广域网络攻击检测与WiFi安全威胁分析
1. 广域网络(WAN)攻击检测方法
在广域网络攻击场景中,主要针对中间人威胁模型。在这种模型下,攻击者能够轻易发起TCP/DNS劫持攻击,在用户不知情的情况下重定向或操纵流量。即使数据包的目的IP地址不可达,也很可能触发劫持行为,因为伪造欺骗性响应比检查数据包目的IP地址的实际可达性要容易得多。
1.1 跨层诱饵检测方案
采用跨层诱饵检测方法,具体流程如下:
1.传输层检测:发送带有不可达目的IP地址的诱饵IP数据包,根据响应率确定可能存在TCP/DNS劫持的可疑接入点(AP)。
2.应用层检测:对可疑AP进行应用层检测,以排除可能的误报。
传输层检测可快速过滤良性情况,减少应用层审查带来的较高网络开销。其检测流程如下:
graph LR A[用户点击“安全检查”按钮] --> B[发送ST个TCP诱饵] A --> C[发送SD个DNS诱饵] B --> D{是否有RT个TCP响应?} C --> E{是否有RD个DNS响应?} D -- 否 --> F[良性] E -- 否 --> F D -- 是 --> G[TCP劫持] E -- 是 --> H[DNS劫持] G --> I[检查网页] H --> I F --> J[传输层检测结束] I --> K[应用
