同样也因为信息技术的发展，近年来通过wifi这一途径进行恶意攻击的事件也时常发生。面对越来越多的想通过该手段获取利益的不法分子，我们更应该主动的进行防御，当然在这之前要先对这样的攻击手段进行了解。

       

下面，信息安全方面的专家山丽网安为广大用户描述五种类型的无线攻击，以供用户和企业安全管理人员们参考和提前预防。

       

       

网络攻击(无论在有线或无线网络中)通常开始于某种形式的侦察。在无线网络中，侦察涉及使用无线嗅探器混听无线数据包，以使攻击者可以开始开发无线网络的信号覆盖区。我们将重点放在第二层的数据包，因此我们没有连接(关联)到一个接入点。如果攻击者与一个接入点相关联，则他或她能够嗅探第三层及以上。

       

当部署无线时，你需要确保，比如一个防火墙，入口以及出口都被考虑到。在无线交换机和接入点的输出流量应适当过滤掉广播流量来防止这个敏感的有线流量泄漏到本地空域。一个无线入侵防御系统(IPS)可以通过监测数据包泄漏迹象来识别这个有线侧漏，使管理员可以阻止任何在接入点、无线交换机、防火墙之处的泄漏。

 

       

流氓接入点的最常见的类型包括将像Linksys路由器等的消费级接入点带入办公室的用户。许多组织试图通过无线评估检测流氓AP。需要注意的是，虽然你可能会发现在您附近的接入点，验证它们是否连接到你的物理网络也是同等重要的。流氓AP的定义是一个未经授权的无线接入点连接到你的网络。任何其它的可见的不属于你的AP就是一个简单的相邻接入点。

       

甚至是季度性的流氓接入点抽查仍然给恶意黑客巨大的机会，为一些人留出不是几天就是几个月的时间插入流氓接入点、执行攻击、然后删除它而不被发现。

       

       

企业无线局域网的部署可能出现配置错误。人类的错误加上不同管理员安装接入点和开关可能导致多种配置错误。例如，一个未保存的配置变化可能容许一个设备在停电重启时恢复到出厂默认设置。并且许多其它的配置错误会导致过多的漏洞。因此，这些设备必须进行符合你的政策的配置监测。一些这样的监测可以在布线侧与WLAN管理产品一起实施。此外，如果你在无线IPS中预先定义政策以监测与政策不兼容的设备，成熟的无线IPS产品还可以监视错误配置的接入点。

       

现代的系统有不同的考虑——基于控制器的方法在很大程度上避免了这个为题，但一些组织，特别是一些较小的组织，仍将面临这样的问题。在控制器方面，人为的错误带来更大和更重大的风险——所有接入点都会有问题或有配置漏洞，而不只是一个。

       

       

因为组织机构在加强他们的无线网络方面变得更自律，趋势表明无线用户已经成为低悬的果实。当涉及到人类行为时，执行安全Wi-Fi使用是困难的。普通的无线用户根本不熟悉在当地的咖啡店或机场连接到开放的Wi-Fi网络的威胁。此外，用户可以在不知情的情况下连接到他们认为是合法接入点的无线网络，但实际上，是为特别是吸引不知情的受害者设立的蜜罐或开放网络。

       

例如，他们可能在家里有一个被称为“Linksys”的网络。因此，他们的笔记本电脑会自动连接到其它任何称为“Linksys”的网络。这种内置行为可能会导致偶然关联到一个恶意的无线网路，通常被称为无线网络钓鱼。

       

一旦攻击者获得对用户笔记本电脑的访问权限，则其不仅可以窃取敏感文件等的信息，还可以获得作为企业网络用户的无线网络凭据。这种攻击可能比直接攻击企业网络更容易执行。如果攻击者可以从一个无线用户获得证书，然后他或她可以使用这些凭据来访问企业无线网络，绕过任何用于阻止更复杂攻击的加密和安全机制。

       

       

用户通常最容易成为攻击者的目标，特别是当它涉及到Wi-Fi时。当用户与接入点关联，他们可以看到其他试图连接到接入点的人。理想的情况是，大多数用户连接到接入点以获取互联网访问或访问公司网络，但他们在相同的无线网络中成为恶意用户的受害者。

 

除了窃听，恶意用户还可能直接定位到其他用户，只要他们被关联到相同的接入点。具体来说，一旦用户认证并关联到一个接入点，他或她便获取到一个IP地址，并因此访问到第三层。与有线网络很相似，恶意无线用户现在与其他接入到该接入点的用户在同一个网络中，将他们作为直接的攻击目标。

       

       

以上五种攻击看似复杂，但综其所述，不法分子的根本目的只有一个，那就是通过各种安全漏洞入侵用户系统，得到用户的数据信息。因此与其想方设法使用多种方案进行五种攻击的防御，不如就从最根本的数据本源入手，使用最高效，最有利的手段捍卫系统的数据安全，防止用户信息泄露。而目前为止，能实现这一点的就是国际先进的多模加密技术。

       

多模加密技术由对称算法与非对称算法相结合，在不同的环境下为用户提供不同的加密模式，灵活有针对性，同时也高效防止数据泄露，保障用户信息安全。

       

以多模加密技术为核心，山丽网安打造了山丽防水墙数据防泄漏系统。该系统通过山丽网安“双核双升”技术更新，不仅具有文件加密的功能，针对企业内部机密文件、企业外发文件、还有文件权限控制的特性。山丽防水墙数据防泄漏系统在用其独有的AUF监控内核为核心和国际先进的加密算法，纳入了成熟的计算机终端管理模式，通过设备资产管理、端口管理、介质管理、外联管理、桌面管理、远程管理，在系统实施后可以达到技术手段的管理效果。

       

日后，无线网络也许会覆盖全球，伴随而来的无线攻击可能也会更多样化，面对多样的信息安全威胁，治标更要治本，保证本源数据安全，使用有针对性的加密软件是最好的选择！