Wi-Fi爆出史上最大漏洞：AirSnitch攻击可成中间人截取「所有明码信息」、DNS投毒

安全研究人员揭露一种名为「AirSnitch」的新型 Wi-Fi 攻击技术，可在不破解现有 WPA2/WPA3 加密的情况下，通过操控网络底层绕过用户隔离机制，对目标设备发动完全双向的中间人攻击（MitM）。
（前情提要：朝鲜黑客军团拉撒路 Lazarus 的背后故事：如何用键盘犯下 Web3 最大抢案）
（背景补充：AI 助攻犯罪！黑客靠 Anthropic Claude 轻松入侵墨西哥政府，偷走 150GB 敏感资料）

本文目录

Toggle

• 不是破解，是「绕过」
• 哪些设备受影响？几乎全灭
• 就算有 HTTPS，也不能高枕无忧

美国加州大学河滨分校（UC Riverside）与比利时鲁汶大学（KU Leuven）DistriNet 研究团队，于 2026 年 2 月 25 日在圣地亚哥举办的 NDSS Symposium 2026 上，正式发表研究论文《AirSnitch: Demystifying and Breaking Client Isolation in Wi-Fi Networks》，揭露一种影响广泛的新型 Wi-Fi 攻击手法。

这项攻击命名为「AirSnitch」，其关键之处在于它不是破解 Wi-Fi 加密，而是从更底层的网络结构下手，绕过加密的防护。

不是破解，是「绕过」

现有的 Wi-Fi 安全规范（WPA2 与 WPA3）在设计上假设，同一网络内的不同设备之间会通过「用户隔离」（Client Isolation）机制相互屏蔽，让 A 设备无法直接看到 B 设备的流量。这是企业网络、酒店 Wi-Fi、咖啡厅热点等环境中保护用户的基本防线。

AirSnitch 的攻击目标就是这道防线。

研究人员发现，Wi-Fi 标准在设计时，并未在第 1 层（实体层）的连接端口映射、第 2 层（数据链路层）的 MAC 地址，以及第 3 层（网络层）的 IP 地址之间建立密码学绑定关系。这个结构性缺陷，使得攻击者得以冒充受害设备的身份，让接入点（AP）误将原本应传送给受害者的流量，改为传送给攻击者。

AirSnitch 通过三种技术手段发动攻击：

• MAC 地址伪冒（Downlink 劫持）：攻击者伪造受害者的 MAC 地址，欺骗 AP 将下行流量（从路由器传往受害设备的资料）转交给自己
• 端口窃取（Port Stealing）：攻击者以受害者 MAC 地址关联至另一个 BSSID，使 AP 的内部交换逻辑重新绑定连接端口，受害者流量因此以攻击者的加密密钥加密后传送
• 网关冒充（Uplink 劫持）：攻击者伪装成内部网关设备，截取受害者对外传送的上行流量

这三种手法合计，形成完全双向的中间人攻击能力。攻击者可同时截获、查看与篡改受害者的所有进出流量。

哪些设备受影响？几乎全灭

研究人员针对多款市售路由器与固件进行测试，结果都受到攻击。受测设备包括：

• Netgear Nighthawk x6 R8000
• Tenda RX2 Pro
• D-LINK DIR-3040
• TP-Link Archer AXE75
• Asus RT-AX57
• 开源固件 DD-WRT v3.0-r44715 与 OpenWrt 24.10

此外，研究人员亦在两所大学的企业级网络环境中成功重现攻击。证实了 AirSnitch 并非针对特定品牌或型号的漏洞，而是 Wi-Fi 网络协议在架构层面的根本性缺陷，不论是家用、商用或企业环境，只要采用现行 Wi-Fi 标准，均在攻击范围之内。

就算有 HTTPS，也不能高枕无忧

许多用户认为，只要浏览器显示「锁定图标」（ HTTPS），资料就是安全的。但 AirSnitch 能做出多个绕过 HTTPS 的路径。

对于仍以明文传输的流量，包括大量企业内部网络的 HTTP 流量，攻击者可直接读取密码、身份验证 Cookie、支付卡信息等敏感资料，甚至即时篡改内容。

对于 HTTPS 加密的连接，攻击者虽无法直接解密内容，但仍能：截获 DNS 查询流量，得知受害者正在访问哪些域名；通过目标网站的外部 IP 地址，往往可回推至具体的 URL。

更进一步，可通过 DNS 缓存投毒（DNS Cache Poisoning），在受害者的操作系统 DNS 缓存中植入伪造记录，再搭配 SSL 剥夺（SSL Stripping）技术，最终骗使受害者在看似安全的页面上交出账号密码。

风险最高的，就是公共 Wi-Fi，以后在咖啡店工作要小心了。