隨著無線網絡技術的普及發展,基于IEEE 802.11標準的無線局域網(WLAN)應用日趨廣泛。然而由于無線信號的空中廣播本質以及協議設計的缺陷,WLAN的安全性受到了極大威脅[1]。現有的安全策略，如MAC地址過濾、關閉SSID廣播、IEEE802.11i的安全防護問題日益突出。而作為彌補手段之一的無線802.11蜜罐近年來越來越多地受到關注。
    無線802.11蜜罐[2]是等待攻擊者或惡意用戶訪問的無線資源，它通過搭建具有無線服務資源平臺的蜜罐,誘使攻擊者入侵,將攻擊者拖延在該蜜罐上,使得攻擊者花費大量精力對付偽造的目標,達到消耗攻擊者的資源、降低攻擊造成的破壞程度,從而間接保護真實的無線系統,同時記錄攻擊頻率、攻擊手段、攻擊成功的次數、攻擊者的技術水平及最容易被攻擊的目標等真實統計數據。
1 典型的無線802.11蜜罐
    蜜罐蜜網技術已經被廣泛應用于各種網絡環境上，用于監視攻擊者的各種入侵行為,其大量的研究工作也已卓有成效地展開。無線802.11蜜罐作為蜜罐技術的一種,由于多應用于WALN,使得近年來研究工作也,愈來愈受到關注[3]。
1.1 WISE
    WISE(Wireless Information Secuity Experiment)于2002年在華盛頓完成,項目旨在監視未授權的接入、使用和竊聽,并收集WALN黑客工具和技術的信息。采用802.11b,使用高增益天線增加信號覆蓋范圍，任何進入WISE的企圖都被認為是可疑的。
1.2 簡易無線802.11蜜罐
    參考文獻[2]分別介紹了兩種基于Honeyd和FakeAp的簡易無線802.11蜜罐,通過 Honeyd模擬接入點后的內部網絡,以及模擬TCP/IP協議棧構建偽裝的AP,可同時監視攻擊者的探測攻擊行為。基于FakeAP實現的無線802.11蜜罐中,通過FakeAP發送大量的802.11b信標數據幀,進而偽裝成大量的AP來迷惑攻擊者。
    Mark Osborne通過搭建接入點以及利用筆記本上的無線網卡監視無線流量,建立了一個簡易的無線802.11蜜罐系統，同時開發了一套如圖1所示的無線入侵檢測系統(WIDZ)。

1.3 縱深欺騙型無線802.11蜜罐
    參考文獻[4]提出了一種三層環系的縱深欺騙無線802.11蜜罐。最核心層為最深的欺騙,由內向外欺騙強度逐漸減弱。外層采用FakeAP模擬一個或多個參數可調的接入點;中層使用Honeyed偽造一個包括網絡服務器,客戶工作站;無線服務的有線網絡,同時整合了Snort IDS;內層為蜜罐集邏輯結構,蜜罐被設計為一臺Linux Mandrake 9.0機器管理所有欺騙性資源,并提供蜜罐內所有活動的logging功能。從內到外形成金字塔結構,同時內層對緩沖區溢出,中層對Nmap OS掃描和Nessus弱點掃描,外層對Kismet和Netstumbler嗅探均可作出欺騙性響應，三層環系以及金字塔結構如圖2所示。

1.4 Hive
    Hive基于Linux Live CD環境, 提供了搭建獨立無線蜜罐的工具包括FakeAp、Honeyed等。
1.5 HoneySpot
    HoneySpot[5]旨在建立一個提供Wi-Fi接入服務的場所,同時該場所的價值在于被探測、攻擊和入侵。HoneySpot分為公共和私有兩種,公共HoneySpot提供接入開放WLAN；私有HoneySpot則分為基于WEP、WPA、WPA2的三種無線網絡。同時HoneySpot具有五個模塊：無線接入點(WAP)模塊提供無線網絡基礎架構;無線客戶端(WC)模塊模擬連接到HoneySpot的合法終端用戶;無線監視(WMON)模塊收集整個HoneySpot內網絡流量的設備;無線數據分析(WDA)模塊分析WMON模塊收集的所有網絡數據;有線基礎設施(WI)模塊(可選)為HoneySpot模擬真實的有線網絡環境。HoneySpot的詳細結構如圖3所示。

1.6 典型的無線802.11蜜罐的比較與評估
    無線802.11蜜罐比較的指標主要包括:安全級別是公有還是私有;是否支持802.11a/b/g;欺騙手段是否支持偽造AP信標幀、偽造有線網絡結構、偽造緩沖區溢出;AP是真實還是偽造;AP的數量;是否支持802.1X/EAP;是否支持MAC地址過濾、日志、嗅探;是否開源等。參考文獻[3]根據這些指標對大部分典型的無線802.11蜜罐進行了詳細的比較,并得出評估結論,即HoneySpot在眾多蜜罐中最為有效。
2 無線802.11蜜罐的應用
    隨著無線802.11蜜罐研究的深入,應用領域和研究范圍從開始的部署和架構研究轉向入侵檢測系統(IDS)和入侵防御系統(IPS),應用范圍也不僅是WLAN，已擴展到基于IEEE802.11的其他無線網絡如Adhoc網絡、無線Mesh網絡等。
2.1 入侵檢測
    入侵檢測是通過收集計算機網絡或計算機系統中的若干關鍵點的信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。現有的無線802.11蜜罐應用于入侵檢測的兩種方式：(1)與現有的IDS軟件聯動(如Snort、WIDZ)。此時的無線802.11蜜罐其實充當的是IDS的信息收集器,如縱深欺騙型蜜罐、WHIP[6]、HoneySpot。(2)利用無線802.11蜜罐檢測特定的攻擊。如參考文獻[7]提出的一種用于檢測黑洞攻擊的無線Mesh網絡蜜罐,該蜜罐通過發送偽造的RREQ報文，引誘黑洞攻擊節點發送聲稱自己具有最佳路由的偽造RREP,蜜罐可記錄下這些信息從而檢測到黑洞節點。
2.2 入侵防御
    入侵防御是在入侵檢測的基礎上,具備阻止/阻塞檢測到的攻擊的能力。參考文獻[8]提出了一種基于規劃識別和蜜罐的無線入侵防御系統，可識別攻擊者的攻擊規劃并作出預先決策，通過管理控制臺發送警告信息或斷開網絡,該系統的結構如圖4所示。

3 無線802.11蜜罐的主要挑戰和發展方向
3.1 拒絕服務攻擊防御
　    目前應用蜜罐防御拒絕服務的研究均在有線網絡環境下進行，目的是引入蜜罐使得真實主機受到攻擊的概率和強度降低,同時將攻擊定向在蜜網內，以減少危害。研究包括將固定配置的蜜罐改進為可漫游的蜜罐,即服務器池中的機器可以動態地在服務態和蜜罐態之間切換;研究利用蜜罐回溯到拒絕服務攻擊的源,并使其停止。然而這需要網絡硬件設備的支持(如路由器的支持)。而如何在上述研究基礎上,利用無線蜜罐抵御無線網絡的拒絕服務攻擊還有待研究。
3.2 偽裝技術
    采用真實的計算機系統構建蜜罐系統,其交互程度高,但部署和管理困難;采用虛擬仿真技術,其部署容易,風險較低,但是交互程度低,較容易識別。雖然檢測和攻擊蜜罐的技術也在發展,但如何通過增強系統偽裝智能性,感知和學習實時的無線網絡環境,自動地進行系統配置,并確保無線802.11蜜罐的高度真實性和迷惑性,仍有待進一步研究。
3.3 無線802.11邪惡蜜罐
    大多數蜜罐都是正義的,檢測到入侵后往往采用被動的防護措施,并不會主動還擊。然而邪惡蜜罐的提出顛覆了這一特點，蜜罐在遭到入侵后可以還擊,如還擊掃描、木馬、蠕蟲，甚至給攻擊者設置文件陷阱等。顯然今后專門用來反擊無線802.11攻擊的無線802.11邪惡蜜罐也將成為研究熱點。
3.4 WLAN風險評估問題
    已有一些研究通過在有線網絡中部署蜜罐蜜網，從而對網絡進行風險評估。而WLAN作為一種應用越來越廣泛的網絡，其安全性也至關重要,因此如何通過部署無線802.11蜜罐對WLAN進行風險評估也有待研究。
3.5 法律問題
    蜜罐技術涉及的法律問題主要有:可能侵犯黑客的隱私權；誘捕行為的程度及合法性；蜜罐被利用攻擊他人的責任。隨著邪惡蜜罐的提出,法律問題更加不可回避。
    目前,無線802.11蜜罐的研究還不能令人滿意,應該借鑒一些成熟的理論、方法和技術,如機器學習、人工智能及數據挖掘等,從而更快地推動無線802.11蜜罐的技術進步, 更大地發揮無線802.11蜜罐的價值。
    蜜罐和蜜網技術是一種應用欺騙思想的主動防御技術,是現有安全機制的有力補充。無線802.11蜜罐作為新興研究領域,必然為無線802.11網絡安全的研究做出巨大貢獻。
參考文獻
[1] BECKM, TEWS E. Practical attacks against WEP and WPA[C]. Proceedings of the 2nd ACM Conference on Wireless Network Security, 2009.
[2] OUDOT L. Wireless honeypot countermeasures. http://www.securityfocus.com/infocus/1761, 2004.
[3] HARABALLY N A G, SAYED N E, MULLA S A, et al. Wireless honeypots: survey and assessment[C]. Proceedings of the 2009 Conference on Information Science,Technology and Applications, ISTA ′09, 2009:45-52.
[4] YEK S. Measuring the effectiveness of deception in a wireless honeypot[R].proceedings of the 1st australian computer, Network & Information Forensics Conference, 2003:1-10.
[5] SILES R. Honey spot: The wireless honeypot, the spanish  honeynet project(SHP)[EB/OL]. http://honeynet.org.es/papers/honeyspot/HoneySpot_20071217.2007.
[6] BEEK J V, NAN T, VISSER R, et al. Wireless honeypot intrusion project[EB/OL]. https://alumni.os3.nl/~wezeman/phh-02-06-2004.pdf. 2004.
[7]  PRATHAPANI A, SANTHANAM L, AGRAWAL D P.  Intelligent honeypot agent for blackhole attack detection in  wireless mesh networks[C]. 2009 IEEE 6th International  Conference on Mobile Adhoc and Sensor Systems, MASS  2009.
[8]  Chen Guanlin, Yao Hui, Wang Zebing. Research of wireless intrusion prevention systems based on plan recognition and honeypot[C]. 2009 International Conference on Wireless Communications and Signal Processing, WCSP 2009.