加密的Wi-Fi AP上的其他人可以看到您在做什么吗？

如果您连接到开放的未加密Wi-Fi接入点，则您所做的一切都可以被范围内的其他人捕获。

如果您连接到加密点，则附近的人可以截获您的操作，但无法解密。但是，运行访问点的人可以拦截您在做什么，对吗？

知道密钥并连接到同一点的其他人呢？他们可以拦截您的无线传输并解密吗？还是他们可以通过数据包嗅探器看到您的数据包？

是的，使用WEP加密非常简单。所有内容都已加密，您需要知道该密钥才能进入网络。网络上的每个人都可以解码其他人的流量，而无需尝试。

使用WPA-PSK和WPA2-PSK，这有点棘手，但并不难。WPA-PSK和WPA2-PSK使用每个客户端，每个会话的密钥对所有内容进行加密，但是这些密钥是从预共享密钥（PSK；网络上必须知道的密钥）派生而来的，并且交换了一些信息明确表示客户端何时加入或重新加入网络。因此，如果您知道网络的PSK，并且您的嗅探器捕获到另一个客户端在AP加入时与该AP进行的“四次握手”，则可以解密该客户端的所有流量。如果您没有碰巧捕获到该客户端的四次握手，则可以向目标客户端发送一个欺骗性的取消身份验证数据包（对它进行欺骗以使其看起来像来自AP的MAC地址），从而迫使客户端掉线断开网络并重新启动，因此，您这次可以捕获其4向握手，并解密往返于该客户端的所有其他流量。接收到欺骗性撤消授权的机器的用户甚至可能不会注意到他的笔记本电脑在一瞬间就离开了网络。请注意，此攻击没有中间人的麻烦。攻击者只需在目标客户端（重新）加入网络时捕获一些特定的帧。

使用WPA-Enterprise和WPA2-Enterprise（即使用802.1X身份验证而不是使用预共享密钥），每个客户端的每个会话密钥都完全独立地派生，因此不可能解码彼此的流量。攻击者可能不得不在AP的有线侧上嗅探您的流量，或者可能会建立流氓AP，以希望您忽略该流氓AP会发送的虚假服务器端证书，并始终加入该流氓AP。 。

WPA至少具有某种形式的会话密钥。假设（我不确定WPA实际使用了什么）会话密钥是使用Diffie-Hellman这样的协议建立的，即使PSK不在，它们最初也是安全的。使用TKIP密码会话会话密钥可以快速断开，从而使某人可以在不知道预共享密钥的情况下拦截和注入数据包。

但是，知道PSK的人可以只建立一个恶意访问点，在中间做一个人，然后选择自己的会话密钥，这使该点无济于事。知道您的PSK的主动攻击者可以控制链路层，拦截和修改数据包。

如果将PSK身份验证替换为使用证书和PKI的IEEE 802.1X，则可以相信AP最初是正确的。MITM将要求攻击者破坏客户端和访问点以获取其私有证书，而不仅仅是获得PSK。该协议似乎有一个弱点，即攻击者可以在初始身份验证之后的中间位置做一个人。我不知道这在无线情况下的适用性。但是人们倾向于盲目接受证书，并非所有访问点都可以让您配置802.1X。

未加密的WAP表示任何人都可以读取无线链路上的所有流量。

使用加密的WAP，所有流量都会在无线链路上进行加密，但是即使没有加密密钥，任何有权访问WAP WAN端口的人都可以读取流量。使用WAP键，对于WiFi，您可以读取无线电链路上的所有流量。

使用共享无线AP的安全方法是使用端到端加密。您的流量在通过无线电链路发送之前已加密，直到到达目的地才解密。因此，即使使用WAP密钥或访问WAP的WAN端口，端到端的加密流量也是安全的。

获得端到端加密的一种常见方法是使用加密的VPN。在您的计算机和VPN端点之间使用VPN的流量已加密，因此非常安全。

一种并发症。VPN可以使用一种称为“分割隧道”的技术，这意味着非目的地为VPN另一端的网络的流量不会使用VPN。而且，不使用VPN的流量不会由VPN加密，因此，如果您使用拆分隧道，则未保护未寻址到VPN另一端的流量。