一般来说
，MAC很容易被欺骗。
WEP 在几分钟内被破解。
WPA/WPA2 实施并非在所有路由器中都是安全的。

IMO 中间人攻击几乎是不可避免
的主要问题是 802.11x 中的控制数据从不加密。
因为每一个无线认证都必须开始使用未加密的控制序列，所以它很容易受到中间人攻击。

更糟糕的是，802.11x 会话很容易被迫断开连接并重新进行身份验证，因此中间人可以随时出现在会话中。

通过使用仅针对客户端的无线电波束，入侵检测系统很难拦截此流量。

不用担心
解决这个问题的方法是不要再担心这个或那个接入点的中间人。
只需与任何接入点建立连接，无论是否安全。
他们中没有一个是可以信任的，所以不要打扰。

解决方案
而是使用不受中间人攻击的 VPN 解决方案^*)。例如，MITM 安全配置中的 SSHv2 并使用它连接到您的端点。

攻击者能做什么？
比你的攻击者可以在数据流中监听到他的内心内容，他所能推断的只是你在你的笔记本电脑上发送和接收了多少数据（流量分析），这仍然很有用，但他无论如何都可以默默地做到这一点嗅探无线流量。

但是请确保您的笔记本电脑安全
您仍然必须让攻击者远离您的笔记本电脑，使用仅接受来自您的 VPN 连接的流量而不接受其他任何东西的防火墙。使用安全的操作系统。

这种方法的好处
您的笔记本电脑可以在公司基础设施之外使用。实际上，它几乎永远不会留在那个安全的外壳中，保护您想要连接的所有接入点是一个白日梦。
如果您为可通过 VPN 连接访问的 Web 和邮件服务器设置代理服务器，您将可以从任何位置和所有位置完全安全地使用您的笔记本电脑。

总结
使用 WEP 和 WPA，外部攻击者可以欺骗您的无线接入点。
使用 WPA2，无论使用何种加密，经过身份验证的攻击者都可以发起 mitm 攻击，无论使用何种加密方案。这可以由不可靠的内部人员或受信任笔记本电脑上的恶意软件来完成。
虽然正如 DW 正确指出的那样，没有必要对此抱有偏见。
最重要的是，没有办法100% 确定您没有连接到恶意 AP。

现在你只需要担心那个iphone.....

WPA2 有一个名为 Hole 196 的中间人攻击向量，参见：http ://www.airtightnetworks.com/WPA2-Hole196

^*) 并非所有 VPN 解决方案都存在，并且其中许多解决方案的配置仍然存在风险，但有一些安全选项，如果您有一个好的系统管理员，正确设置并不是一件难事。

唯一“确定”您正在连接您想要连接的位置的方法是事先拥有一个信任根，与 AP 共享的东西，如对称密钥或 AP 的公钥（并相信公钥属于它）或信任一些证书。如果你有这个信任根，如果 AP 可以保证它知道私钥或可以使用共享密钥，你就可以形成信任 AP 的基础。

此外，如果 AP 使用 WPA/WPA2，则使用相互身份验证，因此您可以通过身份验证成功或失败来推断它是正确的 AP。

该解决方案在另一个答案中有所提及，但未明确说明。这目前只能使用 WPA/WPA2 Enterprise 实现。使用 EAP-TLS，客户端和身份验证服务器（即 RADIUS）都通过证书进行身份验证。如果您想确保连接到正确的 AP，则需要安全的相互身份验证。话虽如此，这种类型的部署在企业之外很少见。

这是我的建议：

1. 将接入点配置为使用 WPA2-PSK，具有长而强的密码，任何人都很难猜到或通过暴力破解。（不要使用 WEP 或 WPA，它们不够安全。）不要告诉任何人密码。

2. 将您的计算机配置为使用该密码连接到该无线网络，并且仅连接到该无线网络。禁用自动连接，或删除所有其他记住的无线网络。（在 Windows 上，您可以通过转到网络和共享控件来做到这一点。）如果连接成功，我认为您可以很好地保证您正在与真正的接入点通话。

这对于大多数用途来说似乎已经足够了。如果您需要高安全性，请设置 VPN 并确保所有来自您机器的网络流量都通过 VPN 进行隧道传输：那么您不必关心它正在穿越哪个接入点。