眾所周知無線網(wǎng)絡在帶來靈活接入的同時安全問題一直以來都是其軟肋，企業(yè)無線網(wǎng)絡或者家庭無線網(wǎng)絡都很容易吸引外來“觀光者”，一方面WEP，WPA等加密措施的紛紛被破解使得無線加密形同虛設，另一方面無線網(wǎng)絡的自動尋網(wǎng)自動連接也讓很多“非有意者”連接到你的無線網(wǎng)絡中。那么我們該如何防范針對無線網(wǎng)絡的攻擊和入侵呢?我們是否能夠通過必要的措施對入侵者進行反擊呢?今天就請各位讀者跟隨筆者一起反客為主搭建無線入侵蜜罐，讓入侵者露出本來面目。

一，什么是無線入侵蜜罐：

首先我們需要明確什么是蜜罐，在網(wǎng)絡管理和網(wǎng)絡安全領域存在一個定義——蜜罐，蜜罐是一種安全資源，其價值在于被掃描、攻擊和攻陷。這個定義表明蜜罐并無其他實際作用，因此所有流入/流出蜜罐的網(wǎng)絡流量都可能預示了掃描、攻擊和攻陷。而蜜罐的核心價值就在于對這些攻擊活動進行監(jiān)視、檢測和分析。說白了蜜罐就是一個假冒的系統(tǒng)，吸引入侵者進入，然后對其進行誘捕。通過一個實際存在的具備漏洞的系統(tǒng)來針對入侵者反捕獲，從而對其進行快速定位。

而對于無線入侵蜜罐來說工作原理是一樣的，只不過他是一個具備入侵漏洞的無線網(wǎng)絡，吸引入侵者進入然后對其進行誘捕，從而定位其網(wǎng)絡參數(shù)將入侵者基本信息進行收集，最終更好的對其進行防范。例如通過MAC地址過濾，IP地址封鎖等方式將存在入侵可能的主機禁用，取消其連接無線網(wǎng)絡的權限。

二，如何搭建無線入侵蜜罐系統(tǒng)：

那么對于普通用戶和企業(yè)網(wǎng)絡者來說如何搭建無線入侵蜜罐系統(tǒng)呢?蜜罐系統(tǒng)的搭建需要有兩個因素，我們分別進行講解。

第一是建立存在漏洞的無線網(wǎng)絡，我們可以根據(jù)需要選擇廣播SSID網(wǎng)絡ID，使用簡單KEY方式進行WEP加密等。所有設置都通過無線路由器來完成，通過無線參數(shù)設置界面開啟無線網(wǎng)絡及相關參數(shù)。(如圖1)

開啟具備漏洞的無線網(wǎng)絡后我們可以通過無線掃描工具針對該網(wǎng)絡進行掃描，確認漏洞存在且穩(wěn)定運行。(如圖2)

第二要能夠針對入侵者進行合理監(jiān)控，一般我們都是通過監(jiān)控制工具或網(wǎng)絡管理程序來完成的，sniffer類工具是不錯的選擇;如果是企業(yè)無線設備并具備鏡像端口轉(zhuǎn)發(fā)功能的話效果會更好，我們直接通過鏡像端口對入侵者接入端口或總出口進行sniffer監(jiān)控即可。所有數(shù)據(jù)流量將被原封不動的轉(zhuǎn)發(fā)到sniffer監(jiān)控端，這樣我們就可以仔細分析入侵者的網(wǎng)絡流量以及相關數(shù)據(jù)信息了。

不過對于大部分設備和家庭用戶來說擁有具備鏡像端口轉(zhuǎn)發(fā)功能的無線網(wǎng)絡設備很困難，這時我們該如何實現(xiàn)合理監(jiān)控目的呢?就筆者個人經(jīng)驗來說可以通過HUB來完成，雖然在實際網(wǎng)絡應用過程中HUB容易造成廣播數(shù)據(jù)包泛濫以及數(shù)據(jù)包重復轉(zhuǎn)發(fā)，不過這個缺點恰恰可以幫助我們應用到無線入侵蜜罐系統(tǒng)的搭建中，通過在無線設備出口連接一臺HUB設備，然后HUB一個接口連接上層設備或外網(wǎng)，另一個接口直接連接安裝了sniffer軟件的監(jiān)控主機，這樣當入侵者連接到無線設備后必然會有相關數(shù)據(jù)包轉(zhuǎn)發(fā)到HUB上，由于HUB會復制相當數(shù)據(jù)到各個端口，所以在另一個接口直接連接安裝了sniffer軟件的監(jiān)控主機上就能夠查看到相應的網(wǎng)絡數(shù)據(jù)，這些數(shù)據(jù)都是入侵者產(chǎn)生的，從而實現(xiàn)了對入侵者進行合理監(jiān)控的目的。#p#

三，實戰(zhàn)搭建無線入侵蜜罐系統(tǒng)

下面我們就來通過實戰(zhàn)搭建無線入侵蜜罐系統(tǒng)，筆者需要的設備是一臺筆記本，一個HUB以及一個無線設備(可以是無線路由器)。

小提示：

在實際使用過程中我們要確保能夠找到HUB而不是二層交換機，因為只有HUB這個工作于一層的設備才能夠幫助我們監(jiān)控數(shù)據(jù)，如果是交換機的話在一個接口接收到數(shù)據(jù)后并不會重復復制到其他接口，我們自然無法順利監(jiān)控到數(shù)據(jù)信息。

第一步：首先進入無線路由器開啟SSID廣播以及無線網(wǎng)絡，當然必要時可以結(jié)合WEP加密等方式，為了更好的實現(xiàn)蜜罐性能筆者沒有針對該無線網(wǎng)絡進行任何加密，任何入侵者都可以連接此無線網(wǎng)絡。

第二步：接下來等待一段時間后我們進入到無線路由器LAN狀態(tài)處，查看active clients活動主機，在這里顯示的是當前已經(jīng)連接到無線路由器的主機。我們對比本地網(wǎng)絡各個主機IP后可以發(fā)現(xiàn)一個名為ZZ的IP是192.168.1.105的主機屬于非法入侵，他就是我們捕獲到的入侵者，蜜罐系統(tǒng)吸引對方成功。(如圖3)

第三步：點擊active clients下的非法入侵者MAC地址我們可以了解其硬件基本信息，該入侵者使用的無線網(wǎng)卡是linksys公司的。(如圖4)

第四步：連接各個網(wǎng)絡設備，首先是將HUB的一個接口與出口設備或上層設備(筆者的是ADSL貓)連接。(如圖5)

第五步：HUB的另外一個接口和無線路由器的WAN接口連接，這樣通過無線路由器上網(wǎng)的所有數(shù)據(jù)都將通過其WAN接口發(fā)向HUB。(如圖6)

第六步：最后我們將安裝了sniffer工具的計算機與HUB的另外一個接口連接，對其進行監(jiān)控。(如圖7)

第七步：確認當前蜜罐系統(tǒng)下連設備可以順利上網(wǎng)，我們可以通過訪問http://www.xxxx.com確認。(如圖8)

第八步：筆者使用的是科來網(wǎng)絡公司的網(wǎng)絡分析系統(tǒng)充當sniffer工具，通過監(jiān)控本地網(wǎng)卡來監(jiān)聽HUB通訊。(如圖9)

第九步：當然為了更好的接收數(shù)據(jù)提升監(jiān)控效果我們可以將監(jiān)控主機的IP地址進行調(diào)整，設置為于入侵者獲取的IP地址段相同，在一個網(wǎng)段內(nèi)可以更好的接受廣播數(shù)據(jù)包和組播數(shù)據(jù)包，從而提升監(jiān)控效果。(如圖10)

第十步：當入侵者以為攻擊無線網(wǎng)絡成功并輕松上網(wǎng)或攻擊掃描時在我們的監(jiān)控段將可以看到其的一舉一動，所有數(shù)據(jù)包都在我們的掌控之中。(如圖11)

第十一步：入侵者訪問的所有網(wǎng)頁地址，URL信息我們都可以在監(jiān)控端一絲不差的看到。(如圖12)

第十二步：即使該入侵者登錄MSN或FTP站點甚至論壇我們都可以輕松查看到帳戶信息以及聊天記錄內(nèi)容。(如圖13)

四，總結(jié)：

通過搭建無線入侵蜜罐系統(tǒng)我們可以在最短時間了解到當前網(wǎng)絡周圍存在的入侵者，然后可以通過反偵察的方法找出其所在，即使無法發(fā)現(xiàn)他的蹤影也可以通過BAN MAC地址，IP地址等方法最大限度的阻止其帶來的損害。希望通過本文可以讓更多的家庭網(wǎng)絡用戶以及企業(yè)網(wǎng)絡管理員打造更加安全更加穩(wěn)定的無線網(wǎng)絡。

【編輯推薦】

1. 解析蜜罐技術要點及其潛在問題
2. 安全技術講解：配置IIS蜜罐抵御黑客攻擊
3. 如何保護企業(yè)無線網(wǎng)絡安全