无线钓鱼与企业防御
抓握手包破解的是"密码强度",而无线钓鱼攻击的是"人"。当 PSK 足够强、离线爆破不可行时,攻击者会转向**伪造同名热点(Evil Twin)**诱骗用户主动交出密码。这篇讲清楚 Evil Twin / 钓鱼门户的原理、WPS 与 WPA3 的安全状况,以及企业级无线网络的纵深防御。
搭建伪造热点、诱导他人输入凭据属于严重违法行为。本文只讲原理与防御,用于帮助你识别和防范此类攻击,不提供可直接照搬的攻击脚本。
Evil Twin(双胞胎热点)原理
Evil Twin 是一个与目标网络**同名(同 SSID)**的伪造 AP。攻击链大致是:
- 攻击者用监听模式观察到目标网络名,架设一个同名、信号更强的伪造 AP。
- 对真实 AP 的客户端发送 deauth 把它们踢下线(见上一篇)。
- 客户端搜索同名网络,自动连上信号更强的伪造 AP。
- 伪造 AP 弹出一个仿冒的"路由器固件升级 / WiFi 认证"页面(Captive Portal,强制门户),要求重新输入 WiFi 密码。
- 用户输入的密码被攻击者捕获——这绕过了离线爆破,直接让人把密码送上门。
关键点:它不破解密码学,而是利用用户无法分辨同名热点真伪这个弱点。常见框架如 Wifiphisher、airgeddon 把这套流程自动化,但其威力完全依赖社工成功率。
强制门户(Captive Portal)钓鱼
你在机场、酒店连 WiFi 时弹出的"输入手机号上网"页面就是强制门户。攻击者复刻这套体验:
- 伪造 AP 开放无密码连接,但拦截所有 HTTP 请求重定向到钓鱼页。
- 钓鱼页伪装成运营商认证、Google/微信登录、路由器后台等,窃取凭据。
- 由于页面是攻击者本地托管,HTTPS 锁标也可能被伪造的提示掩盖,普通用户极难分辨。
防范的核心认知:正规 WiFi 不会在连接后要求你重新输入 WiFi 密码或社交账号密码。遇到这种页面应当警惕。
WPS 的风险
WPS(Wi-Fi Protected Setup)本是为了简化连接(按按钮或输 8 位 PIN),但 PIN 机制有设计缺陷:
- PIN 被拆成两段分别校验,有效组合从一千万降到约一万一千,可被 Reaver 在线爆破。
- 部分芯片存在 Pixie Dust 离线缺陷,可瞬间算出 PIN。
无论 PSK 多强,只要开着脆弱的 WPS,攻击者就可能绕过它拿到密码。建议在路由器后台彻底关闭 WPS。
WPA3 带来的改善
WPA3 针对前述攻击做了系统性加固:
| 攻击 | WPA2 | WPA3 |
|---|---|---|
| 握手包离线爆破 | 可行(弱口令) | SAE 握手抵御,离线爆破失效 |
| deauth 踢人 / 逼握手 | 可行 | PMF 强制开启,伪造管理帧失效 |
| PMKID 抓取 | 部分可行 | 不适用 |
| 前向保密 | 无 | 有,旧流量即使日后泄密也无法解密 |
需要注意 WPA3 早期实现也曾被爆出 Dragonblood 侧信道/降级漏洞,因此"用 WPA3"还要配合及时更新固件和禁用 WPA2/WPA3 混合过渡模式中的降级。
企业级无线纵深防御
家用看口令强度,企业要靠体系:
### 用 WPA2/3-Enterprise(802.1X)
放弃共享 PSK,改为每用户独立账号(RADIUS 认证 + EAP-TLS 证书最佳)。某个员工离职或凭据泄露,只吊销其凭据即可,不必更换全网密码。
### 部署无线入侵检测/防御(WIDS/WIPS)
监控并告警异常行为:同名 SSID 的非法 AP(Rogue/Evil Twin)、deauth 洪水、异常关联请求。发现伪造 AP 可自动反制。
### 启用 PMF(802.11w)
强制管理帧保护,从机制上消除 deauth 类攻击,这是阻断 Evil Twin 前置步骤的关键。
### 网络分段与最小权限
访客 WiFi 与内网物理/逻辑隔离;无线接入后仍需二次认证才能访问敏感系统,假设无线链路随时可能被攻破。
### 安全意识培训
最终防线是人。教育员工:不连陌生同名热点、警惕"重新输入密码"的页面、核对证书告警,能挡住大部分钓鱼。
普通用户自保清单
- 路由器:用 WPA3 或 WPA2-AES + 强口令,关闭 WPS,定期更新固件,改掉后台默认密码。
- 手机/电脑:关闭"自动连接开放网络",删除不再使用的已保存网络。
- 看到"连上 WiFi 后要求重新输密码 / 输社交账号"的页面,一律视为可疑,不要输入。
- 在不可信网络上访问敏感业务时叠加 HTTPS + VPN,给链路再加一层保护。
最后更新于