特に新しい環境で、Evil Twin攻撃をどのように検出しますか？

彼らは両方とも悪だ。暗号化されていないすべてのトラフィックが監視および変更されることを想定せずに、「無料のパブリックWifi」に接続しないでください。最善の解決策は、パブリックネットワークにまったく接続しないことですが、それが選択肢にない場合は、独自のDNSを指定して（ルーターに代わりに選ばせるのではなく）、httpsを使用できる場所ならどこでも使用できます。 、パブリックネットワーク上の機密アカウントにアクセスせず、VPNを検討し、ソフトウェアとファームウェアを最新の状態に保ちます。

質問への直接的な回答として、一部のルーターにはMACアドレスがラベルに印刷されています。ルーターの所有者に確認してもらい、接続してpingを送信し、arpテーブル（arp -a）一致するかどうかを確認します。または、近くに詐欺師がいることをルーターの所有者に知らせ、ネットワーク名を変更してもらうこともできます。

Wifiがダウンしたことをバリスタ/店員などに伝えます。ルーターを再起動できますか。ほとんどの人は幸いにもそうするでしょう、APを一瞬ダウンさせ、プロセスの邪悪なツインルーターをパワーサイクルに耐えるアクティブなネットワークとして公開します。

悪質なツインルーターが複数ある場合でも、これは機能します。

複数の適切なルーターがある場合、これは少なくとも1つを識別します。同じ戦術を使用して他の人を特定できます（まだ機能していません。これが唯一のwifiボックスですか？この技術はすべて混乱しているので、すべての人にそれを実行する必要があるのでしょうか？）または、適切なAPを特定したら、デバイスをそれに接続し、2番目のデバイスを使用して、他のAPに接続し、ネットワーク経由で最初のデバイスを探します。適切なAPが侵害されていない限り、元のデバイスを検出するAPはすべて適切なAPです。しかし、それが危険にさらされている場合は、すべてのAPが不良です。

別の方法としては、ルーターの製造元を確認できる場合は、その管理パネルにログインしてみてください。ログインプロンプトがメーカー/ブランドと一致しない場合は、悪魔の双子を見つけたことになります

ここでの最善の解決策は、疑わしい結果との広範な比較を実行するのではなく、主に正当なAPのプロバイダーに話しかけることです。

邪悪な双子がコピーできないことが1つあります：location。 3台のコンピューターをセットアップし、次に triangulate にします。または、ある種の時間検出器があります。それらの1つがあなたが知っているほど速く応答している場合、それらは光の速度に従って、店内にいる必要があります、それからそれは店舗にいること。これは、遅延により三角測量が困難になる場合に役立ちます。

注：ルーターが他のソースから移動していないことが何らかの理由で判明した場合は、1つのmoving距離検出器を使用できます。これにより、使用する多くのデータポイントが得られ、検出器が正確でない場合に役立ちます。

注：ルーターの信号パワーと検出機能が同じであり、ルーターの方が近いことがわかった場合、実用的な方法の1つは、weakerパケット。

標準的な設定でEvil Twin攻撃を検出するために、実際に持っている唯一の情報とSSID、ワイヤレスアクセスポイントのMACアドレス、およびDHCP IPアドレス、ゲートウェイ、およびDNSサーバーが配布します。それとは別に、本当のAPが2.4GHzにあり、邪悪なAPが5GHzにあるような、オリジナルとは異なる周波数を使用する邪悪な双子を見つけるかもしれません。多くのアクセスポイントはWebインターフェイスを介して構成されます。これは、Linksys APを使用している場合、 http://192.168.1.1/Managment.asp のページにアクセスできる可能性があることを意味しますが、邪悪なAP。

悪魔の双子は、SSIDとMACを複製するだけの方がはるかに簡単であるため、その詳細レベルの構成を複製する必要はないでしょう（SSIDとMACを複製するほうがはるかに簡単です）。

したがって、予想されるDHCP構成のセットアップまたは予想される構成URLがわかっている場合は、接続しているAPが誤っているかどうかを確認できます。

本当に簡単な方法の1つは、ネットワーク管理者であれば、物理ネットワークに接続されたホストを持つことです。そのため、すばやくpingを実行すると、別のネットワークに傍受されているかどうかがわかります。

あなたが公共エリアにいるというユースケースでは、VPNを使用することは良い考えかもしれません。