第四十课认识和测试钓鱼WiFi的危害

1什么是钓鱼WiFi

　　所谓的钓鱼Wifi就是一个假的无线热点，当你的手机、平板电脑连接上去时，会被对方反扫描，如果这时你的手机正好连在一些网站上进行了数据通信，且涉及到了用户名密码等数据，对方就会获得你信息。

　　2钓鱼WiFi实现原理

　　由于WiFi的协议设计较早，就如当年的ARP一样，更多地考虑通信的便捷性，而忽略了较强的安全性（并且通常便捷与安全是一对矛盾体），任何无线设备（如无线路由器、无线AP）都可以随意更改、克隆、伪装无线信息名称SSID，而SSID是用户终端连接无线的唯一识别参数，不做任何校验。

　　利用此原理，钓鱼WiFi的主要攻击手段分为两种：

　　1.伪造SSID

　　首先攻击者会搭建一个网络环境，然后通过无线设备发射出与公共WiFi相同或相似的

　　SSID，用户一不留神就会连接至攻击者的WiFi中去，从而掉入攻击者的陷阱。更有甚者，

　　攻击者会使用一些攻击手段（比如DDoS)把正牌的公共WiFi攻击至不能使用，然后堂而皇之

　　的冒用CMCC来进行攻击。

　　2.同网攻击

　　攻击者同样连接到公众WiFi，比如CMCC，然后利用一些工具，抓取连接到CMCC的正常用户的上网数据包，通过分析明文数据包得到用户的**数据

　　3测试钓鱼WiFi的危害

　　1打开kali系统然后打开命令

　　输入命令wifi-pumpkin回车如图

2发射钓鱼AP

　　点击界面中的设置，设置钓鱼AP和密码，点击start即可开始如图

3给我们靶场机连接上钓鱼WiFi如图

4点击images-cap选项卡即可看到对方访问网站的图片如图

密码获取

　　点击activity-mouitor选项卡即可看到对方访问网站的密码如图

到此为止我们就说完了