_Interval_2 float,
@Take_Packet_Number_2 bigint
--宣告演算法用來存放的變數和檢查到第幾個封包的變數
DECLARE @x bigint,
@y bigint,
@Count_Data bigint
65
--啟動建立的 cursor
OPEN my_cursor;
--將資料的指標指向資料的第一筆資料後存放到第一組變數內供後面演算法
使用
FETCH NEXT
FROM my_cursor INTO @Take_Source_1 ,
@Take_Destination_1 ,
@Take_Arrival_Time_1 ,
@Take_Sequence_Number_1 ,
@Take_MAC_1 ,
@Take_SSID_1 ,
@Take_Timestamp_1 ,
@Take_Beacon_Interval_1,
@Take_Packet_Number_1
--判斷資料表是否有資料
IF (@@FETCH_STATUS!=0)
BEGIN
PRINT 'No Data!!!'; RETURN;
END
--取得下一筆資料後存放到第二組變數內供後面演算法使用
FETCH NEXT
FROM my_cursor INTO @Take_Source_2 ,
@Take_Destination_2 ,
@Take_Arrival_Time_2 ,
@Take_Sequence_Number_2 ,
@Take_MAC_2 ,
@Take_SSID_2 ,
@Take_Timestamp_2 ,
@Take_Beacon_Interval_2,
@Take_Packet_Number_2
--因為前面兩個 fetch 已經取得到兩筆資料所以把 Count_Data這個變數裡面
的值設定為
SET @Count_Data = 2;
66
--這裡利用迴圈來執行全域變數@@FETCH_STATUS 傳回針對連接目前開啟的任
何資料指標而發出的最後一個資料指標 FETCH 陳述式的狀態,當
@@FETCH_STATUS=0 時跳出迴圈
WHILE(@@FETCH_STATUS=0)
BEGIN
--計算演算法裡α和β的值存放到@x和@y
SET @x = ABS(@Take_Timestamp_2-@Take_Timestamp_1)
SET @y = ABS(@Take_Beacon_Interval_1*
(@Take_Sequence_Number_2-@Take_Sequence_Number_1))-
ABS(@Take_Arrival_Time_2-@Take_Arrival_Time_1)
--從兩組變數內取得的 Time Interval是否一樣,如果不成立,就如同圖 4-1
中的偽造案例
IF (@Take_Beacon_Interval_1!=@Take_Beacon_Interval_2)
BEGIN
PRINT 'fake AP case 1!!!';
BREAK;
END
--判斷兩組變數內的 Sequence Number是否一樣
IF(@Take_Sequence_Number_2=@Take_Sequence_Number_1)
--判斷兩組變數內的 Sequence Number是否一樣和上面所算的α值是否不等
於,如果不成立,就如同圖 4-1中的偽造案例
IF(@Take_Sequence_Number_2=@Take_Sequence_Number_1 and @x!=0)
BEGIN
PRINT 'fake AP case 3!!!';
BREAK;
END
ELSE
--計算演算法內的β值是否大於兩組變數內取得相同的 Time Interval,如果
成立,就如同圖 4-1中的偽造案例
IF(@y>@Take_Beacon_Interval_1)
BEGIN
PRINT 'fake AP case 2!!!';
BREAK;
END
67
--把變數 2的值搬到變數 1
SET @Take_Packet_Number_1 = @Take_Packet_Number_2
SET @Take_Source_1 = @Take_Source_2
SET @Take_Destination_1 = @Take_Destination_2
SET @Take_Arrival_Time_1 = @Take_Arrival_Time_2
SET @Take_Sequence_Number_1 = @Take_Sequence_Number_2
SET @Take_MAC_1 = @Take_MAC_2
SET @Take_SSID_1 = @Take_SSID_2
SET @Take_Timestamp_1 = @Take_Timestamp_2
SET @Take_Beacon_Interval_1 = @Take_Beacon_Interval_2
--繼續取得下一筆資料存放到變數 2
FETCH NEXT
FROM my_cursor INTO @Take_Source_2 ,
@Take_Destination_2 ,
@Take_Arrival_Time_2 ,
@Take_Sequence_Number_2 ,
@Take_MAC_2 ,
@Take_SSID_2 ,
@Take_Timestamp_2 ,
@Take_Beacon_Interval_2,
@Take_Packet_Number_2
--計算每取得一筆資料,@Count_Data就做+1 的動作
SET @Count_Data = @Count_Data + 1
END
68
--印出取得到兩筆有問題的封包內容跟已檢查到第幾個封包
PRINT 'Packet_Number : ' + CAST( @Take_Packet_Number_1 AS varchar ) +
' | ' + CAST( @Take_Packet_Number_2 AS varchar )
PRINT 'Arrival_Time : ' + CAST ( @Take_Arrival_Time_1 AS varchar(200) )
+ ' | ' + CAST ( @Take_Arrival_Time_2 AS varchar(200) )
PRINT 'Sequence_Number : ' + CAST ( @Take_Sequence_Number_1 AS varchar )
+ ' | ' + CAST ( @Take_Sequence_Number_2 AS varchar )
PRINT 'Timestamp : ' + CAST ( @Take_Timestamp_1 AS varchar ) + ' | '
+ CAST ( @Take_Timestamp_2 AS varchar )
PRINT 'Beacon_Interval : ' + CAST ( @Take_Beacon_Interval_1 AS varchar )
+ ' | ' + CAST ( @Take_Beacon_Interval_2 AS varchar )
PRINT '-------------------------------------------------'
PRINT '檢查到第' + CAST(@Count_Data as varchar) + ' 筆的 Beacon 封包'
PRINT '-------------------------------------------------'
--關閉 cursoe,結束 cursor的使用並刪除 cursor
CLOSE my_cursor
DEALLOCATE my_cursor
程式執行後的輸出結果如圖(4-2):
圖 (4-2) 演算法規則輸出資料
69
4-3 演算法測試實驗
嚴重干擾:E405教室
圖 (4-3) E405教室測試現場
實驗地點 E405教室
周圍 AP數量 7個以上
實驗時間 2015/6/15 下午 3:00分~4:00分
距離 大約 1公尺
70
中度干擾:男生宿舍
圖 (4-4) 男生宿舍測試現場
實驗地點 男生宿舍
周圍 AP數量 6個
實驗時間 2015/6/16 下午 1:00分~3:00分
距離 大約 1.5公尺
71
無干擾:地下停車場中段
圖 (4-5) 地下停車場中段測試現場
實驗地點 地下停車場中段
周圍 AP數量 0個
實驗時間 2015/6/15 下午 1:00分~2:30分
距離 大約 1.5公尺
72
圖 (4-6) 實驗環境之結果曲線圖
上圖的曲線圖為將各個實驗地點的封包化為曲線的方式,每個
實驗地點重複比對 45次。判斷的封包數最高的為停車場(無干擾),
其次為男生宿舍及 E405教室,由此可看見 AP干擾越多判斷速度越
快,反之越慢。
擷取次數
73
表 (4-2) 實驗環境之結果數據
地點 平均比對封包數 標準差 平均差
E405教室 6.58 4.30 3.51
男生宿舍 96.13 87.16 76.83
停車場中段 354.09 403.70 322.58
在上面表格中的平均值可以發現到在干擾程度越強的實驗地點
架設非法 AP後會越快被偵測出來,反之越慢,因為在大量 AP混雜
下會造成出現誤差頻率變高判斷的時間會縮短,越低則相反。
74
第 五 章 問題與討論
在實驗初期,我們使用了很多的軟體及在擷取封包上的問題,
其中包括:無線網卡的選用以及晶片型號規格、要使用哪款軟體作
為我們在實驗過程中為主要以滿足需求,要以何種方式來進行非法
AP的架設與封包擷取、及支援的 802.11規格及能夠讓軟體正常運
行的手機型號,這些都是我們嘗試了一段時間後並從中找出適合我
們的方式。
在實驗中期,除了要長時間在校內不斷收集數據,也要不斷的
紀錄每天 AP的數量及訊號強度變化以利之後的資料追蹤,且在演算
法撰寫方面遇到了許多的錯誤以至於讓判斷的結果出現了錯誤,這
些都是要長時間修改和紀錄的,我們想這階段演算法會出現多次的
錯誤是因為還對演算法本身的流程還不完全了解,最後是在將演算
法的流程完全熟讀並對無線電波的特性之後並對抓取到的封包欄位
的資料是否有出現不正常的情形才解決的。
在實驗後期,因為結果發現有錯誤所以在以新資料和驗證演算
法之中花費了不少時間,但最後的成果是如當期所預想的這讓我們
感到我們終於做到了,對於專題之中的問題總會想著努力去排除,
最後學到了很多,感覺獲益良多。
75
第 六 章 結論與未來研究方向
在現今無線網路及手持設備盛行的時代下,無線網路的出現頻
率及分布率已經越來越高,同時無線網路的安全性也日趨重要,而
無線網路的安全性與 AP的搜尋息息相關,本實驗以大量的數據以及
針對非法 AP的特性所構成的偵測演算法,可以在駭客盡力模仿目標
AP且一般人難以察覺的情況下依照特定資料判讀出此區域內是否
有非法 AP的存在。
現階段本實驗只是運行在選定的環境並在小範圍當中,未將此
實驗的點放大至都會區域或是 AP數量更為龐大的區域,未來希望能
將這個演算法化為一個完整的無線安全防護系統。
76
參考文獻
[a] Kuo-Fong Kao, Tau-Heng Yeo, Wai-Shuen Yong, and
Hui-HsuanChen, "A location-aware rogue AP detection system
based on wireless packet sniffing of sensor APs," 2011 ACM
Symposium on Applied Computing (SAC '11) , pp.32-36, 6-9 March
2011.
[b] Kiruthiga. S and Yuvarani. G "Fast and Accurate Detection
of Fake Access Points Using Non-crypto Method in
WLAN"International Journal of Communications and Engineering
Volume 05– No. 5, Issue: 03 March2012.
[c] Taebeom Kim, Haemin Park, Hyunchul Jung, and Heejo Lee,
"Online Detection of Fake Access Points Using Received Signal
Strengths," Vehicular Technology Conference (VTC Spring),
2012 IEEE 75th , pp.1,5, 6-9 May 2012.
[d] 劉鎧境、張家賓、陳毅福,IEEE 802.11 無線區域網路通訊協
定 與 802.11 封包解析,修平科技大學資訊網路技術系,民 98。
77
[e] 姚道亨、陳惠萱、陽偉玄,建置於無線網路基地台之非法基地
台 網路分析工具,修平科技大學資訊網路技術系,民 100。
[f] 高國峯,An Accurate Fake Access Point Detection Method
Based on Deviation of Beacon Time Interval,修平科技大學資
訊網路技術系,民 103。
[g] Jim Geier,802.11 Beacons Revealed,Wi-Fi Planet
(http://www.wi-fiplanet.com/tutorials/article.php/1492071/
8021 1-Beacons-Revealed.htm),西元 2002(民 91)。
[h] WiKipedia,Rogue access point,
(https://en.wikipedia.org/wiki/Rogue_access_point),p.6-p.8
