自动连接wifi

WIFI安全浅析

1背景简介

WIFI是IEEE定义的一个无线网络通信的工业标准IEEE802．11。可以将个人

电脑、手持设备(IPDA、手机)等终端通过无线方式互相连接的技术。

近年来，随着无线网络技术的成熟，越来越多的人们通过无线设备连接到互

联网。最早Wi-Fi只用于对IEEE802.11b系列的产品进行认证的描述，全称为

Wireless-Fidelity，但现在正在逐步扩展到802.11系列的各类标准，用户也开始使

用Wi-Fi或者WIFI指代所有的无线网产品标准。

当前无线网的用户对于随时随地访问自己关心的网络数据要求越来越高，为

此，各类场所对无线网的部署也日益流行。布置方有家庭、企业还有运营商,但

是无论何种规模的无线网络，都面临着各种各样的安全隐患和威胁。

WiFi上网的安全隐患中，最最重要的还是在连接了无线网络后的个人信息

的丢失。黑客是如何在公共场所盗取用户信息的呢?目前来看，黑客在公共场所

盗取信息主要有三种方式。

2无线网安全威胁

无线网的传输和接收数据是通过在空气中广播的射频信号。由于无线局域网

使用的广播性质，存在黑客可以访问或损坏数据的威胁。安全隐患主要有以下几

点：

1、未经授权使用网络服务

如果无线局域网设置为开放式访问方式，非法用户可以不经授权而擅自使用

网络资源，不仅占用宝贵的无线信道资源，增加带宽费用，降低合法用户的服务

质量，而且未经授权的用户没有遵守相应的条款，甚至可能导致法律纠纷。

2、地址欺骗和会话拦截（中间人攻击）

在无线环境中，非法用户通过侦听等手段获得网络中合法站点的MAC地址

比有线环境中要容易得多，这些合法的MAC地址可以被用来进行恶意攻击。

此外，非法用户很容易装扮成合法的无线接入点，诱导合法用户连接该接入

点进入网络，从而进一步获取合法用户的鉴别身份信息，通过会话拦截实现网络

入侵。

由于无线网一般是有线网的延伸部分，一旦攻击者进入无线网络，它将成为

进一步入侵其他系统的起点。而多数部署的无线网都在防火墙之后，这样无线网

的安全隐患就会成为整个安全系统的漏洞，只要攻破无线网络，就会使整个网络

暴露在非法用户面前。

3建议使用的WIFI网策略

1、不建议使用WEP加密方式，而应该使用WPA和WPA2的加密认证方式，

而现在绝大多数家用AP是支持WPA和WPA2加密认证的。

2、改变家用无线路由器的常规设置：家用无线路由器通常默认的DHCP服

务（自动分配IP地址）是开启的，这样其他用户如果进入了认证系统，不用猜

测网络的IP地址是多少，就可以获得网络IP地址了，从而降低了攻击者的难度，

提高了风险。具体来看，可以禁用DHCP服务和SSID广播服务，并且更改路由器

内网网关的IP地址，能够大大增加攻击的难度。

3、绑定MAC地址：在家用无线路由器上开启MAC地址绑定功能，任何接

入网络的设备一定是预先录入绑定的MAC地址，这样能够直接拒绝攻击者设备

连接入网的机率。

4、公共场所无线用户自身的安全策略：由于在公共场合里，所有连接无线

网络的电脑逻辑上都处于同一个网络里，所以要注意设置自身上网设备的安全

性。主要需要关注的：

●不使用未知的无线信号，不要乱连接未知虚假免费Wi-Fi热点。在公共场

合，由于无线接入设备可以获取所有的交互信息，对于未知的无线网络一定需要

加以鉴别后进行使用；

●类“Wi-Fi万能钥匙”免费Wi-Fi产品，一定要慎用，以免给身边的朋友

或者公司带来不必要的损失。同时，对于Wi-Fi所有者来说，要注意密码安全，

定期修改密码，如有一定网络知识用户，可以通过添加无线设备过滤以与隐藏无

线网络的方式，来降低被蹭网的几率。

●关闭WiFi自动连接。目前，大部分手机的网络设置中，都有WiFi自动连

接的功能，只要周围一旦有免费的WiFi信号，手机就会自动连接。于是，很多

用户往往在“不知情”的情况下悄然落人别人设好的圈套。所以最好把WiFi连

接设置为手动，只有自己想用的时候才开启，不要设置自动连接。尽量不要在公

共网络上使用网上银行等服务。在连接公共WiFi连接时，一定要加强安全警惕

性，尽量不要在公共WiFi网络中使用网络银行、信用卡等服务，因为一旦这些

财物数据被截获，很可能给受害人带来巨大的损失。最好只是做一些浏览网页新

闻，聊天等服务。

●开启防火墙、安全软件和禁用网络发现等功能，防止其他人利用公共网络

对个人设备进行非法访问；

●默认口令和弱口令需要进行修改，上网的设备管理员需要使用强口令，并

且定期更改，防止使用弱口令以阻止非法用户获得管理员权限从而入侵我们的设

备；

此外，还有一些常见的操作可以采用，例如禁用共享功能、安装防病毒软件、

访问安全性高的。

4WIFI的几种安全防X手段

为了缓解上述的安全问题，所有的无线网都需要增加基本的安全认证、加密

和加密功能，包括：

●用户身份认证，防止未经授权访问网络资源。

●数据加密以保护数据完整性和数据传输私密性。

身份认证方式包括：

一、开放式认证。开放认证基本上是一个空认证算法，允许任何设备向接入

点（AP）发送认证要求。开放验证中客户端使用明文传输关联AP。如果没有加

密功能，任何知道无线局域网SSID的设备都可以进入该网络。如果在AP上启用

了有线对等加密协议（WEP），WEP密钥则成为一种访问控制的手段。没有正确

的WEP密钥的设备即使认证成功也不能通过AP传输数据，同时这样的设备也不

能解密由AP发出的数据。

开放认证是一个基本的验证机制，可以使用不支持复杂的认证算法无线设

备。802.11规X中认证的是面向连接的。对于需要验证允许设备得以快速进入网

络的设计，在这种情况下，您可以使用开放式身份验证。而开放认证没办法检验

是否客户端是一个有效的客户端，不管你是不是黑客或是恶意攻击者的客户端。

如果你使用不带WEP加密的开放验证，任何知道无线局域网SSID的用户都可以

访问网络。

二、共享密钥认证。该方式与开放验证类似而有一个主要的区别。当你使用

带WEP加密密钥的开放认证时，WEP密钥是用来加密和解密数据，但在认证的

步骤中却不使用。在共享密钥认证中，WEP加密被用于验证。和开放验证类似，

共享密钥认证需要客户端和AP具有相同的WEP密钥。AP使用共享密钥认证发

出一个挑战文本包到客户端，客户端使用本地配置的WEP密钥来加密挑战文本

并且回复随后而来的身份验证请求。如果AP可以解密认证要求，并恢复原始的

挑战文本，AP将回复一个准许访问的认证响应给该客户端。

在共享密钥认证中，客户端和AP的交换挑战文本（明文）并且加密的该挑

战文本。因此，这种认证方式易受到中间人攻击。黑客可以收到未加密的挑战文

本和已加密的挑战文本，并从这些信息中提取WEP密钥（共享密钥）。当黑客知

道WEP密钥时，整个认证机制将受到威害并且黑客可以自由访问该WLAN网络。

这是共享密钥认证的主要缺点。

除了WEP之外，现在还有WPA和WPA2机制。

WPA是一种基于Wi-Fi联盟的标准安全解决方案，以解决本地无线局域网

漏洞。WPA为WLAN系统提供了增强的数据保护和访问控制。WPA在原来的

IEEE802.11标准的执行基础上解决了所有已知的有线等效XX（WEP）的漏洞，

给WLAN网络带来了直接的安全解决方案，包括企业和小型办公室，家庭办公室

（SOHO）这样的WLAN网络环境。

WPA2是新一代的Wi-Fi安全协议。WPA2是Wi-Fi联盟共同实施批准的

IEEE802.11i标准。WPA2执行国家标准和技术局（NIS）建议基于高级加密标准

（AES）加密算法的计数器模式与密码区块链信息认证码协议（CCMP）。AES计

数器模式是一种分组密码，该模式每次用一个128位密钥加密128位的数据块。

WPA2比WPA提供了更高级别的安全性。

此外，还有其他两个常用的机制用于无线网安全：

●基于SSID认证

●MAC地址认证

服务区标识符（SSID）匹配

无线客户端必需设置与无线访问点AP相同的SSID，才能访问AP；如果出示

的SSID与AP的SSID不同，那么AP将拒绝它通过本服务区上网。利用SSID设置，

可以很好地进行用户群体分组，避免任意漫游带来的安全和访问性能的问题。可

以通过设置隐藏接入点（AP）与SSID区域的划分和权限控制来达到XX的目的，

SSID是允许逻辑划分无线局域网的一种机制，SSID没有提供任何数据隐私功能，

而且SSID也不对AP提供真正验证客户端的功能。

物理地址（MAC）过滤

每个无线客户端网卡都由唯一的48位物理地址（MAC）标识，可在AP中手

工维护一组允许访问的MAC地址列表，实现物理地址过滤。

这种方法的效率会随着终端数目的增加而降低，而且非法用户通过网络侦听

就可获得合法的MAC地址表，而MAC地址并不难修改，因而非法用户完全可以

盗用合法用户的MAC地址来非法接入。