正在阅读：通俗语言深度科普：流量劫持如何产生的?通俗语言深度科普：流量劫持如何产生的?

■第三阶段：工业时代

　　WiFi 弱口令

　　当互联网延伸到移动设备时，网线成了最大的累赘，无线网络逐渐进入人们视野。如今，由于无线的廉价和便利，几乎应用到所有的便捷设备。一切都不再受限制，人们可以随时随地上网，这是过去难以想象的；黑客也可以随时随地发起攻击，这是过去梦寐以求的。

　　但无论上网方式如何变化，以太网始终是网络的核心。如同刚才说的 ADSL，尽管载体是电话线路，但最终解调出来的仍是以太网数据。WiFi 也一样，无论电波怎样传播，最终只有还原出标准的以太网封包才能被路由。

　　无线网络形同一个看不见的巨大集线器，无需任何物理传播介质，附近所有人都可以收听数据信号，专业设备甚至能在更远处捕获。如果没有一种强有力的加密方式把数据封装起来，那么就毫无隐私可言了。

　　在经历了各种加密被攻破后，WPA2 如今成为无线网络标准加密算法。如果企图通过传统爆后台那样，一次次的尝试弱口令去连接，那效率将是何其的低下。

　　和拨号不同，WiFi 用户首先需『关联』热点，以建立起物理通道。类似 PPPoE 那样，WiFi 在认证之前也是可以通信的，并且是明文数据 —— 不过，这仅仅是认证数据包明文而已，真正密码显然不会出现在其中。毕竟它和拨号的目的完全不同：一个是为了加密之后所有的流量，而后者仅仅识别下你有没有上网的权限。

　　通过传统的嗅探工具，可以方便获取这些握手通信包。尽管找不出密码，但里面保存着密钥初始化相关的数据。通过专业的 WPA2 破解工具，加上丰富的密码字典，有相当一部分的无线网络，能在可接受的时间里被破解。

　　对于不少人来说，无线密码是他第一道也是唯一一道防线。连上之后，不出意外即可轻易进入路由器后台，然后就可以控制他整个内网的流量了。

　　防范措施：最简单也是最有效的方法：给密码加些特殊符号。
　　作者备注：如果给他的路由器刷一个固件，能自动破解其他的无线网络，破解之后自动进后台，自动给它升级自己的固件。。。排山倒海的路由器木马爆发了。

　　WiFi 热点钓鱼

　　上面简单的说了无线密码的破解。但若本来就知道密码的情况下，又如何发起入侵呢？

　　这种场合很常见，在一些商场、餐厅、旅馆等地方，无线网络即使有密码，大家一般也能在墙上或卡片上找到，处于半公开的状态。或者是破解了邻居的无线密码，但无法进入路由器后台，又该如何继续？

　　如今越来越智能的无线设备，已能很好的防御诸如 MAC 欺骗以及 ARP 攻击这类原始入侵了，因此需要一个更先进和隐蔽的方式，能绕过网络设备，直接发起点对点的进攻。

　　在大公司或大商场上过无线网的用户会发现，在室内无论走到哪里网络都存在，即使从一层到五层信号照样满格，而在自己家中信号隔墙就下降不少。难道是开了信号特别强大的热点吗？但在建筑外面却收不到。事实上，不难发现每层楼天花板上，都吸附着不少盘子似的东西。没错，正是这些分布在各处的设备，覆盖了整栋楼的无线网络，让信号死角变得更少。

　　但是同时存在那么多热点，搜索列表里显示的却没有几个。因为他们都有着同样的热点名（SSID），客户端通常会将同名热点合并成一个。至于连接时，系统会选择信号最好的那个。如果这些热点的认证方式也是相同的，无论连哪个都没问题。

　　仔细揣摩这条特征，不难发现其中大有文章可做 —— 这不天生就为我们钓鱼准备的！我们再开一个同名同认证的伪热点，只要在信号上压倒对方，钓上附近的鱼儿那是妥妥的。

　　目前几乎还没有哪个客户端对此有防御，无论是商场还是咖啡店，甚至是一些大公司里，对此也束手无策。原因很简单，问题既不出在设备、也不是部署上，更不能归咎与用户。这是整个协议栈的弱点。

　　发起此攻击的唯一材料，就是一个超大功率的热点，以此来压倒正常的，争做用户『最信赖』的信号源。

　　其实，每个热点都时时刻刻广播着一种叫 Beacon 的数据包，里面带有热点名等相关的信息。用户网卡收集之后进过筛选分析，即可得知附近有哪些热点，各自信号如何。功率大的热点，用户接收时的信号强度（RSSI）自然也会高一些。

　　当然，过高的信号源可能会引起一些监控的警觉，自己也被置于巨大的辐射之中。如果仅仅是对某个方位片杀，使用定向天线会有更好的效果。

　　不过，光有发射能力还是不够的。即使能把 Beacon 推送到数十公里外，让全城都能看见你的热点名，但前来连接的设备可没有那么强劲信号。因此没有一个高灵敏的接收系统，再强的信号也只是一厢情愿罢了。

　　防范措施：因为是底层的缺陷，这种劫持通常很难防护。从理论上说，热点通常是固定着的，因此可以事先记录下每个热点的3D坐标，然后根据 WiFi 定位时刻监控热点位置，如果某个热点信号出现在远离事先的地方，很可能是钓鱼热点发出的假信号。但在现实中，要同时追踪那么多设备并不容易。除非所有的无线设备，都自带监控附近热点的功能，那样可以节省大量追踪成本。不过在安全性高的场合，还是使用『接入认证』，连接时要求输入用户名和密码来准入。
　　作者备注：用户成功连上 WiFi 后，导致网络状态发生改变，一些系统会尝试请求某个特定的 URL，如果返回的是 HTTP 302，会自动弹出重定向后的网页。目的是为了方便打开网页版的准入，有时连上 CMCC 会自动弹出一个登录网页就是如此。iPhone，iPad，WP 都支持，MacOS 最新版弹出的网页不会执行脚本了。利用这个废功能来弹广告应该很不错~

　　WiFi 强制断线

　　不得不说 WiFi 的另一个缺陷 —— 被下线。类似 PPPoE 主动或被动断开拨号时都有一个注销包，WiFi 也一样。

　　之前提到，遍历 PPPoE 的会话ID，冒充所有用户发出注销请求，可以断开全城的网络。WiFi 也有类似的缺陷，只不过正好反过来：冒充热点，向所有用户广播注销包，于是所有连着该热点的用户都下线了。

　　不过，WiFi 的被下线仅仅是认证被注销，用户和热点仍是关联着的。用户接着重新发起认证，因此又给黑客一个获取握手数据的机会。

　　如果广播持续不断，用户也就一直没法上网，屏幕上会不停的闪烁着『连接中... / 已断开』。对方可能会尝试重启路由，但发现问题仍在，而且所有设备都是这情况，会认为路由器出问题了，于是尝试恢复出厂设置 —— 这一刻，危险降临了！

　　照国产路由器的风格，出厂时 WiFi 是没有密码的，而且后台基本是弱口令。因此有个非常短暂的安全缝隙，能钻入这台设备并拿下他的网络！如果事先写好脚本，一旦发现有开放的热点，立即连上并且爆入后台，更是可以直接秒杀！对方刚恢复完路由器，还没回到电脑前就已被劫持了，这是无论如何也想不到的。。。

　　当然，为了防止他之后进入路由器改密码，你必须立即隐藏 SSID，让 Beacon 不再发出，这样大家都看不见这台设备了，只能通过 BSSID（路由器 MAC 地址）来连接。但是人家会有疑问，刚恢复好的路由器怎么看不见？这时得事先建立一个钓鱼热点，名字和那被隐藏的 SSID 一样，将对方引诱到自己的蜜罐上。

　　在这个蜜罐里开启一个和路由器页面差不多的站点（可以直接反向代理他路由器的页面），拖住用户，让你有充足的时间来操作那台被隐藏的真设备。甚至可以换掉他固件了！

　　当然，有些设备不让轻易更新固件，需要输入路由器上的某个号码，或者按一个键才能开始。这时得发挥蜜罐站点的作用了，你可以在页面上画个文本框，提示他输入路由器上的那号码，或者直接让他去按那按钮。由于路由器后台太过专业，很少会有人质疑它的权威性，几乎都是按部就班。

　　事实上，你的蜜罐一直开着，对方肯定会在里面配置 WiFi 密码和管理密码，以及 PPPoE 账号。于是他的一切上网秘密都被掌控！即使不改他路由器也无所谓了，以后可以随时进入。

　　防范措施：不要轻易恢复路由器的出厂设置。真有必要请务必留神，尽快改掉默认密码。即使周围没有黑客，一些中毒的设备随时可能来连上并爆进后台窜乱。
　　作者备注：软硬兼施，这招是不是太阴了？稍微用一点心理学或是社工，原本不怎么严重的漏洞可以扩大很多倍。

　　WLAN 基站钓鱼

　　前面说的热点钓鱼，只能在特定的场合下进行。劫持KFC的用户，只能在KFC附近；入侵小区的路由，只能在家完成。这极大的限制了攻击范围，完全没有发挥出无线网络的灵活性。

　　然而有一种网络，无论走到哪都能收到。打开手机，总能看见 CMCC 这类热点如同幽灵一般存在。如今，WLAN 业务已遍地开花，几乎覆盖了全国各地。它支持更高的频段，并向下兼容 WiFi，设备遍布全城，试图打造一个无线城域网。唯一的遗憾是收费的，而且信号也一般，远不如 3G 实用。

　　有时我们并没有连接这些热点，系统却自动连上了。原因很简单，之前某个时候手贱，去连过它们。而系统会保存主动连过的热点，再次出现时就自动上了。事实上，去连过这些热点的人不在少数。

　　不用说，你也想到开热点钓鱼了。并且用户几乎都是用 WiFi 来连接，也就没有必要使用 WLAN 设备。使用之前的大功率热点，取个 CMCC 的名字，放在阳台上对着大街，不一会就连上一堆用户了。要是支持虚 AP 的话，把 CMCC-AUTO，ChinaNet 等等这些名字全部用上，前来光临的就更多了。

　　上面提到了，不少设备连上 WiFi 后能自动弹网页，利用这个特性，钓鱼就更容易了。大多手机系统为了节省流量，当 WiFi 和 3G 同时可用时，会优先使用 WiFi，于是用户的流量不知不觉流到黑客那里。

　　事实上，我们还可以把整套钓鱼方案集成到安卓里。利用手机创建的热点吸引附近的用户，捕捉到的流量还可以通过自己的 3G 网络代理出去。使用 Linux 内核强大的转发机制，我们可以轻易的控制用户的各种流量。以后可别嘲笑街上低头玩手机的人，人家说不定正在劫持你呢。

　　不过，在一些地方例如地铁上面，3G 信号很差，难以将热点收到的数据转发出去，因此只能钓鱼无法劫持。这种单机模式是否仍能入侵呢？下篇文章将叙述，如何发起离线钓鱼。

　　防范措施：WiFi 不用就应及时关闭，以免自动连上不安全的热点。对于一些长期不用的连接记录，不如趁早删了吧。
　　作者备注：安卓热点默认只支持 10 个用户，在街上开个叫 CMCC 的热点，会发现瞬间就连满了。所以还是把笔记本藏书包里，配几个好点的无线网卡，既隐蔽效果也好。大功率天线虽然很过瘾，但不能过度使用，说不定哪天就被查水表了~

　　结尾

　　就谈到这里吧，这些只是之前尝试有效的案例，事实上还有太多的途径，要是再算上系统内部的方式那就无数了。但不论如何变化，流量劫持的最终利用方式几乎是如出一辙的 —— 利用它能做些什么呢？终极危害能有多大？请听下回分解。