【关于无线路由防盗的方法】分享给互联网从爱好者学习参考。
虽然本人不是什么高手,但是,我还是要说,某些伪大师真是害人,居然告诉别人只要路由器设置MAC地址过滤就行了,居然讲什么路由器密码和无线密码都不要设置,这个,我真的是没话说。谁不信这个邪的我可以当场测试给他看,一个光光设置了MAC地址过滤的无线路由,只要有机器连在上面,我抓个包立马就能知道连接者的MAC,接下来,仿冒一下MAC也就是举手之劳,获得了合法MAC之后……往后的事情,明眼人一看就懂了,还用我说吗?只设置了MAC过滤的无线路由,不设置登陆密码,我直接能改你的设置。
好了,言归正传。
首先我们要明白一点,蹭网软件的扫描功能第一步就是扫到你的无线SSID,也就是我们平常所说的无线广播号,第二步就是扫到这个SSID下连接的机器,而其扫描到的机器就是一个个的MAC地址,到了这一步,如果你的无线路由器完全不加密,而只设置了MAC地址过滤,那他完全可以仿冒你目前已经连接的MAC来上网,改个MAC这么简单的事情,不用我来教了吧?所以如果只MAC过滤而不加密,那么对方几乎可以对你的无线路由器进行秒破!
那么什么才是比较合适的防止被蹭网的安全设置方法呢?
1、SSID隐藏
其实隐藏了SSID照样也能被穷举扫描到,不过,稍微费点时间而已。但我们的目的就是要尽量给蹭网者找点麻烦拖延点他们的时间,不是么?
2、路由器登陆界面的用户名和密码都换掉
用户名不要用路由器默认的admin,user之类的,这样做主要是防止对方穷举解密你的路由器管理界面密码,你把用户名也改了,对方至少还多了一步猜用户名的过程,如果你用默认的用户名,对方就可以直接穷举你的密码。登陆密码要设置的复杂些,尽量复杂些,反正谁没事老去登陆管理界面啊。这么做是为了防止对方连上你无线后还无耻的改你路由器设置。
3、无线采用WPA2加密
理论上讲,WPA类加密可以使用任何字符作为密码,如果一个蹭网者用穷举法解密你的WPA类密码,而且只是一个5位长度的密码,那么,根据现在的解密速度,一般峰值就在300000个密码/S的速度,把5位的仅仅用英文和数字的WPA密码都穷举一遍,根据计算,大概需要50~~160小时,也就是需要2~~7天,你有这个耐心吗?而且这还只是5位的密码,如果再加上标点,再区分英文大小写,再加长位数……这个解密时间是几何级增长的。
有人和我说,那我家的WEP加密是10位的呢,为什么还不安全?
我们需要明确一点,WEP加密已经不行了,这玩艺太容易破了,你想想看,WEP目前常用的有两个精度,一个是64Bit,一个是128Bit,我周围貌似没人愿意用128Bit的WEP加密,128Bit加密速度慢不说,而且出来的十六进制密码太长太不好记忆了。而64Bti的么,呵呵,一个10位的十六进制密码,而且是大小写通用的,关键字只涉及到0123456789和ABCDEF这几个字符,有点数学基础的人都知道,16个字符,任意抽取,组成可重复字符的10位密码,总共才多少种排列组合?现在的机器的计算性能,20分钟之内破不掉64Bit的WEP加密那就是笑话了。
所以一定要用WPA2加密,并且用复杂不规则的长密码。什么叫复杂长密码?我的理解就是英文数字加标点并且夹杂大小写,长度在10位以上,最重要的一点是,密码必须是毫无意义的。你搞个电话号码或者生日或者名字什么的,只要了解你的人,这种密码一下子就被解密掉了。
其实我是用30位密码的,不过,应该没多少人和我一样变态吧?再说,太长了不好记对吧。10位的英文数字加标点夹杂大小写的不规则密码,如果要穷举,以现在的机器运算速度,也费不少时间了,其实一个这样的密码按照现在个人电脑的运算速度,穷举解密需要一万多年。切记,WPA2加密是区分大小写的,所以,密码里面一定要记得夹杂一下大小写,这样的话,凭空把关键字中的26个英文字母扩展到了52个……穷举解密最怕的就是关键字增加了,呵呵,让蹭网的慢慢穷举吧。
当然,用WPA2加密也不是完全安全的。理论上讲,现在可以通过WPA-PSK Hash Tables来快速解密WPA/WPA2的密码,其实WPA-PSK Hash Tables是个密码表,里面含有N多黑客收集的常用密码,很多大家觉得没人知道的密码,这个表里面都会收集到。不过这个表目前貌似已经有50G那么大了,就算是简化版的也有3G大小,3G大小的那个是可以免费下载的版本,但是不适合中国国情,因为中国没多少人叫ANDY,TOMMY之类的吧?如果你愿意花钱去买那个50G的完全版本,那我佩服你。哥们,蹭个网,你至于吗,有这钱不能自己去拉根网线?
4、设置MAC地址过滤
这个显而易见,只允许特定的MAC上网,其余MAC不给访问网络。虽然说MAC容易伪装,但是多一道防护,总归给蹭网者多一个麻烦。
5、关闭路由器的DHCP服务
关闭了DHCP服务,你自己的机器也得使用手动配置IP地址的功能,因为如果你设置自动获取IP地址,你自己也没法获得IP和网关以及DNS的。为什么要关这个呢?呵呵,关闭了DHCP服务,就算蹭网的终于解密了无线密码,连上了路由器,结果发现得不到IP地址,于是他还得手动设置IP。且慢,你会手动设置IP,我就不会改IP段么?
6、把路由器Lan的网段改的奇怪些。
一般家用路由器都使用192.168.0.0/24或者192.168.1.0/24或者10.0.0.0/24这三个IP段。我们可以把它改成192.168.X.0/24或者10.0.X.0/24。倒数第二段不要用常用数字0和1,而是用别的不常用的数字,比如4啊7啊38啊84啊之类的,具体用哪个数字,那就看个人喜好了。
7、把路由器的Lan口地址也改了
一般路由器Lan口地址都是Lan子网的第一个IP,比如一个子网是192.168.1.0/24的子网,路由器Lan口会使用192.168.0.1这个IP,而这个IP在家用路由上通常会担任网关和DNS的职责。我们要做的就是把这个IP也改掉,改最后一位即可。比如X.X.X.48,X.X.X.74之类的。这样,相应的,你机器的网关也得设置成这个地址,DNS也可以设置成这个地址(如果你的路由器有DNS缓存功能的话),或者DNS直接设置成运营商给你的DNS地址。
好了,到此,无线安全设置完毕。我们来试想一下如下的经典蹭网场景:
蹭网者先是很难发现你的无线信号,当他终于通过穷举扫描找到了你的SSID之后,还得解密你的复杂密码,就算他手头有个50G的Tables,这里面也不见得真有你的密码。好吧,即使这个蹭网者真的把你密码给破了,他还得伪装MAC地址,等他伪装完MAC之后,又发现没有办法通过DHCP来获得IP和网关以及DNS配置。怎么办?还得自己配置。那么自己配置的话,通常都会采用最常用的192.168.0.0/24、192.168.1.0/24和10.0.0.0/24的IP段,也通常会采用最常用的192.168.0.1、192.168.1.1以及10.0.0.1这三个网关地址。结果蹭网者发现这样配置还是不能上网。好了,如果他有兴趣,可以继续一个一个IP段的尝试,他能否真的碰巧找到你的网段,找到之后能否猜对你的网关地址,这个还是未知数。而且就算他想连接你的路由器管理界面看你的设置,不好意思,IP段不对的话是打不开设置界面的,就算IP段被他猜对了,他还得猜你的网关地址,最后他终于猜到了网关地址了,想要进你路由器设置界面,关闭MAC绑定之类的,却还涉及到解密你路由器的用户名和密码的过程。
好吧,如果这样设置了,还有人能连到你的无线路由蹭你的网络,那么,哥们,你就拉根网线给他用吧,他实在是太强了。