WIPS产品到底能不能堵上最强Wi-Fi 漏洞？这里有一场精彩的红蓝对抗

作者：360天马安全团队 & 360天巡实验室

近日，有安全研究员披露 WPA2 协议层中存在逻辑缺陷，几乎所有支持 Wi-Fi 的设备都面临威胁，其传输的数据存在被嗅探、篡改的风险。攻击者可获取 Wi-Fi网络中的数据信息，如信用卡、邮件、账号、照片等，危害巨大。对于用户而言，应该关注设备厂商安全公告，及时更新修补漏洞。而对于企业而言，除了督促员工尽快更新设备外，还可以利用WIPS 产品来帮助抵御 KRACK 攻击等无线安全攻击威胁，保护企业内部的 WiFI 设备安全。

本文将以KRACK攻击为例，介绍 WIPS 产品为何能快速支持 KRACK 攻击检测并进行防御，进行了编辑整理。

一.什么是WIPS

WIPS（无线入侵防御系统）是针对企业无线应用环境的安全威胁发现与防护系统，通过将无线通信技术、无线攻防、数据分析与挖掘等技术相结合，确保企业的无线网络边界安全、可控。

较为出名的 WAIDPS，便是一款由 Python 编写的无线入侵检测工具，基于Linux平台，完全开源。它可以探测包括 WEP/WPA/WPS在内的无线入侵&攻击方式，并可以收集周边WiFi相关的所有信息。

1.WIPS（无线入侵防御系统）基本架构

WIPS 通常采用采用 B/S 或者 C/S架构，收发引擎分布式部署在企业办公环境中，将收集到的热点信息传给中控服务器。管理员通过通过管理平台查看企业内部热点信息，对捕获到的攻击行为进行告警，并对恶意、违规的热点进行阻断。

2.基本功能

利用 WIPS 产品可以查看并管理企业内可信热点、未知热点；识别并告警可疑攻击行为；快速响应WiFi攻击及威胁事件。能够有效防止恶意热点、未知及外部热点、伪造热点、未授权移动终端等可能带来的安全隐患，从而保护企业的无线网络安全。

分布式部署在企业办公环境中的收发引擎将会回收整个区域内所有 802.11 原始数据并进行分析识别，如：

● 热点、客户端识别

■ 回收热点、客户端BSSID、ESSID、PWR、OUI & Loc等信息。

■ 判断并标记恶意热点、未授权热点、错误配置热点（弱密码、有漏洞的加密协议）。

■ 发现客户端未授权连接。

■ ..

● 攻击行为识别

■ 检测MDK3去认证攻击

■ 检测伪造合法热点攻击

■ 检测伪造MAC地址攻击

■ 检测Aircrack-NG无线破解攻击

■ ..

3.无线攻击识别规则

由于后文对 KRACK 攻击的检测方法涉及检测伪造热点，此处便以此为例进行说明。

伪造热点攻击（Evil-Twin）是众多无线攻击方法中，成本较低、效果较好的一种，因此及时地发现并阻断钓鱼热点是非常必要的。常见的伪造热点攻击检测方法有：热点常规信息检测、登录凭证验证检测、时钟偏差检测等方式。

● 常规信息检测

利用目标 AP 的 Beacon、Interval、SSID、Channel 及其他无线信息进行比较得出判断。

● 凭证验证检测

利用 AP 登记保存的凭证信息向目标设备发起连接，若成功再用错误密码尝试连接，若提示错误则证明是合法热点。

● 时钟偏差检测等方式

通过计算两个相邻信标帧之间的 timestamp 间隔差异，即时钟偏差，与预先设定的阈值进行比较来检测伪 AP。如果 AP的时钟偏差值与特征库中储存的偏差值不一样，则可认定这个 AP 为一个无线钓鱼 AP。

▲如上图就是一个 Python 利用 Scapy 模块以实现通过时钟偏差检测识别钓鱼热点的示例

二.KRACK攻击原理分析

本次的 WPA2“密钥重装攻击”，基本原理为：利用 WPA协议层中的逻辑缺陷，多次重传握手过程中的消息3从而导致重放随机数和重播计数器，为攻击者提供了利用条件。

在协议标准中还存在一条危险的注释“一旦安装后，就可从内存中清除加密密钥”，若按此注释进行实现，在密钥重装攻击时会从内存中取回已经被0覆盖的 key值，从而导致客户端安装了值全为零的秘钥。而使用了含漏洞 wpa_supplicant 版本的 Linux 及 Android 设备便因此遭受严重威胁。

1.KRACK攻击利用方式（攻击视频分析）

①首先测试设备连接真实的 testnetwork 网络↓↓↓

②开启 WireShark 监听并在稍后被设为钓鱼热点的网卡↓↓↓

③攻击演示：

真实热点 Real AP：

SSID：testnetwork

Mac：bc:ae:c5:88:8c:20

Channel：6

被攻击客户端 Target：

SSID: 90:18:7c:6e:6b:20

伪造同名同 MAC 热点（Rouge AP）：

SSID： testnetwork

Mac：bc:ae:c5:88:8c:20

Channel：1（信道不同）

▲注入CSA beacon pairs 将客户端信道变为1，也就是迫使客户端Target与RougeAP通信。伪AP向目标Target发送Disassociate数据包，使其解除关联。

④利用网卡建立目标 AP 的伪造热点，迫使客户端连接到伪造热点上。此时设备经历重连，WiFI 状态为正在认证。

当目标 targe 与真实 AP 完成认证过程，准备发起连接时，注入CSA beacon pairs，使信道切换到 Channel 1实施中间人攻击，同时客户端状态保持在 State 2，接下来开始发送四次握手中的 Message 3，实施密钥重新安装（Key ReinstallationAttack）攻击。

⑤此时密钥重装攻击已经执行成功，客户端已连接上伪造热点：

⑥在此伪造热点中，被攻击端所有流量皆可被嗅探、篡改；演示视频中使用经典的 MITM 工具 sslstrip 对 HTTPS进行降级，便可获取用户传输的明文账号信息。

2.检测KRACK的几种途径

之前有讲到 KRACK 的攻击原理，根据现有 KRACK 的 Demo来看，攻击者的主要利用方式为：在被攻击客户端与正常AP建立连接时，攻击代码（POC）“克隆”了被攻击客户端所连接的AP，建立了一个相同BSSID、ESSID，但 Channel 不同的热点；通过发送 Disassociate Frame迫使被攻击客户端解除关联，此时设备经历重连；准备重新与正常AP发起连接时，注入CSA beacon pairs(Channel SwitchAnnouncement)，使信道切换到恶意AP所在信道，实施中间人攻击；同时客户端状态保持在State2（通过对访问点进行身份验证的身份验证状态），接下来开始发送四次握手中的Message 3，实施密钥重新安装（Key ReinstallationAttack）攻击，即可与伪AP建立正常连接通信。

根据以上攻击流程，我们分析便得出 KRACK 现有的攻击方式特征，并能据此添加对 KRACK 攻击进行检测：

1. 建立同 ESSID、BSSID 但不同Channel 的 Rouge AP；

2. 向客户端发送异常 Deauth／Disassociate Frame；

3. 重新发送四次握手中的 message3 强制重置 nonce，相同IV；

4. Sequence Number 和 Timestamp 乱序；

5. Client 在建立握手的时候切换 Channel；

三.红蓝对抗演示

作为使用 WPA2协议设备的用户来说，官方的解决方案是等待协议漏洞的修复与厂家设备的升级。在企业环境中，能否将无线防护的主动权掌握在自己手中呢。安全专家的建议是企业应合理部署WIPS，但是WIPS能否抵御这种突如其来的无线安全威胁呢？

在详细分析了黑客的攻击过程后，天巡实验室准备进行一场红黑对抗，一组扮演黑客模拟相同的攻击手段进行无线攻击；另一组实验人员扮演企业管理员进行无线防护，同时在实验环境内部署WIPS，测试 WIPS的防御效果。

1. 首先建立 testnetwork热点，企业用户连接该热点并通过认证后可访问企业内网资源；通过WIPS管理员可直观了解该热点的设备属性和安全属性，包括热点ESSID、BSSID、热点厂商、频道和加密方式等等。

2. 然后黑客伪造与 testnetwork相同名称及配置的热点，尝试欺骗用户连接；此时企业无线网络环境中同时出现了两个热点，非专业人员根本无法识别哪个是企业自建热点，哪个是非法的钓鱼热点。可以看到此时非法热点已经被WIPS 识别出来并阻断，当前连接终端数为“无”。

3. 与此同时 WIPS 也第一时间向管理员通报伪造合法热点攻击事件的发生及处理情况。WIPS 的及时响应为管理员在突发情况发生时争取了更多的处置时间。

4.黑客为了使其他终端连接非法热点简直无所不用其极，泛洪终端拒绝服务攻击是成本最低也是最见效的方式。该种攻击方式可断开所有终端与合法热点的连接，在其他场景也可以干扰公共网络终端与热点的连接，造成网络瘫痪。此时WIPS 系统能够发现此类攻击，在提供处理建议的同时，还能定位攻击发生的具体位置，管理员可实地排查是否有可疑人员。

5. 可以说黑客的攻击行踪已经完全暴露在 WIPS 之下，原本看不见摸不着的无线威胁，透过 WIPS的映射逐渐变得清晰。还不知道发生了什么的黑客继续他的攻击，黑客通过收集和重放重新发送四次握手中的Message3 强制重置nonce，从而成功攻击加密协议，解密客户端发送通信数据包，截获敏感信息。但是此时WIPS系统已经监测到该攻击，并对实施钓鱼的热点进行了阻断，使不知情的“用户”免于威胁。