隨著無(wú)線網(wǎng)絡(luò)技術(shù)的普及發(fā)展,基于IEEE 802.11標(biāo)準(zhǔn)的無(wú)線局域網(wǎng)(WLAN)應(yīng)用日趨廣泛。然而由于無(wú)線信號(hào)的空中廣播本質(zhì)以及協(xié)議設(shè)計(jì)的缺陷,WLAN的安全性受到了極大威脅[1]。現(xiàn)有的安全策略，如MAC地址過(guò)濾、關(guān)閉SSID廣播、IEEE802.11i的安全防護(hù)問(wèn)題日益突出。而作為彌補(bǔ)手段之一的無(wú)線802.11蜜罐近年來(lái)越來(lái)越多地受到關(guān)注。
    無(wú)線802.11蜜罐[2]是等待攻擊者或惡意用戶訪問(wèn)的無(wú)線資源，它通過(guò)搭建具有無(wú)線服務(wù)資源平臺(tái)的蜜罐,誘使攻擊者入侵,將攻擊者拖延在該蜜罐上,使得攻擊者花費(fèi)大量精力對(duì)付偽造的目標(biāo),達(dá)到消耗攻擊者的資源、降低攻擊造成的破壞程度,從而間接保護(hù)真實(shí)的無(wú)線系統(tǒng),同時(shí)記錄攻擊頻率、攻擊手段、攻擊成功的次數(shù)、攻擊者的技術(shù)水平及最容易被攻擊的目標(biāo)等真實(shí)統(tǒng)計(jì)數(shù)據(jù)。
1 典型的無(wú)線802.11蜜罐
    蜜罐蜜網(wǎng)技術(shù)已經(jīng)被廣泛應(yīng)用于各種網(wǎng)絡(luò)環(huán)境上，用于監(jiān)視攻擊者的各種入侵行為,其大量的研究工作也已卓有成效地展開(kāi)。無(wú)線802.11蜜罐作為蜜罐技術(shù)的一種,由于多應(yīng)用于WALN,使得近年來(lái)研究工作也,愈來(lái)愈受到關(guān)注[3]。
1.1 WISE
    WISE(Wireless Information Secuity Experiment)于2002年在華盛頓完成,項(xiàng)目旨在監(jiān)視未授權(quán)的接入、使用和竊聽(tīng),并收集WALN黑客工具和技術(shù)的信息。采用802.11b,使用高增益天線增加信號(hào)覆蓋范圍，任何進(jìn)入WISE的企圖都被認(rèn)為是可疑的。
1.2 簡(jiǎn)易無(wú)線802.11蜜罐
    參考文獻(xiàn)[2]分別介紹了兩種基于Honeyd和FakeAp的簡(jiǎn)易無(wú)線802.11蜜罐,通過(guò) Honeyd模擬接入點(diǎn)后的內(nèi)部網(wǎng)絡(luò),以及模擬TCP/IP協(xié)議棧構(gòu)建偽裝的AP,可同時(shí)監(jiān)視攻擊者的探測(cè)攻擊行為?；贔akeAP實(shí)現(xiàn)的無(wú)線802.11蜜罐中,通過(guò)FakeAP發(fā)送大量的802.11b信標(biāo)數(shù)據(jù)幀,進(jìn)而偽裝成大量的AP來(lái)迷惑攻擊者。
    Mark Osborne通過(guò)搭建接入點(diǎn)以及利用筆記本上的無(wú)線網(wǎng)卡監(jiān)視無(wú)線流量,建立了一個(gè)簡(jiǎn)易的無(wú)線802.11蜜罐系統(tǒng)，同時(shí)開(kāi)發(fā)了一套如圖1所示的無(wú)線入侵檢測(cè)系統(tǒng)(WIDZ)。

1.3 縱深欺騙型無(wú)線802.11蜜罐
    參考文獻(xiàn)[4]提出了一種三層環(huán)系的縱深欺騙無(wú)線802.11蜜罐。最核心層為最深的欺騙,由內(nèi)向外欺騙強(qiáng)度逐漸減弱。外層采用FakeAP模擬一個(gè)或多個(gè)參數(shù)可調(diào)的接入點(diǎn);中層使用Honeyed偽造一個(gè)包括網(wǎng)絡(luò)服務(wù)器,客戶工作站;無(wú)線服務(wù)的有線網(wǎng)絡(luò),同時(shí)整合了Snort IDS;內(nèi)層為蜜罐集邏輯結(jié)構(gòu),蜜罐被設(shè)計(jì)為一臺(tái)Linux Mandrake 9.0機(jī)器管理所有欺騙性資源,并提供蜜罐內(nèi)所有活動(dòng)的logging功能。從內(nèi)到外形成金字塔結(jié)構(gòu),同時(shí)內(nèi)層對(duì)緩沖區(qū)溢出,中層對(duì)Nmap OS掃描和Nessus弱點(diǎn)掃描,外層對(duì)Kismet和Netstumbler嗅探均可作出欺騙性響應(yīng)，三層環(huán)系以及金字塔結(jié)構(gòu)如圖2所示。

1.4 Hive
    Hive基于Linux Live CD環(huán)境, 提供了搭建獨(dú)立無(wú)線蜜罐的工具包括FakeAp、Honeyed等。
1.5 HoneySpot
    HoneySpot[5]旨在建立一個(gè)提供Wi-Fi接入服務(wù)的場(chǎng)所,同時(shí)該場(chǎng)所的價(jià)值在于被探測(cè)、攻擊和入侵。HoneySpot分為公共和私有兩種,公共HoneySpot提供接入開(kāi)放WLAN；私有HoneySpot則分為基于WEP、WPA、WPA2的三種無(wú)線網(wǎng)絡(luò)。同時(shí)HoneySpot具有五個(gè)模塊：無(wú)線接入點(diǎn)(WAP)模塊提供無(wú)線網(wǎng)絡(luò)基礎(chǔ)架構(gòu);無(wú)線客戶端(WC)模塊模擬連接到HoneySpot的合法終端用戶;無(wú)線監(jiān)視(WMON)模塊收集整個(gè)HoneySpot內(nèi)網(wǎng)絡(luò)流量的設(shè)備;無(wú)線數(shù)據(jù)分析(WDA)模塊分析WMON模塊收集的所有網(wǎng)絡(luò)數(shù)據(jù);有線基礎(chǔ)設(shè)施(WI)模塊(可選)為HoneySpot模擬真實(shí)的有線網(wǎng)絡(luò)環(huán)境。HoneySpot的詳細(xì)結(jié)構(gòu)如圖3所示。

1.6 典型的無(wú)線802.11蜜罐的比較與評(píng)估
    無(wú)線802.11蜜罐比較的指標(biāo)主要包括:安全級(jí)別是公有還是私有;是否支持802.11a/b/g;欺騙手段是否支持偽造AP信標(biāo)幀、偽造有線網(wǎng)絡(luò)結(jié)構(gòu)、偽造緩沖區(qū)溢出;AP是真實(shí)還是偽造;AP的數(shù)量;是否支持802.1X/EAP;是否支持MAC地址過(guò)濾、日志、嗅探;是否開(kāi)源等。參考文獻(xiàn)[3]根據(jù)這些指標(biāo)對(duì)大部分典型的無(wú)線802.11蜜罐進(jìn)行了詳細(xì)的比較,并得出評(píng)估結(jié)論,即HoneySpot在眾多蜜罐中最為有效。
2 無(wú)線802.11蜜罐的應(yīng)用
    隨著無(wú)線802.11蜜罐研究的深入,應(yīng)用領(lǐng)域和研究范圍從開(kāi)始的部署和架構(gòu)研究轉(zhuǎn)向入侵檢測(cè)系統(tǒng)(IDS)和入侵防御系統(tǒng)(IPS),應(yīng)用范圍也不僅是WLAN，已擴(kuò)展到基于IEEE802.11的其他無(wú)線網(wǎng)絡(luò)如Adhoc網(wǎng)絡(luò)、無(wú)線Mesh網(wǎng)絡(luò)等。
2.1 入侵檢測(cè)
    入侵檢測(cè)是通過(guò)收集計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)的信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。現(xiàn)有的無(wú)線802.11蜜罐應(yīng)用于入侵檢測(cè)的兩種方式：(1)與現(xiàn)有的IDS軟件聯(lián)動(dòng)(如Snort、WIDZ)。此時(shí)的無(wú)線802.11蜜罐其實(shí)充當(dāng)?shù)氖荌DS的信息收集器,如縱深欺騙型蜜罐、WHIP[6]、HoneySpot。(2)利用無(wú)線802.11蜜罐檢測(cè)特定的攻擊。如參考文獻(xiàn)[7]提出的一種用于檢測(cè)黑洞攻擊的無(wú)線Mesh網(wǎng)絡(luò)蜜罐,該蜜罐通過(guò)發(fā)送偽造的RREQ報(bào)文，引誘黑洞攻擊節(jié)點(diǎn)發(fā)送聲稱自己具有最佳路由的偽造RREP,蜜罐可記錄下這些信息從而檢測(cè)到黑洞節(jié)點(diǎn)。
2.2 入侵防御
    入侵防御是在入侵檢測(cè)的基礎(chǔ)上,具備阻止/阻塞檢測(cè)到的攻擊的能力。參考文獻(xiàn)[8]提出了一種基于規(guī)劃識(shí)別和蜜罐的無(wú)線入侵防御系統(tǒng)，可識(shí)別攻擊者的攻擊規(guī)劃并作出預(yù)先決策，通過(guò)管理控制臺(tái)發(fā)送警告信息或斷開(kāi)網(wǎng)絡(luò),該系統(tǒng)的結(jié)構(gòu)如圖4所示。

3 無(wú)線802.11蜜罐的主要挑戰(zhàn)和發(fā)展方向
3.1 拒絕服務(wù)攻擊防御
　    目前應(yīng)用蜜罐防御拒絕服務(wù)的研究均在有線網(wǎng)絡(luò)環(huán)境下進(jìn)行，目的是引入蜜罐使得真實(shí)主機(jī)受到攻擊的概率和強(qiáng)度降低,同時(shí)將攻擊定向在蜜網(wǎng)內(nèi)，以減少危害。研究包括將固定配置的蜜罐改進(jìn)為可漫游的蜜罐,即服務(wù)器池中的機(jī)器可以動(dòng)態(tài)地在服務(wù)態(tài)和蜜罐態(tài)之間切換;研究利用蜜罐回溯到拒絕服務(wù)攻擊的源,并使其停止。然而這需要網(wǎng)絡(luò)硬件設(shè)備的支持(如路由器的支持)。而如何在上述研究基礎(chǔ)上,利用無(wú)線蜜罐抵御無(wú)線網(wǎng)絡(luò)的拒絕服務(wù)攻擊還有待研究。
3.2 偽裝技術(shù)
    采用真實(shí)的計(jì)算機(jī)系統(tǒng)構(gòu)建蜜罐系統(tǒng),其交互程度高,但部署和管理困難;采用虛擬仿真技術(shù),其部署容易,風(fēng)險(xiǎn)較低,但是交互程度低,較容易識(shí)別。雖然檢測(cè)和攻擊蜜罐的技術(shù)也在發(fā)展,但如何通過(guò)增強(qiáng)系統(tǒng)偽裝智能性,感知和學(xué)習(xí)實(shí)時(shí)的無(wú)線網(wǎng)絡(luò)環(huán)境,自動(dòng)地進(jìn)行系統(tǒng)配置,并確保無(wú)線802.11蜜罐的高度真實(shí)性和迷惑性,仍有待進(jìn)一步研究。
3.3 無(wú)線802.11邪惡蜜罐
    大多數(shù)蜜罐都是正義的,檢測(cè)到入侵后往往采用被動(dòng)的防護(hù)措施,并不會(huì)主動(dòng)還擊。然而邪惡蜜罐的提出顛覆了這一特點(diǎn)，蜜罐在遭到入侵后可以還擊,如還擊掃描、木馬、蠕蟲(chóng)，甚至給攻擊者設(shè)置文件陷阱等。顯然今后專門用來(lái)反擊無(wú)線802.11攻擊的無(wú)線802.11邪惡蜜罐也將成為研究熱點(diǎn)。
3.4 WLAN風(fēng)險(xiǎn)評(píng)估問(wèn)題
    已有一些研究通過(guò)在有線網(wǎng)絡(luò)中部署蜜罐蜜網(wǎng)，從而對(duì)網(wǎng)絡(luò)進(jìn)行風(fēng)險(xiǎn)評(píng)估。而WLAN作為一種應(yīng)用越來(lái)越廣泛的網(wǎng)絡(luò)，其安全性也至關(guān)重要,因此如何通過(guò)部署無(wú)線802.11蜜罐對(duì)WLAN進(jìn)行風(fēng)險(xiǎn)評(píng)估也有待研究。
3.5 法律問(wèn)題
    蜜罐技術(shù)涉及的法律問(wèn)題主要有:可能侵犯黑客的隱私權(quán)；誘捕行為的程度及合法性；蜜罐被利用攻擊他人的責(zé)任。隨著邪惡蜜罐的提出,法律問(wèn)題更加不可回避。
    目前,無(wú)線802.11蜜罐的研究還不能令人滿意,應(yīng)該借鑒一些成熟的理論、方法和技術(shù),如機(jī)器學(xué)習(xí)、人工智能及數(shù)據(jù)挖掘等,從而更快地推動(dòng)無(wú)線802.11蜜罐的技術(shù)進(jìn)步, 更大地發(fā)揮無(wú)線802.11蜜罐的價(jià)值。
    蜜罐和蜜網(wǎng)技術(shù)是一種應(yīng)用欺騙思想的主動(dòng)防御技術(shù),是現(xiàn)有安全機(jī)制的有力補(bǔ)充。無(wú)線802.11蜜罐作為新興研究領(lǐng)域,必然為無(wú)線802.11網(wǎng)絡(luò)安全的研究做出巨大貢獻(xiàn)。
參考文獻(xiàn)
[1] BECKM, TEWS E. Practical attacks against WEP and WPA[C]. Proceedings of the 2nd ACM Conference on Wireless Network Security, 2009.
[2] OUDOT L. Wireless honeypot countermeasures. http://www.securityfocus.com/infocus/1761, 2004.
[3] HARABALLY N A G, SAYED N E, MULLA S A, et al. Wireless honeypots: survey and assessment[C]. Proceedings of the 2009 Conference on Information Science,Technology and Applications, ISTA ′09, 2009:45-52.
[4] YEK S. Measuring the effectiveness of deception in a wireless honeypot[R].proceedings of the 1st australian computer, Network & Information Forensics Conference, 2003:1-10.
[5] SILES R. Honey spot: The wireless honeypot, the spanish  honeynet project(SHP)[EB/OL]. http://honeynet.org.es/papers/honeyspot/HoneySpot_20071217.2007.
[6] BEEK J V, NAN T, VISSER R, et al. Wireless honeypot intrusion project[EB/OL]. https://alumni.os3.nl/~wezeman/phh-02-06-2004.pdf. 2004.
[7]  PRATHAPANI A, SANTHANAM L, AGRAWAL D P.  Intelligent honeypot agent for blackhole attack detection in  wireless mesh networks[C]. 2009 IEEE 6th International  Conference on Mobile Adhoc and Sensor Systems, MASS  2009.
[8]  Chen Guanlin, Yao Hui, Wang Zebing. Research of wireless intrusion prevention systems based on plan recognition and honeypot[C]. 2009 International Conference on Wireless Communications and Signal Processing, WCSP 2009.