无线网络MAC欺诈追查方法

　　对于无线网络上的MAC欺诈来说，在确定冒名顶替者的位置时会遇到一个问题，那就是如何从网络角度区分假冒设备与合法设备。同以太网一样，基于802.11系列标准的无线设备，通过MAC地址确定自己在网络上的唯一身份。然而，在多数操作系统中，改变无线接口的MAC地址易如反掌。这样一来，即便MAC欺诈可以被检测到，也很难确定假冒设备的位置。

　　让我们先来看看三角定位法。这种方法首先跟踪某个设备的帧接收信号强度(RSSI)，然后将这些值通过众所周知的无线电传播模型转换为与接收设备的距离值。然而，即使在发射和接收设备没有改变位置时，这些RSSI值仍然可能出现不一致的情况。对于处理单一采样的数据来说，RSSI值就显得有些不可靠。虽然这种缺陷可以利用计算MAC地址RSSI平均值的方法来弥补，但在这样处理之后，假冒设备与合法设备之间的差别就无法辨别了。通过某种类似信号强度仪(它不需要平均信号强度值)的设备倒是可以实现设备位置的确定，但会耗费大量的时间。因此，要想识别无线设备的唯一身份，还需要另找其他方法。

　　Jon Ellch正在研究一种不使用MAC地址的方法，它利用802.11帧中的持续时间域(duration field)来实现设备区分。在这种方法中，持续时间域被802.11设备的虚拟载波侦听系统用来将无线媒介保留一定的时间。例如，一台设备在传送某个数据帧的时候，会将持续时间设置为帧间空间(传送每一帧的间隔时间)加上一定的补偿时间，以保证接收机发送随后的ACK确认帧。这种辨别身份的方法主要依靠每个驱动程序和芯片组的组合，因为每个组合采用的持续时间值在某种程度上来说是唯一的。但是，如果假冒设备与合法设备使用同样的驱动程序和芯片组，那么区分它们仍然非常麻烦。

　　Hall、Barbeau和Kranakis则建议采用另一种方法来确定真正唯一的身份，它跨过设备MAC层，根据物理层的无线电传送特征来辨别设备的指纹。其理论基础是：即使两台设备使用相同的驱动程序和芯片组，其无线电收发器电路也存在制造公差范围内的微小差别。因此，没有两台设备具有同样的指纹。利用这种信息，我们就可以通过指纹而不是MAC地址来跟踪RSSI平均值进而追查假冒设备了。

　　802.11设备指纹实在是令人感兴趣的研究领域，专家们正在进行很多独具开创性的工作，我们也期待着在未来看到更多的改进与突破。