文章总结： 本文推荐NDSS2026论文AirSnitch，揭示Wi-FiClientIsolation机制存在严重缺陷。研究发现攻击者可滥用GTK伪造广播包，利用IP与MAC层校验缺失实施GatewayBouncing攻击，或通过虚拟端口进行PortStealing，从而绕过隔离达成中间人攻击。实测多数家用路由器及校园网均受影响，建议采用VLAN隔离并呼吁完善标准规范。 综合评分： 85 文章分类： 漏洞分析,网络安全,内网渗透,漏洞预警

G.O.S.S.I.P 阅读推荐 2026-03-06 大破全屋组网之AirSnitch攻击

原创

G.O.S.S.I.P G.O.S.S.I.P

安全研究GoSSIP

2026年3月6日 23:42 浙江

最近我们的公众号更新比较不积极，因为各种事情很忙，不过我们还是坚持古法写作，不用AI，因为大家可能都听说了Ars Technica网站的一个专门报道AI相关新闻的记者用AI写作，发了一篇子虚乌有的文章然后被打脸最后离职的新闻（这个新闻怎么感觉也像是AI写的）。那今天趁着周末来给大家推荐下前不久刚刚结束的NDSS 2026上的一篇好文——AirSnitch: Demystifying and Breaking Client Isolation in Wi-Fi Networks

先引用一下原作者钱志云老师的介绍，免得大家说我们的介绍不正宗：

简单来讲，这个工作研究了如何绕过 Wifi client isolation 的机制，导致一个恶意 client (连着guest ssid）可以攻击另一个 victim 用户（连着admin ssid）达成中间人的攻击。在client isolation下，传统的攻击如 arp spoofing 都是无效的。在校园，酒店，企业，甚至是家庭网络里，client isolation 都挺普遍的。

当然，这里又要cue一下Ars Technica，因为关于论文提到的AirSnitch攻击，在该网站上有一篇详细的科普好文：https://arstechnica.com/security/2026/02/new-airsnitch-attack-breaks-wi-fi-encryption-in-homes-offices-and-enterprises/

不过我们显然不信任他们的记者，所以我们也有我们自己的推荐（古法写作），其实关于这篇论文的核心内容，钱志云老师在介绍里面讲得蛮清楚了，不过如果你不熟悉Wi-Fi组网结构，可以先看看下面这幅图：

关于无线组网这事，门路还挺多的，特别是国内很多论坛上大家天天都在讨论怎么给自己的大别墅去弄一个全方位无死角信号满格的Wi-Fi，不过真的讨论到复杂的细节，论坛老哥们都会跟你说“直接买菊花家的企业解决方案比较靠谱”，可见这个里面技术细节还蛮多的，一般人不太容易掌握。论文的第二章Wi-Fi Primer是一个非常好的技术科普，不过读起来还是需要花点时间，里面最重要的知识点包括：

1. 除了AP、SSID、WPA2/3这些大家接触比较多的概念，我们还应该知道有一个Basic Service Set（BSS）的概念：一个BSS包含了一个核心的AP和相关的许多client设备，且这个BSS的设备均使用相同的频段和参数；注意到上图中一个AP支持了多个频段（通常也对应了多个BSS），而每个BSS都有一个独特的BSSID；
2. 在Wi-Fi加密通信过程中，除了WPA2/3标准要求的会话密钥（通过4-way handshake认证过程生成出来一个临时的Pairwise Transient Key，PTK）之外，还有一个用来加密广播（broadcast）和多播（multicast）消息的Group Temporal Key（GTK）；

带着这些预备知识，我们就要看看论文研究的这个client isolation机制是什么东东了。所谓的client isolation机制其实就是无线网络中的网络设备（无线路由器或者AP）对内部的client设备之间互相通信的隔离机制（防止内部设备被攻击后变成特洛伊木马然后到处内网巡游），这里面的隔离机制包括两种：一种是基于密码学的隔离机制，即给不同client分配不同的会话密钥，使得一个client就算能监听到空中的数据包（不是给它自己的），也没法解密；另一种是由网络设备执行的访问控制，即路由器网关或AP在MAC层和IP层上直接进行丢包处理，这里又可以分为同一个BSS之内的隔离（Intra-BSSID isolation）和BSS之间的隔离（Inter-BSSID isolation），注意那种通过把不同的client隔离到不同的SSID的做法不在我们的讨论范围之内。

这篇论文的出彩之处在于它发现了网络设备在实施client isolation过程中的诸多疏忽之处。首先，由于GTK是同一个BSS内部共享的，因此攻击者完全可以滥用这个GTK来伪造加密的广播和多播包，实施注入攻击，当然这里要提一下，在使用passphrase的WPA2家用网络环境下甚至都不需要靠GTK完成攻击，攻击者只需要监听其他设备入网的过程（借助自己掌握的passphrase知识）就可以解密其他client的会话密钥，而对于WPA3来说要复杂一些，需要弄一个恶意的AP去欺骗用户（不太现实）。总之，利用GTK实施注入攻击，破坏了基于密码学的client isolation机制。

其次，论文发现了在client isolation中的一个大问题：对于IP层和MAC层的数据包缺乏完整性校验这个历史黑锅，client isolation也没有严格的检查，这就会让攻击者可以利用一系列恶意构造的数据包实施isolation绕过。下图展示的这个被称为gateway bouncing的攻击就是构造了一个特定的数据包，它在IP层上的source和destination是不允许通信的，但是攻击者很坏地把MAC层上的destination改成了网关的值，也就是说在MAC层传输的时候，这个包会被丢给gateway，而gateway又回去检查IP层的信息，然后就傻乎乎地转发给了特定的目标（隔离绕过达成！）

除了利用IP层和MAC层的不一致构造攻击，作者还在交换层上实施了另一种攻击：这种攻击关注了AP在工作上的一个特定设计——把每个BSSID绑定到了一个虚拟的hardware port（注意这里并不是TCP/IP层的那个端口，应该理解为特定的网口），这个port和有线以太网的网口是等价的，而过去就已经针对有线网的port stealing攻击（参见Blackhat Europe 2003的古老文章Man in the middle attacks），那么本文作者也把这种攻击搬到了Wi-Fi网络上来：

关于如何构造具体的攻击包来实施port stealing，这部分内容我们就偷懒了（偷懒才显得我们是在古法写作），以及后面在企业级的WPA网络上，如何利用前面的技术来实现中间人攻击，这些核心的内容大家如果感兴趣一定要去读原文，不要看总结！不要看总结！

最后呢作者也去测试了各家路由器（主要是一些家用路由器，有一些还刷了OpenWRT和DD-WRT），测试下来发现基本上都没有做好client isolation：

作者还测试了校园网（为了测试企业级的WPA配置），问题也一样存在，不过在讨论相关防护措施的时候，作者也提到只要进行了VLAN划分隔离，那么很大程度上就阻止了攻击，但是一般的家用路由器似乎也不太支持VLAN隔离对不对？最后作者也建议，Wi-Fi相关的标准制定组织要好好来规范一下client isolation的实施细节才行了！

本文还提供了相关测试代码，大家可以使用一下，钱老师表示也欢迎大家包括测试结果给他们：

代码：https://github.com/seclab-ucr/airsnitch

论文：https://www.cs.ucr.edu/~zhiyunq/pub/ndss26_airsnitch.pdf

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全研究GoSSIP G.O.S.S.I.P G.O.S.S.I.P《G.O.S.S.I.P 阅读推荐 2026-03-06 大破全屋组网之AirSnitch攻击》