今天在公司打开浏览器搜索,突然报出360免费wifi的页面,提示我可能DNS被劫持。顿时觉得不妙,一向远离数字公司的产品,今天突然蹦出这个,事出蹊跷。于是ping了一下163.com,发现都超时,查看IP地址:192.168.253.12,网关/DNS都是192.168.253.1。
手机上开了wifi扫描仪看了一下,有两个热点,拥有相同的SSID,也拥有相同的WPA2密码,而我连接的正是同名的李鬼热点。随后排查了,是附近有人开启了个人WiFi热点。
试想,如果有不轨的人,知道SSID和密码,伪造一个同名热点,并分析所有非加密流量,则可进行很多攻击和信息获取,比进入同一个热点开混杂监听sniffer要容易多了。
那现在问题来了:win平台下连接无线网络只验证SSID和密码,是否能够验证MAC再连接呢?
1
JConlee 2015-04-23 15:40:21 +08:00
验证MAC也没用吧,伪造一个就是了。
你可能需要的是双向认证。 |
3
coosir 2015-04-23 15:59:51 +08:00
这是有同事为了方便自己的移动设备上网吧 - -
目前好像没有号的方案,要不你全局走代理吧啊哈哈 |
4
soundofu OP @coosir 应该是的,通知之后都让关闭和清理了。
内网只能确定SVN是走https的...个人手机和平板都是全局VPN... |
5
squid157 2015-04-23 16:08:43 +08:00 via iPhone
EAP
|
6
a591826944 2015-04-23 16:08:56 +08:00
去公共场所,比如商场餐厅,咖啡厅。。哼哼。。。
|
8
mind3x 2015-04-23 16:23:30 +08:00
所以公司用的都应该双向认证
|
10
LazyZhu 2015-04-23 17:11:51 +08:00 via iPhone
买个便携路由中继,
|
11
laoyuan 2015-04-23 17:13:37 +08:00
随身携带一个CMCC 热点,你懂的
|
12
shakoon 2015-04-23 17:44:26 +08:00
这种钓鱼很几年前就听说在肯德基、星巴克等地方有人干过了。
所以我从来不用任何公共场所的wifi,就是觉得有不安全隐患,当然自己本身的流量也足够我平常使用了的。 |
13
Laforet 2015-05-08 04:08:10 +08:00
有条件的情况下确实可以淘汰固定密码了,PKI模式下所有终端共用一个Session Key, 同一个广播域内的数据相互是透明的,不用设一个假热点都可以嗅探。
|
14
Laforet 2015-05-10 06:18:57 +08:00
上面一个回复中存在笔误,PKI模式应为TKIP模式,特此更正。
|