無(wú)線(xiàn)網(wǎng)絡(luò)的方便快捷是的廣大用戶(hù)深受喜愛(ài)，不僅筆記本用戶(hù)熱衷于無(wú)線(xiàn)使用，一些企業(yè)中通過(guò)給PC機(jī)配置無(wú)線(xiàn)網(wǎng)卡也加入了無(wú)線(xiàn)用戶(hù)的大潮中。但是無(wú)線(xiàn)網(wǎng)絡(luò)的安全性是讓人十分擔(dān)憂(yōu)的，那么我們能不能如同有線(xiàn)網(wǎng)絡(luò)一樣搭建入侵蜜罐來(lái)找出入侵著呢？本篇文章就教給廣大的讀者如何通過(guò)搭建無(wú)線(xiàn)入侵蜜罐，找出無(wú)線(xiàn)網(wǎng)絡(luò)入侵者。

一.什么是無(wú)線(xiàn)入侵蜜罐：

首先我們需要明確什么是蜜罐，在網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全領(lǐng)域存在一個(gè)定義——蜜罐，蜜罐是一種安全資源，其價(jià)值在于被掃描、攻擊和攻陷。這個(gè)定義表明蜜罐并無(wú)其他實(shí)際作用，因此所有流入/流出蜜罐的網(wǎng)絡(luò)流量都可能預(yù)示了掃描、攻擊和攻陷。而蜜罐的核心價(jià)值就在于對(duì)這些攻擊活動(dòng)進(jìn)行監(jiān)視、檢測(cè)和分析。說(shuō)白了蜜罐就是一個(gè)假冒的系統(tǒng)，吸引入侵者進(jìn)入，然后對(duì)其進(jìn)行誘捕。通過(guò)一個(gè)實(shí)際存在的具備漏洞的系統(tǒng)來(lái)針對(duì)入侵者反捕獲，從而對(duì)其進(jìn)行快速定位。

而對(duì)于無(wú)線(xiàn)入侵蜜罐來(lái)說(shuō)工作原理是一樣的，只不過(guò)他是一個(gè)具備入侵漏洞的無(wú)線(xiàn)網(wǎng)絡(luò)，吸引入侵者進(jìn)入然后對(duì)其進(jìn)行誘捕，從而定位其網(wǎng)絡(luò)參數(shù)將入侵者基本信息進(jìn)行收集，最終更好的對(duì)其進(jìn)行防范。例如通過(guò)MAC地址過(guò)濾，IP地址封鎖等方式將存在入侵可能的主機(jī)禁用，取消其連接無(wú)線(xiàn)網(wǎng)絡(luò)的權(quán)限。

二.如何搭建無(wú)線(xiàn)入侵蜜罐系統(tǒng)：

那么對(duì)于普通用戶(hù)和企業(yè)網(wǎng)絡(luò)者來(lái)說(shuō)如何搭建無(wú)線(xiàn)入侵蜜罐系統(tǒng)呢?蜜罐系統(tǒng)的搭建需要有兩個(gè)因素，我們分別進(jìn)行講解。

第一是建立存在漏洞的無(wú)線(xiàn)網(wǎng)絡(luò)，我們可以根據(jù)需要選擇廣播SSID網(wǎng)絡(luò)ID，使用簡(jiǎn)單KEY方式進(jìn)行WEP加密等。所有設(shè)置都通過(guò)無(wú)線(xiàn)路由器來(lái)完成，通過(guò)無(wú)線(xiàn)參數(shù)設(shè)置界面開(kāi)啟無(wú)線(xiàn)網(wǎng)絡(luò)及相關(guān)參數(shù)。

開(kāi)啟具備漏洞的無(wú)線(xiàn)網(wǎng)絡(luò)后我們可以通過(guò)無(wú)線(xiàn)掃描工具針對(duì)該網(wǎng)絡(luò)進(jìn)行掃描，確認(rèn)漏洞存在且穩(wěn)定運(yùn)行。

第二要能夠針對(duì)入侵者進(jìn)行合理監(jiān)控，一般我們都是通過(guò)監(jiān)控制工具或網(wǎng)絡(luò)管理程序來(lái)完成的，sniffer類(lèi)工具是不錯(cuò)的選擇;如果是企業(yè)無(wú)線(xiàn)設(shè)備并具備鏡像端口轉(zhuǎn)發(fā)功能的話(huà)效果會(huì)更好，我們直接通過(guò)鏡像端口對(duì)入侵者接入端口或總出口進(jìn)行sniffer監(jiān)控即可。所有數(shù)據(jù)流量將被原封不動(dòng)的轉(zhuǎn)發(fā)到sniffer監(jiān)控端，這樣我們就可以仔細(xì)分析入侵者的網(wǎng)絡(luò)流量以及相關(guān)數(shù)據(jù)信息了。

不過(guò)對(duì)于大部分設(shè)備和家庭用戶(hù)來(lái)說(shuō)擁有具備鏡像端口轉(zhuǎn)發(fā)功能的無(wú)線(xiàn)網(wǎng)絡(luò)設(shè)備很困難，這時(shí)我們?cè)撊绾螌?shí)現(xiàn)合理監(jiān)控目的呢?就筆者個(gè)人經(jīng)驗(yàn)來(lái)說(shuō)可以通過(guò)HUB來(lái)完成，雖然在實(shí)際網(wǎng)絡(luò)應(yīng)用過(guò)程中HUB容易造成廣播數(shù)據(jù)包泛濫以及數(shù)據(jù)包重復(fù)轉(zhuǎn)發(fā)，不過(guò)這個(gè)缺點(diǎn)恰恰可以幫助我們應(yīng)用到無(wú)線(xiàn)入侵蜜罐系統(tǒng)的搭建中，通過(guò)在無(wú)線(xiàn)設(shè)備出口連接一臺(tái)HUB設(shè)備，然后HUB一個(gè)接口連接上層設(shè)備或外網(wǎng)，另一個(gè)接口直接連接安裝了sniffer軟件的監(jiān)控主機(jī)，這樣當(dāng)入侵者連接到無(wú)線(xiàn)設(shè)備后必然會(huì)有相關(guān)數(shù)據(jù)包轉(zhuǎn)發(fā)到HUB上，由于HUB會(huì)復(fù)制相當(dāng)數(shù)據(jù)到各個(gè)端口，所以在另一個(gè)接口直接連接安裝了sniffer軟件的監(jiān)控主機(jī)上就能夠查看到相應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)，這些數(shù)據(jù)都是入侵者產(chǎn)生的，從而實(shí)現(xiàn)了對(duì)入侵者進(jìn)行合理監(jiān)控的目的。

三.實(shí)戰(zhàn)搭建無(wú)線(xiàn)入侵蜜罐系統(tǒng)

下面我們就來(lái)通過(guò)實(shí)戰(zhàn)搭建無(wú)線(xiàn)入侵蜜罐系統(tǒng)，筆者需要的設(shè)備是一臺(tái)筆記本，一個(gè)HUB以及一個(gè)無(wú)線(xiàn)設(shè)備(可以是無(wú)線(xiàn)路由器)。

小提示：

在實(shí)際使用過(guò)程中我們要確保能夠找到HUB而不是二層交換機(jī)，因?yàn)橹挥蠬UB這個(gè)工作于一層的設(shè)備才能夠幫助我們監(jiān)控?cái)?shù)據(jù)，如果是交換機(jī)的話(huà)在一個(gè)接口接收到數(shù)據(jù)后并不會(huì)重復(fù)復(fù)制到其他接口，我們自然無(wú)法順利監(jiān)控到數(shù)據(jù)信息。

第一步：首先進(jìn)入無(wú)線(xiàn)路由器開(kāi)啟SSID廣播以及無(wú)線(xiàn)網(wǎng)絡(luò)，當(dāng)然必要時(shí)可以結(jié)合WEP加密等方式，為了更好的實(shí)現(xiàn)蜜罐性能筆者沒(méi)有針對(duì)該無(wú)線(xiàn)網(wǎng)絡(luò)進(jìn)行任何加密，任何入侵者都可以連接此無(wú)線(xiàn)網(wǎng)絡(luò)。

第二步：接下來(lái)等待一段時(shí)間后我們進(jìn)入到無(wú)線(xiàn)路由器LAN狀態(tài)處，查看active clients活動(dòng)主機(jī)，在這里顯示的是當(dāng)前已經(jīng)連接到無(wú)線(xiàn)路由器的主機(jī)。我們對(duì)比本地網(wǎng)絡(luò)各個(gè)主機(jī)IP后可以發(fā)現(xiàn)一個(gè)名為ZZ的IP是192.168.1.105的主機(jī)屬于非法入侵，他就是我們捕獲到的入侵者，蜜罐系統(tǒng)吸引對(duì)方成功。

第三步：點(diǎn)擊active clients下的非法入侵者M(jìn)AC地址我們可以了解其硬件基本信息，該入侵者使用的無(wú)線(xiàn)網(wǎng)卡是linksys公司的。

第四步：連接各個(gè)網(wǎng)絡(luò)設(shè)備，首先是將HUB的一個(gè)接口與出口設(shè)備或上層設(shè)備(筆者的是ADSL貓)連接。

第五步：HUB的另外一個(gè)接口和無(wú)線(xiàn)路由器的WAN接口連接，這樣通過(guò)無(wú)線(xiàn)路由器上網(wǎng)的所有數(shù)據(jù)都將通過(guò)其WAN接口發(fā)向HUB。

第六步：最后我們將安裝了sniffer工具的計(jì)算機(jī)與HUB的另外一個(gè)接口連接，對(duì)其進(jìn)行監(jiān)控。

第七步：確認(rèn)當(dāng)前蜜罐系統(tǒng)下連設(shè)備可以順利上網(wǎng)，我們可以通過(guò)訪(fǎng)問(wèn) www.xxxx.com 確認(rèn)。

第八步：筆者使用的是科來(lái)網(wǎng)絡(luò)公司的網(wǎng)絡(luò)分析系統(tǒng)充當(dāng)sniffer工具，通過(guò)監(jiān)控本地網(wǎng)卡來(lái)監(jiān)聽(tīng)HUB通訊。

第九步：當(dāng)然為了更好的接收數(shù)據(jù)提升監(jiān)控效果我們可以將監(jiān)控主機(jī)的IP地址進(jìn)行調(diào)整，設(shè)置為于入侵者獲取的IP地址段相同，在一個(gè)網(wǎng)段內(nèi)可以更好的接受廣播數(shù)據(jù)包和組播數(shù)據(jù)包，從而提升監(jiān)控效果。

第十步：當(dāng)入侵者以為攻擊無(wú)線(xiàn)網(wǎng)絡(luò)成功并輕松上網(wǎng)或攻擊掃描時(shí)在我們的監(jiān)控段將可以看到其的一舉一動(dòng)，所有數(shù)據(jù)包都在我們的掌控之中。

第十一步：入侵者訪(fǎng)問(wèn)的所有網(wǎng)頁(yè)地址，URL信息我們都可以在監(jiān)控端一絲不差的看到。

第十二步：即使該入侵者登錄MSN或FTP站點(diǎn)甚至論壇我們都可以輕松查看到帳戶(hù)信息以及聊天記錄內(nèi)容。

通過(guò)搭建無(wú)線(xiàn)入侵蜜罐系統(tǒng)我們可以在最短時(shí)間了解到當(dāng)前網(wǎng)絡(luò)周?chē)嬖诘娜肭终撸缓罂梢酝ㄟ^(guò)反偵察的方法找出其所在，即使無(wú)法發(fā)現(xiàn)他的蹤影也可以通過(guò)BAN MAC地址，IP地址等方法最大限度的阻止其帶來(lái)的損害。希望通過(guò)本文可以讓更多的家庭網(wǎng)絡(luò)用戶(hù)以及企業(yè)網(wǎng)絡(luò)管理員打造更加安全更加穩(wěn)定的無(wú)線(xiàn)網(wǎng)絡(luò)。

【編輯推薦】

1. 黑客的天敵:HONEYPOT(蜜罐)引誘技術(shù)
2. 解析蜜罐技術(shù)要點(diǎn)及其潛在問(wèn)題
3. 安全技術(shù)講解：配置IIS蜜罐抵御黑客攻擊
4. 在企業(yè)環(huán)境中使用蜜罐技術(shù)會(huì)有哪些風(fēng)險(xiǎn)？
5. 蜜罐服務(wù)器成黑客DoS元兇 安全公司很受傷