摘要：最近的KRACK漏洞瞄准了你的设备和wifi接入点之间的链路，很可能是你家里、办公室或你最喜欢的咖啡馆的路由器，这些技巧可以帮助提高你的链路的安全性。

KRACK攻击漏洞现在已经超过48小时，并在一些与技术相关的网站上详细讨论过，所以我不会在这里重复攻击的技术细节。汇总下:

WPA2无线握手协议的缺陷允许攻击者嗅探或操纵设备与WiFi接入点之间的流量。

这对Linux和Android设备尤其不利，因为在WPA2标准中措辞模棱两可，或者在执行过程中产生了误解。实际上，在底层操作系统被修补之前，漏洞允许攻击者强迫所有的无线通信在没有加密的情况下通讯。

这个漏洞可以在客户端修补，所以天没有塌下来，WPA2无线加密标准在WEP标准的同一意义上并没有被废弃（不要通过切换到WEP来“修复”这个问题）。

最受欢迎的Linux发行版已经发送更新，以修复客户端上的此漏洞，所以请你尽快的更新。

Android很快就会为这个漏洞提供补丁。如果你的设备正在接收Android安全补丁，你将很快收到修复。如果你的设备不再接收这样的更新，那么这个特殊的漏洞仅仅是你应该停止使用旧的、不受支持的Android设备的另一个原因。

WPA2无线握手协议的缺陷允许攻击者嗅探或操纵设备与WiFi接入点之间的流量。

这对Linux和Android设备尤其不利，因为在WPA2标准中措辞模棱两可，或者在执行过程中产生了误解。实际上，在底层操作系统被修补之前，漏洞允许攻击者强迫所有的无线通信在没有加密的情况下通讯。

这个漏洞可以在客户端修补，所以天没有塌下来，WPA2无线加密标准在WEP标准的同一意义上并没有被废弃（不要通过切换到WEP来“修复”这个问题）。

最受欢迎的Linux发行版已经发送更新，以修复客户端上的此漏洞，所以请你尽快的更新。

Android很快就会为这个漏洞提供补丁。如果你的设备正在接收Android安全补丁，你将很快收到修复。如果你的设备不再接收这样的更新，那么这个特殊的漏洞仅仅是你应该停止使用旧的、不受支持的Android设备的另一个原因。

展开全文

也就是说，从我的角度来看，Wi-Fi只是不信任基础设施链中的另一个环节，我们应该完全避免将其视为信任的通信渠道。

Wi-Fi是不可信任的基础设施

如果你从你的笔记本电脑或移动设备上阅读这篇文章，那么你的通讯过程大概是这样的:

KRACK攻击的目标是你的设备和wifi接入点之间的链路，目标可能是你家里的路由器，你的办公室，你的社区图书馆，或者你最喜欢的咖啡馆。

实际上，这个图应该是这样的:

wifi仅仅是我们不应该信任的一个长链沟通的第一个环节。如果我猜的话，你使用的wifi路由器可能没有收到安全更新。更糟糕的是，它可能是默认或易于猜测的密码，从未改变过。除非你自己设置并配置了路由器，你还记得上次更新固件的时候，你应该假设它现在由别人控制，不能信任。

通过wifi路由器，我们进入了通常不信任基础设施的区域——这一般取决于你的偏执程度。在这里，我们有上游的isp和供应商，他们中的许多人都会监控、改变、分析和销售我们的个人流量，试图从我们的浏览习惯中赚取更多的钱。他们自己的安全补丁通常会留下很多东西，最终会让我们的流量暴露在恶意的眼睛里。

HTTPS协议

值得庆幸的是，我们有一个解决安全通信问题的方法，我们每天都使用它——HTTPS协议加密我们的互联网通信点对点，并确保我们能够相信我们与之交流的网站是他们所说的。

Linux基金会的举措如“让我们加密”使全球网站所有者能够轻松提供端到端的加密技术，从而确保我们个人设备和我们试图访问的网站之间的任何受损设备都不重要。

嗯…几乎无关紧要。

DNS仍然是一个问题

即使我们全心全意地使用HTTPS创建可信赖的通信渠道，攻击者仍然有机会访问我们的WiFi路由器或可以改变Wi-Fi用户的流量，就像KRACK一样，可以欺骗我们与错误的网站沟通。 他们可以通过利用我们仍然非常依赖DNS的事实来做到这一点，这是从20世纪80年代起的一个未加密的，容易被欺骗的协议。

DNS是一种将“linux.com”等人友好的域名转换为IP地址的系统，计算机可以用来相互通信。要将域名翻译成IP地址，计算机将查询解析软件——通常是在wifi路由器上运行，或者是在系统本身上运行。然后，解析器将查询一个分布式的“root”域名服务器，以确定在Internet上的哪个系统具有所谓的“权威”信息，即IP地址对应于“linux.com”域名。

问题是，所有这些通信都发生在未经身份验证的、容易欺骗的、明文的协议上，而攻击者可以很容易地改变响应，使查询返回不正确的数据。如果有人设法欺骗了DNS查询并返回错误的IP地址，他们就可以操纵我们的系统最终发送HTTP请求的地方。

幸运的是，HTTPS有很多内置的保护功能，以确保用户不容易伪装成另一个站点。恶意服务器上的TLS证书必须与您所请求的DNS名称相匹配，并由您的浏览器识别的声誉良好的证书颁发机构颁发。如果不是这样，浏览器将显示一个很大的警告，即您试图与之通信的主机并不是他们说的对象。如果你看到这样的警告，在选择推翻它之前，请小心谨慎，因为你可能会把你的秘密泄露给那些会用它们来对付你的人。

如果攻击者完全控制了路由器，那么他们可以通过拦截服务器上的响应来阻止您的连接，从而避免使用HTTPS。服务器指示您的浏览器建立一个安全连接(这称为“SSL脱衣攻击”)。为了保护你免受攻击，网站可能会添加一个特殊的响应头，告诉你的浏览器在未来与他们通信时总是使用HTTPS，但这只在你第一次访问之后才有效。对于一些非常受欢迎的站点，浏览器现在包括了一个硬编码的域名列表，即使在第一次访问时，它也应该始终通过HTTPS访问。

DNS欺骗的解决方案被称为DNSSEC，但由于重要的障碍——真实的和被感知的，它的采用非常缓慢。在普遍使用DNSSEC之前，我们必须假定我们接收的DNS信息不能完全信任。

使用VPN解决最后一里的安全问题

因此，如果你不能信任wifi，或者地下室里的无线路由器（可能比你的大多数宠物都要老），那么如何才能确保“最后一里”通信的完整性呢？这是在你的设备和互联网之间发生的事情吗?

一个可接受的解决方案是使用信誉良好的VPN提供商，在系统和基础设施之间建立安全的通信链路。这里的希望是，他们比你的路由器供应商和你的即时互联网供应商更关注安全，所以他们处于更好的位置，以确保你的流量不会受到恶意的攻击或欺骗。在所有的工作站和移动设备上使用VPN确保像KRACK攻击或不安全路由器这样的漏洞不会影响您与外部世界通信的完整性。

这里需要注意的一点是，当选择一个VPN提供商时，你必须合理地保证他们的可信度;否则，您只是将一组恶意的参与者换为另一组。远离任何提供“免费VPN”的东西，因为他们可能是通过监视你和将你的流量卖给营销公司来赚钱的。

https://www.vpnmentor.com/bestvpns/overall/网站是一个很好的资源，可以让你比较不同的VPN供应商，看看他们是如何互相堆栈的。

并不是所有的设备都需要安装VPN，但你每天使用的都是你的私人信息，尤其是那些有你的钱和你的身份(政府、银行网站、社交网络等等)的东西。VPN并不是对付所有网络级漏洞的万能药，但当你在机场使用无担保的wifi时，它肯定会保护你，或者下次发现类似kracka的漏洞时。

https://www.linux.com/blog/2017/10/tips-secure-your-network-wake-krack

欢迎加入翻译小组，一起交流技术，已经有二十几名业界大牛在云技术社区翻译组等你，云技术社区翻译组申请