0x00 簡介

---

隨著城市無線區域網熱點在公共場所大規模的部署，無線區域網安全變得尤為突出和重要，其中偽AP釣魚攻擊是無線網路中嚴重的安全威脅之一。

受到各種客觀因素的限制，很多資料在WiFi網路上傳輸時都是明文的，如一般的網頁、圖片等；甚至還有很多網站或郵件系統在手機使用者進行登陸時，將帳號和密碼也進行了明文傳輸或只是簡單加密傳輸（加密過程可逆）。因此，一旦有手機接入攻擊者架設的偽AP，那麼透過該偽AP傳輸的各種資訊，包括帳號和密碼等，就會被攻擊者所截獲。

本文主要從理論上探討偽AP釣魚攻擊的檢測和阻斷技術。

0x01 無線網路基礎知識

---

基本術語

• AP（Access point的簡稱，即訪問點，接入點）：是一個無線網路中的特殊節點，透過這個節點，無線網路中的其它型別節點可以和無線網路外部以及內部進行通訊。
• Station（工作站）：表示連線到無線網路中的裝置，這些裝置透過AP，可以和內部其它裝置或者無線網路外部通訊。
• Assosiate：連線。如果一個Station想要加入到無線網路中，需要和這個無線網路中的AP關聯（即Assosiate）。
• SSID：表示一個子網的名字，無線路由透過這個名字可以為其它裝置標識這個無線路由的子網。裝置進行掃描的時候，就會將相應SSID掃描到，然後就能夠選擇相應的SSID連線到相應的無線網路（當然不掃描，理論上也可以直接指定自己事先已經知道的ssid進行連線）。SSID可以和其它的重複，這樣掃描的時候會看到兩個同樣SSID的無線網路。
• BSSID：用來標識一個BSS，其格式和MAC地址一樣，是48位的地址格式。一般來說，它就是所處的無線接入點的MAC地址。某種程度來說，它的作用和SSID類似，但是SSID是網路的名字，是給人看的，BSSID是給機器看的，BSSID類似MAC地址。
• BSS（Basic Service Set）：由一組相互通訊的工作站組成，是802.11無線網路的基本元件。主要有兩種型別的IBSS和基礎結構型網路。IBSS又叫ADHOC，組網是臨時的，通訊方式為Station<->Station，這裡不關注這種組網方式；我們關注的基礎結構形網路，其通訊方式是Station<->AP<->Station，也就是所有無線網路中的裝置要想通訊，都得經過AP。在無線網路的基礎網路中，最重要的兩類裝置：AP和Station。

802.11標準簡介

802.11是IEEE在1997年為無線區域網(Wireless LAN)定義的一個無線網路通訊的工業標準。此後這一標準又不斷得到補充和完善，形成802.11x的標準系列。802.11x標準是現在無限區域網的主流標準，也是Wi-Fi的技術基礎。本文只介紹一下平時應用最多的應該是802.11a/b/g三個標準。

協議	釋出(年/月)	Op.標準頻寬	實際速度（標準）	實際速度（最大）	半徑範圍（室內）	半徑範圍（室外）
802.11a	1999	5.15-5.35/5.47-5.725/5.725-5.875 GHz	25 Mbit/s	54 Mbit/s	約30米	約45米
802.11b	1999	2.4-2.5 GHz	6.5 Mbit/s	11 Mbit/s	約30米	約100米
802.11g	2003	2.4-2.5 GHz	25 Mbit/s	54 Mbit/s	約30米	約100米

WLAN拓撲結構

WLAN有以下三種網路拓撲結構:

1. 獨立基本服務集(Independent BSS, IBSS)網路(也叫ad-hoc網路)
2. 基本服務集(Basic Service Set, BSS)網路
3. 擴充套件服務集(Extent Service Set, ESS)網路

1) AD-Hoc網路

無AP，站點間直接通訊。

win7自帶的AD-Hoc組建功能，可以讓我們很方便的在一個小範圍內快速組建"區域網"，聯網打遊戲啥的很方便。

2) BSS網路

又名Infrastructured網(基礎設施網)：有AP(Access Point, 接入點)，無線站點通訊首先要經過AP。對於個人PC來說，使用最多的所謂"無線Wi-Fi"指的就是BSS網路模式

3) ESS網路

其中，ESS中的DS(分散式系統)是一個抽象系統，用來連線不同BSS的通訊通道(透過路由服務)，這樣就可以消除BSS中STA與STA之間直接傳輸距離受到物理裝置的限制。

根據拓撲結構可以得出802.11的兩類服務：

1. 站點服務SS(每個STA都要有的服務)

   1. 認證(Authentication)
   2. 解除認證(Deauthentication)
   3. 加密(Privacy)
   4. MSDU傳遞(MSDU delivery)

2. 分散式系統服務DSS(DS特有服務)

   1. 關聯(Association)
   2. 解除關聯(Deassociation)
   3. 分佈(Distribution)
   4. 整合(Integration)
   5. 重關聯(Ressociation)

幀格式

3.1 幀格式概述

無線中的資料傳播有如下相似的格式：

其中preamble是一個前導標識，用於接收裝置識別802.11，而PLCP域中包含一些物理層的協議引數，顯然Preamble及PLCP是物理層的一些細節。MAC層處理的是幀資料，擷取上圖中MAC頭開始的部分構成MAC幀格式如下所示：

• MAC Header（MAC頭）：Frame Control（幀控制域），Duration/ID（持續時間/標識），Address（地址域），Sequence Control（序列控制域）、QoS Control（服務質量控制）；
• Frame Body（幀體部分）：包含資訊根據幀的型別有所不同，主要封裝的是上層的資料單元，長度為0~2312個位元組，可以推出，802.11幀最大長度為：2346個位元組；
• FCS（校驗域）：包含32位迴圈冗餘碼。

3.2 MAC Header

1）Frame Control（幀控制域）格式如下所示：

• Protocol Version（協議版本）：通常為0；
• Type（型別域）和Subtype（子型別域）：共同指出幀的型別；
• To DS：表明該幀是BSS向DS傳送的幀；
• From DS：表明該幀是DS向BSS傳送的幀；
• More Frag：用於說明長幀被分段的情況，是否還有其它的幀；
• Retry（重傳域）：用於幀的重傳，接收STA利用該域消除重傳幀；
• Pwr Mgt（能量管理域）：為1：STA處於power_save模式，0：處於active模式；
• More Data（更多資料域）：為1：至少還有一個資料幀要傳送給STA ；
• Protected Frame：為1：幀體部分包含被金鑰套處理過的資料；否則：0；
• Order（序號域）：為1：長幀分段傳送採用嚴格編號方式；否則：0。

2）Duration/ID（持續時間/標識）：表明該幀和它的確認幀將會佔用通道多長時間；對於幀控制域子型別為：Power Save-Poll的幀，該域表示了S他的連線身份（AID, Association Indentification）；

3）Address（地址域）：源地址（SA）、目的地址（DA）、傳輸工作站地址（TA）、接收工作站地址（RA），SA與DA必不可少，後兩個只對跨BSS的通訊有用，而目的地址可以為單播地址（Unicast address）、多播地址（Multicast address）、廣播地址（Broadcast address）；

4）Sequence Control（序列控制域）：由代表MSDU（MAC Server Data Unit）或者MMSDU（MAC Management Server Data Unit）的12位序列號（Sequence Number）和表示MSDU和MMSDU的每一個片段的編號的4位片段號組成（Fragment Number）。

3.3 幀型別

針對幀的不同功能，可將802.11中的MAC幀細分為以下3類：

1. 控制幀：控制幀主要用於協助資料幀的傳遞，所有控制幀都使用相同的Frame Control欄位；
2. 管理幀：管理幀負責在工作站和AP之間建立初始的通訊，提供認證和連線服務，包括了連線請求/響應、輪詢請求/響應等；
3. 資料幀：用於在競爭期和非競爭期傳輸資料。

Frame Control（幀控制域）中的Type（型別域）和Subtype（子型別域）共同指出幀的型別，當Type的B3B2位為00時，該幀為管理幀；為01時，該幀為控制幀；為10時，該幀為資料幀。而Subtype進一步判斷幀型別，如管理幀裡頭細分為關聯和認證幀，管理幀的幀格式如下圖所示：

管理幀的主體包含的固定欄位與資訊元素是用來運送資訊的。管理幀主要以下幾種，負責鏈路層的各種維護功能。

1.beacon信標幀

主要用來宣告某個網路的存在。定期（預設100s、可自己設定）傳送的信標可讓station得知網路的存在，從而調整加入該網路所必需的引數。

2.Probe Request 探查請求幀

移動工作站利用Probe Request探查請求幀來掃描區域內目前有哪些802.11網路。

包含2個欄位：

• SSID：可被設定為特定網路的SSID或任何網路的SSID。
• Support rates：移動工作站所支援的速率。

3.ProbeResponse探查響應幀

如果ProbeRequest所探查的網路與之相容，該網路就會以ProbeResponse幀響應。送出最後一個信標幀的工作站必須負責響應所收到的探查資訊。

Probe Request幀中包含了信標幀的所引數，station可根據它調整加入網路所需要的引數。

4.IBSS announcement traffic indication map (ATIM)

IBSS 的通知傳輸只是訊息。

5.Disassociation and Deauthentication

取消關聯、解除驗證幀。

6.AssociationRequest

關聯請求幀。

7.Reassociation Request

重新關聯。

8.Association Response and Reassociation Response

關聯響應、重新關聯響應。

9.Authentication

身份驗證幀

10.Action frame

幀傳送、關聯與身份驗證的狀態。共有三種狀態，後面會詳細介紹。

下面主要介紹下信標幀的格式：

信標幀被定期傳送以便於移動STA能定位和識別BSS，信標幀中的資訊允許移動STA能在任何時候定位BSS，同時信標幀還含有通知處於節能模式的STA取回緩衝的幀的資訊。

如圖所示，一個信標幀包含有以下固定域：時間戳、信標間隔、能力資訊。信標幀中的資訊單元包括：服務集標識號(SSID)、支援的速率、一個或多個PHY引數集、一個可選的無競爭引數集、一個可選的IBSS引數集和一個可選的通訊指示圖。

1. Timestamp (8 byte)：時間戳是64位長的域，它的值是傳送該幀時的S他的同步時鐘。
2. 信標 Interval (2 byte)：信標間隔的長度是16位，其值是以TU(1024μs)為單位的兩次相鄰信標幀之間的間隔時間。
3. Capability info (2 byte)：能力資訊域的長度是16位，標識的是S他的能力。
4. SSID (variable size)
5. Supported Rates (variable size)

0x02 偽AP釣魚攻擊

---

偽AP釣魚攻擊，國外又稱為“雙面惡魔攻擊（evil twin attack）”，是透過仿照正常的AP，搭建一個偽AP，然後透過對合法AP進行拒絕服務攻擊或者提供比合法AP更強的訊號迫使無線客戶端連線到偽AP。因為無線客戶端通常會選擇訊號比較強或者訊雜比（SNR）低的AP進行連線。為了使客戶端連線達到無縫切換的效果，偽AP應該以橋接方式連線到另外一個網路。如果成功進行了攻擊，則會完全控制無線客戶端網路連線，並且可以發起任何進一步的攻擊。

通常來說，發起無線釣魚攻擊的駭客會採取以下步驟：

1、獲取無線網路的金鑰。對於採用WEP或WPA認證的無線網路，駭客可以透過無線破解工具，或者採用社會工程的方法，來竊取目標無線網路的金鑰，對於未加密的無線網路則可以省略這一步驟，使得無線釣魚攻擊更容易得手。

2、偽造目標無線網路。使用者終端在接入一個無線網路之前，系統會自動掃描周圍環境中是否存在曾經連線過的無線網路。當存在這樣的網路時，系統會自動連線該無線網路，並自動完成認證過程；當週圍都是陌生的網路時，需要使用者手工選擇一個無線網路，並輸入該網路的金鑰，完成認證過程。

而駭客在偽造該無線網路時，只需要在目標無線網路附近架設一臺相同或近似SSID的AP，並設定上之前竊取的無線網路金鑰。這臺AP一般會設定成可以橋接的軟AP，因此更加隱蔽，不容易被人發現。

這樣，駭客偽造AP的工作就完成了，由於採用了相同的SSID和網路金鑰，對使用者來說基本上難辨真偽，並且由於偽造AP使用了高增益天線，附近的使用者終端會接收到比較強的無線訊號，因此使用者會發現，在自己終端上的無線網路列表中，這個偽造的AP是排在靠前位置的。這樣，使用者就會很容易上鉤，掉入這個精心構造的陷阱中。

圖 無線釣魚過程

3、干擾合法無線網路。對於那些沒有自動上鉤的移動終端，為了使其主動走進布好的陷阱，駭客會對附近合法的網路發起無線DoS攻擊，使得這些無線網路處於癱瘓狀態。這時，移動終端會發現原有無線網路不可用，重新掃描無線網路，並主動連線附近同一個無線網路中訊號強度最好的AP。由於其他AP都不可用，並且駭客偽造的釣魚AP訊號強度又比較高，移動終端會主動與偽造的AP建立連線，並獲得了IP地址。

至此，無線釣魚的過程就已經完成了，剩下的就是駭客如何處理網中的這些"魚"了。

4、截獲流量或發起進一步攻擊。無線釣魚攻擊完成後，移動終端就與駭客的攻擊系統建立了連線，由於駭客採用了具有橋接功能的軟AP，可以將移動終端的流量轉發至Internet，因此移動終端仍能繼續上網，但此時，所有流量已經被駭客盡收眼底。駭客會捕獲流量並進一步處理，如果使用中間人攻擊工具，甚至可以截獲採用了SSL加密的Gmail郵箱資訊，而那些未加密的資訊更是一覽無餘。

更進一步，由於駭客的攻擊系統與被釣魚的終端建立了連線，駭客可以尋找可利用的系統漏洞，並截獲終端的DNS/URL請求，返回攻擊程式碼，給終端植入木馬，達到最終控制使用者終端的目的。此時，那些儲存在終端上的資料已經是駭客囊中之物。

0x03 偽AP檢測技術

---

對於偽AP釣魚攻擊，採用精準迅速的檢測技術及時地發現並阻斷攻擊是非常必要的。目前的偽AP檢測技術主要包括信標幀時鐘偏差、時序特性、無線嗅探、指紋識別等方式。

透過時鐘偏差檢測

利用時鐘偏差技術快速準確的檢測出未授權的無線AP，主要透過收集AP的信標幀和探頭響應訊息來計算AP的時鐘偏差，這個是根據IEEE802.11協議中的TSF（Time Synchronization Function，定時同步功能）時間戳來計算的。如果AP的時鐘偏差值與特徵庫中儲存的偏差值不一樣，則可認定這個AP為一個無線釣魚AP。

偽AP通常從源信標幀複製timestamp欄位的值，所以它與授權AP幾乎採用同一個時鐘偏差。但是，當進行信標幀重構時，在形成幀並重傳的過程中會產生幾微秒的延遲。這將產生具有不同序列號的重複幀，這樣就可以透過計算兩個相鄰信標幀之間的timestamp間隔差異，即時鐘偏差，與預先設定的閾值進行比較來檢測偽AP。檢測步驟如下圖所示：

首先，從無線網路中的授權接入點獲取訓練資料集。資料集包含從授權的AP（合法AP）中接收的信標幀。對於AP的時鐘偏差的計算，我們使用信標幀的時間戳值。

從信標幀中獲取到時間戳後使用LSF（最小二乘法擬合）演算法計算出AP的時鐘偏差，然後儲存進資料庫作為以供以後使用。

處理完授權AP後。接下來需要對未授權的AP（待檢測AP）進行處理。首先，我們需要建立未授權的AP資料集，該資料集包含信標幀值。同樣使用LSF演算法計算未授權AP的時鐘偏差。

之後，比較合法AP與待檢測AP的時鐘偏差值。根據比較結果可知待檢測的AP是否為偽AP。

基於時序特性

基於時序特性的檢測方法實際上就是透過檢測兩個順序幀的接收時間間隔，即幀間到達時間來進行偽AP識別的。也可以測量認證幀和ACK幀之間的時序，即第一個確認幀被髮送和相應的認證響應幀被髮送之間的時間間隔。這種技術的缺點是在高流量的網路中檢出率比較低。

使用無線嗅探解決方案

一些公司如 Air-Magnet 使用無線嗅探解決方案，將感測器部署在整個網路空間中。為了在分散式代理伺服器結構中檢測偽AP，使用感測器收集物理和資料鏈路層資訊，所收集的資訊中包含通道、SSID、MAC地址、訊號強度和AP控制幀等資訊。非法裝置和安全威脅能夠被追蹤並透過無線鎖定，或者鎖定交換機埠。您也可以在平面圖上看到非法裝置準確的物理位置已確定您所處無線環境內的所有可能存在的安全威脅。

這些部署方案的代價是十分昂貴的，且這種無線方案一般不容易擴充套件，因為它涉及到大量的基礎設施改建和大型網路改建，部署無線嗅探器要充分覆蓋大型網路，例如，在城市建設公共熱點。這種無線嗅探方式在兩種情況下將會失效：第一種，無線釣魚AP禁止向外界傳送信標幀（隱藏SSID），降低訊號強度，或使用非標準的協議和頻率；第二種，攻擊者使用定向天線，使得無線釣魚AP覆蓋範圍很小，從而很難被發現。

採用TCP/IP指紋識別方法

這種方法運用請求-響應主動探測技術，可以透過網路探測和像nmap之類的安全審計工具實現。這種方法傳送一個請求幀，並等待響應以確定裝置如何對碎片幀做出回應或者如何處理幀。這種技術也有缺點：它使用了可以被大多數攻擊者繞過的主動探測技術。此外，該技術可以被正常的WLAN流量所干擾。

基於裝置指紋識別技術

論文《A Passive Fingerprint Technique to Detect Fake Access Points》中提出了一種使用PLL（the physical layer header length）作為指紋引數進行偽AP檢測，文章指出這種方法在非高流量環境下可以在100ms內準確地識別到偽AP。

該檢測流程首先捕獲AP無線通訊資料包，然後過濾出信標幀，從中提取出MAC、SSID，PLL存入到buffer中。

接下來需要設定一個閥值（TSV），然後比較每一個信標幀的PLL與TSV，如果PLL<TSV，則表明該AP是偽AP。

論文中透過訓練大量合法AP與偽AP的樣本資料得到TSV的計算公式為：

即取偽AP的最大PLL值與合法AP的最小PLL之和的平均值。

0x04 偽AP阻斷技術

---

在檢測到偽AP後，需要採用有效而精準的方式阻斷客戶端連線偽AP。我們可以採用dos攻擊方式，使客戶端無法連線到偽AP，從而達到阻斷偽AP連線的目的。針對無線AP的dos攻擊主要有以下幾種：

• 認證洪水攻擊（Authentication Flood Attack）
• 去認證洪水攻擊（Deauthentication Flood Attack）
• 關聯洪水攻擊（Association Flood Attack）
• 去關聯洪水攻擊（Disassociation Flood Attack）
• RF Jamming攻擊

為了瞭解這幾種攻擊的原理，我們必須先了解IEEE802.11無線認證狀態。

無線認證狀態

IEEE 802.11將AP和STA在建立連線階段的狀態分為以下三種：

• 狀態1：未認證未聯結；
• 狀態2：已認證未聯結；
• 狀態3：已認證已聯結。

最初，STA和AP都處於狀態1，AP在啟動之後就會廣播信標幀，告知周圍的STA這裡存在一個可用的無線網路，通常AP廣播信標幀的間隔為100毫秒。在連線到AP之前，STA首先要掃描所有無線通道，選擇要連線的AP，然後同選定的AP進行認證。完成認證後，STA和AP將進入狀態2，STA將與AP建立連線，成功二者將進入狀態3。

如果STA想斷開與AP的連線，它將向AP 傳送Disassociation幀。當然STA也可以向AP傳送一個Deauthentication幀徹底地斷開與AP的連線。同樣，當AP想斷開與客戶端的連線時，它將傳送一個Disassociation幀給客戶端。AP也可以透過廣播Disassociation幀來斷開與所有S他的連線。當AP或STA收到一個Disassociation幀時二者的狀態將回退到狀態2，當收到一個Deauthentication幀時二者的狀態將回退到狀態1。DOS攻擊就是基於無線客戶端的這幾種狀態進行攻擊的。

圖 IEEE802.11無線認證狀態轉換圖

認證洪水攻擊

認證洪水攻擊(Authentication Flood Attack)，即身份認證洪水攻擊，通常被簡稱為Auth攻擊，是無線網路拒絕服務攻擊的一種形式。該攻擊目標主要針對那些處於透過驗證、和AP建立關聯的關聯客戶端，攻擊者將向AP傳送大量偽造的身份驗證請求幀(偽造的身份驗證服務和狀態程式碼)，當收到大量偽造的身份驗證請求超過所能承受的能力時，AP將斷開其它無線服務連線。

一般來說，所有無線客戶端的連線請求會被AP記錄在連線表中。當連線數量超過AP所能提供的許可範圍，AP就會拒絕其它客戶端發起的連線請求。

關聯洪水攻擊

關聯洪水攻擊（Association Flood Attack），通常被簡稱為Asso攻擊，是無線網路拒絕服務攻擊的一種形式。它試圖透過利用大量模仿的和偽造的無線客戶端關聯來填充AP的客戶端關聯表，從而達到淹沒AP的目的。在802.11層，共享解密身份驗證有缺陷，很難再用。僅有的其他備選項就是開放身份驗證(空身份驗證)，該身份驗證依賴於較高階別的身份驗證，如802.1x或VPN。

開放身份驗證允許任何客戶端透過身份驗證然後關聯。利用這種漏洞的攻擊者可以透過建立多個到達已連線或已關聯的客戶端來模仿很多客戶端，從而淹沒目標AP的客戶端關聯表，具體情況如下圖所示。客戶端關聯表溢位後，接入點將不再允許更多的連線，並會因此拒絕合法使用者的連線請求。此類攻擊和之前提及的Authentication Flood Attack表現很相似，但是原理卻不同。

去認證洪水攻擊

去認證洪水攻擊(Deauthentication Flood Attack)，全稱去身份認證洪水攻擊或認證阻斷洪水攻擊，通常被簡稱為Deauth攻擊，是無線網路拒絕服務攻擊的一種形式，它旨在透過欺騙從AP到客戶端單播地址的取消身份驗證幀來將客戶端轉為未關聯的/未認證的狀態。對於目前廣泛使用的無線客戶端介面卡工具來說，這種形式的攻擊在打斷客戶端無線服務方面非常有效和快捷。一般來說，在攻擊者傳送另一個取消身份驗證幀之前，客戶端會重新關聯和認證以再次獲取服務。攻擊者反覆欺騙取消身份驗證幀才能使所有客戶端持續拒絕服務。

去身份驗證洪水攻擊具體步驟如下：

攻擊者先透過掃描工具識別出預攻擊目標(無線接入點和所有已連線的無線客戶端)。

透過偽造無線接入點和無線客戶端來將含有Deauthentication幀注入到正常無線網路通訊。

此時，無線客戶端會認為所有資料包均來自無線接入點。

在將指定無線客戶端“踢出”無線網路後，攻擊者可以對其他客戶端進行同樣的攻擊，並可以持續進行以確保這些客戶端無法連線AP。

儘管客戶端會嘗試再次連線AP，但由於攻擊者的持續攻擊，將會很快被斷開。

下圖為去身份驗證洪水攻擊原理圖，可看到攻擊者對整個無線網路傳送了偽造的取消身份驗證報文。

去關聯洪水攻擊

去關聯洪水攻擊（Disassociation Flood Attack）的攻擊方式和Deauthentication Flood Attack表現很相似，但是傳送資料包型別卻有本質的不同。它透過欺騙從AP到客戶端的取消關聯幀來強制客戶端成為圖所示的未關聯／已認證的狀態（狀態2）。一般來說，在攻擊者傳送另一個取消關聯幀之前，客戶端會重新關聯以再次獲取服務。攻擊者反覆欺騙取消關聯幀才能使客戶端持續拒絕服務。

RF Jamming攻擊

RF干擾攻擊（RF Jamming Attack），是透過發出干擾射頻達到破壞正常無線通訊的目的。

由於目前普遍使用的無線網路都工作在2.4GHz頻帶範圍，此頻帶範圍包含802.llb、 802.llg、802.lln、藍芽等，所以針對此頻帶進行干擾將會有效地破壞正常的無線通訊，導致傳輸資料丟失、網路中斷、訊號不穩定等情況出現。

當無線駭客使用射頻干擾攻擊來對公司或者家庭無線網路進行攻擊時，無線路由器或無 線AP將會出現較為明顯的效能下降，而當遇到針對2.4GHz整個頻段的阻塞干擾時，整個無線網路中的AP及無線路由器甚至都將不能正常工作。

目前的無線阻斷技術，用的比較多的是去關聯以及去認證技術。對網路進行實時監聽，當移動使用者接入非法AP中時，捕獲偽AP與終端相互傳送的幀，獲取偽AP以及終端的MAC地址，幀序列號等資訊，然後構造去關聯幀或去認證幀，模擬偽AP或終端傳送資料包。透過持續不斷地傳送資料包，使終端無法與偽AP進行連線，從而達到了阻斷終端接入偽AP的目的，如下圖所示：

0x05 參考資料

---

• http://blog.chinaunix.net/uid-9525959-id-3326047.html
• http://my.oschina.net/u/994235/blog/220586?fromerr=NiPT4Bd2#OSC_h2_6
• http://www.cnblogs.com/LittleHann/p/3700357.html
• http://netsecurity.51cto.com/art/201209/358531.htm
• http://www.woaidiannao.com/html/wlgz/wxwljs/10915.html
• 《無線釣魚接入點攻擊與檢測技術研究綜述》