问：在无线局域网热点，你怎么才能知道是连接到了一个虚假的还是真正的接入点？

　　答：假接入点（AP）构成了一个特别棘手的问题，因为在许多公共热点，你并不知道可靠的AP和登录网页应该的样子。如果你被欺骗，连接到一个假的接入点，“恶魔双子星”会在最佳位置来发动对你的攻击。一个假的接入点可以显示热点的登录页面，看起来像一个合法的登录页，以获得你的信用卡号码。它可以截取虚拟个人网络（VPN）连接请求，并试图伪装成合法的VPN网管。它甚至可以尝试模仿任何你可能尝试访问的SSL保护的网站。

　　在所有这些攻击中，假的接入点（和服务器）正视图利用你的疏忽来验证你在和谁通信——从热点AP和登录网站，到VPN网关和SSL服务器。因此，你最好的防御措施就是坚持在你提供任何敏感信息（如密码，信用卡号码）前对服务器身份进行验证。

　　我建议以下的步骤来避免接入假的接入点：

　　坚持在热点利用其所支持的WPA或WPA2（例如，T-Mobile，iBAHN）技术。在这些热点中，通过配置你笔记本电脑的Wi-Fi连接来检查热点验证服务器的证书，或者安装一个可以自动为你做这些的热点连接管理器，你便可以完全避免假冒的接入点。

　　如果你使用许多不同的公共热点，你可能已经定购了热点漫游服务，如iPass或Boingo。这些漫游客户端使用SSL使你登录到中央认证服务器，并自动验证这个登录中的服务器。虽然你可能依旧连接到一个虚假的接入点，但是漫游客户端会阻止你被骗入一个虚假的登录入口。

　　如果你使用的热点不支持WPA或WPA2，我建议使用VPN来加密私人数据。在这种情况下，配置你的VPN要求在用户身份验证前进行网关验证以阻挡假的接入点攻击。例如，避免使用XAUTH的IPsec虚拟专用网在没有验证网关身份的情况下就征求用户密码。

　　如果你访问热点中SSL加密的网站，不要以为“http”开头的URL意味着你已经到达了合法的Web服务器。对于假的接入点来说，重定向你的请求到一个具有自签名证书的虚假服务器是非常容易的。在这里，验证服务器证书的责任就落到了你和你的浏览器上面。不要忽视浏览器提示的无效证书，确保该服务器证书实际上是由一个受信任的最高授权中心签发。

　　最后，对于在公共热点的个人无线连接行为要保持警惕。你可能会发现自己在合法接入点和假接入点之间来回切换，或者被骗自动连接到了你的首选网络列表中的另一个SSID。这些以及其他无线客户端攻击的症状都可以被主机-客户的无线IPS程序探测到。