在有線網(wǎng)絡環(huán)境中，流量牽引不太容易。局域網(wǎng)中需要使用ARP欺騙技術，而廣域網(wǎng)中需要使用DNS欺騙技術，容易被防護，也容易被發(fā)現(xiàn)。

在Wi-Fi的環(huán)境中，你會發(fā)現(xiàn)達到上面所謂的中間人攻擊技術條件非常容易，攻擊者只需要使用跟合法接入點同樣的SSID(如果加密的話，還要認證/加密算法相同，并且預共享秘鑰相同)，然后讓偽造接入點的功率大于合法接入點(相對被攻擊者而言)就可以了。攻擊者再以客戶端的身份連接到合法接入點，在中間中轉(zhuǎn)被攻擊者跟合法接入點之間的流量，數(shù)據(jù)都能夠被明文監(jiān)聽下來，或者進一步實施更高級的攻擊手段。

如何進行安全防護?

由于Wi-Fi本身不具備更多地安全機制，因此在Wi-Fi上層考慮使用VPN加密的方案是Wi-Fi服務提供者應該考慮的。這樣即使用戶接入到偽造接入點上來，數(shù)據(jù)也能得到保護，不被竊聽。部署上可在wifi和Internet中間部署山石網(wǎng)科防火墻做認證。

考慮到方案的成熟度和廣泛適用性，L2TP Over IPSec VPN是一個不錯的解決方案。因為Windows、Mac、iOS、安卓等終端產(chǎn)品都默認支持L2TP Over IPSec VPN客戶端功能，無須額外安裝客戶端軟件。同時L2TP Over IPSec VPN服務端功能也得到了防火墻廠商的廣泛支持，Wi-Fi服務提供者能夠有更多的選擇。

多易