如何防止无线路由被人蹭网

只要你用着无线路由就有那么被蹭网的可能性在里面 它堪比强 J 一样的使人 为之发疯 被人蹭网事小 但别有用心的人要是窥视内网设备中的资料呢 尤其 是我们的隐私呢 于是我们需学会如何施展铜墙铁壁防御蹭网者的破解 让我来分享 356X24 开启从未被破解过的处女级无线加密方案 1 1 管理账号管理账号 路由器买回来后第一件事情当然是登录路由后台管理进行一系列的安全设 置了 大部分路由器的默认账号为 admin 密码为 admin 或 123456 而后台管理 掌管着路由器的任何权限 能随意查看加密方式和连接密码 这意味着如果使用默认账号和密码是一件非常危险的事情 只要让入侵者 成功登录管理账号 再强大的加密方式都形同虚设 你的安全策略将会一览无 遗 包括无线密码也是可视的 登录管理后台是可以不需要正确的连接密码即可登录 入侵者只需要知道 后台账号 密码 路由 IP 就足够了 所以我们第一件安全措施就是建立新的后台管理账号 然后删除默认的 admin 账号 建议账号密码越长越好 而且采用大小写及数字混合 最好是随机的 不 带任何中英文含义 这是为了避免入侵者采用密码字典的方式进行破解 所谓密码字典就是收集了用户各种常用密码规律 例如 生日 名字 组织 的 密码库 通过各种组合来尝试登录 如密码是随机无含义的话 密码字典将会 失效 而暴力破解 逐个字符组合 由于运算量极其庞大 他对于有足够长度的密 码需要耗费非常持久的时间 没有一个入侵者愿意这样破管理密码 修改并保存后会需要重新登录 由于密码和账号都太复杂 那可以把记住 账号密码打钩 方便以后管理 完成了这一步 我们算了建起了安全基石了 2 SSID2 SSID 要想让入侵者不打你的主意 最简单直接的方法当然是 潜水 进入无线设置 基本设置 我们可以把 SSID 广播关闭掉 这样做任何人都无法通过网卡自带的驱动搜 索得到你的 SSID 建议别用默认的 SSID 名字 一方面会向入侵者暴露自己的品牌甚至型号 例如我的腾达路由默认 SSID 为 tenda 频道方面要选择一个固定的频道 而不是默认的自动 这是为了方便隐藏 SSID 后的兼容性问题 以后户要连接路由器的话 需要到无线网卡上正确输入 SSID 及其频道 才 能正确连接路由器 可以防御到菜鸟级的蹭网者 3 3 加密加密 不过入侵者可不会那么简单就罢休的 他们可以利用第三方驱动或软件获得隐藏 SSID 的名称 频道 加密方式等 必备信息 这意味着 潜水 也只是一时半刻的小伎俩 我们必须要使出真功夫 首 先从加密入手 进入无线设置 安全设置 先要选择加密模式 一般就有 WEP WPA WPA2 三种 WEP 破解非常简单 不要使用这种加密 推荐选择 WPA2 PSK 或者 WPA PSK 用 WPA 兼容性更高 例如一些较旧 的网卡只能支持 WPA 而手机 wifi 也是部分不支持 WPA2 的 选择了 WPA 或者 WPA2 之后 算法必须要选择 AES 模式 因为 TKIP 模式还 是可以被 BT 破解的 密码设定最长可以达到 21 位 按照前面建议的字母 数字 大小写混合 无 语言含义这几个要素合在一起的话 一年内是破不了的 如果能够几个月换一次密码 那简直是完美的 现在我们要如何正确连接加密后的无线路由呢 进入 windows 的控制面板 网络和 internet 管理无线网络 添加 选择手动配置 并如图正确填入与之前设置相符的选项 即使网络未进行广播也连接 必须勾上 这是用来连接隐藏的 SSID 4 MAC4 MAC 过滤过滤 俗话百密还有一疏 我们很难预料科技的进步能为破解密码带来什么便利 因此还是不能彻底排除密码被破解的可能性 所以给路由在上几道 锁 才能挡得住入侵者 每一个网络设备 包括 网卡 路由 猫等等 都有一个 MAC 地址 MAC 又称物理地址 一般每个设备的 MAC 都是独一无二的 是常用的唯一 识别方式 就好比每个人都有一张身份证一样 这样我们可以通过 MAC 过滤要求路由器只允许某个 MAC 连接 或者拒绝某 些 MAC 连接 进入无线设置 无线访问控制 过滤规则选择允许的话 意味着只有列表中的 MAC 地址是允许访问 其他 都是禁止访问的 如果只是想禁止特定 MAC 那样过滤规则选择禁止 并在列表添加禁止的 MAC 如何知道自己网卡的 MAC 只要打开无线网卡 并点击详细信息就知道自己的 MAC 了 5 5 流量限制流量限制 前面的 MAC 过滤只对无线网络起作用 如果还存在有线蹭网的风险的话 可以使用流量控制的方式 使对方失去蹭网的意义 不过并非所有路由器都有这个功能 首先需要进行 IP MAC 绑定 进入 DHCP 列表与绑定 输入合法用户的 MAC 及需要绑定的 IP 地址 进 行添加 如图我把自己的 IP 绑定为 192 168 0 123 那么以后我连接路由器的 IP 都 是固定为这个了 然后进入带宽控制 如图我把 192 168 0 2 122 124 254 的 IP 全部列入限制范围 限制为 1K 的带宽 都别想上网了 意思我是 我把除了自己的 IP 别的都列入限制范围 这么一套规则下来 会难到不少入侵者 6 6 手动手动 IPIP 不过这种利用 MAC 作为基础的方法并非完美 路由器可以有克隆 MAC 功能 网卡同理也能实现 MAC 克隆 通过一些第三方软件 入侵者可是可以随意改写自己的 MAC 并且他们也 能很轻松知道合法用户的 MAC 这意味着他可以伪装成合法用户 冒充合法用户的 MAC 当然 MAC 作为唯一识别记号的存在 电脑是不允许在一个内网里出现两 个相同 MAC 及 IP 的 当对方冒充 MAC 进行连接 而合法用户也在连接中 那就会出现地址冲突 错误 双方都会被挤下线 当出现地址冲突的时候就证明 MAC 规则已经阻挡不了入侵者了 我们需要 更高明的手段 跟入侵者玩玩 躲猫猫 所有路由上的 DHCP 功能是默认开启的 其作用是自动分配 IP 给每个用户 避免冲突和免去用户手动设定 IP 的麻烦 假如我们把 DHCP 功能关闭 并且修改为一个没人知道以及难以预料的 IP 地址呢 这就意味着入侵者只能猜 IP 手动一个个碰 即使密码有了 也没用 IP 错误就无法上网 也不能连接内网里面任何一 样共享设备 首先设置路由器 IP 地址 进入高级设置 LAN 口设置 一般默认 192 168 1 0 1 0 我们改一个诸如 174 193 77 88 反正就是 不合常规的 让你猜 怎么猜 想一下 1 255 1 255 1 255 1 255 可以有多少个组合呢 约等于 2 的 32 次 方那么多个组合 不过一些 SOHO 路由是锁定了前两位 只能改变后两位 就是锁定为 192 168 即便是这样我们依旧有 2 的 16 次方那么多的组合 从现在开始 我们登录后台用的 IP 不在是 192 168 0 1 而是新设置的 174 193 77 88 然后进入 DHCP 服务设置 去掉 DHCP 服务器的勾 表示不启动 DHCP 这意 味着路由器将不支持自动分配 IP 地址 而是必须手动输入 把 IP 连接池的范围给缩小下 比方说如图我是 44 46 这表示只有 3 个 IP 是合法的 别人一定要猜对合法的 IP 才能上网 顺带我也把自己的 IP MAC 绑定为 174 193 77 44 接着要手动给网卡重新设置 IP 了 进入打开网卡单击属性 如图选择 Internet 协议 单击属性 如图第一项为网卡 IP 填刚才绑定的 IP 第二项填 255 255 255 0 网关填路由 IP 174 193 77 88 而 DNS 也是填路由 IP 确定后关闭就设置成功了 这样就能正确连接路由器并上网 至此 需要无线连接这一个路由器并成功上网的话 需要满足如下条件 无线密码正确 破解理论需要 1 年以上 MAC 地址正确 路由 IP 地址正确 网卡 IP 地址正确 这样已经不是高难度这么回事了 而是有没有人愿意去破解的问题了 7 7 弱化信号弱化信号 如果以上都无法阻拦个别极其富有斗志和挑战意识的入侵者的话 还能通 过物理手段让敌人彻底失败 原理很简单 如果收不到信号就肯定不能蹭网 有些路由器上是有无线功率调节选项的 TX 功率 他们默认都是 100 全功 率使用的 进入无线设置 高级设置进行修改 有些路由是以百分比来调节的 参数为 1 100 有些则是按实际功率数设 置 我们通过降低这个参数以降低功率 从而无线覆盖面积就随之缩小了 我们把这个覆盖范围缩小到只覆盖自家房子就足够了 别人在外面想怎么 蹭都蹭不到了 比方说我这个 50 多平米的房子 用的是一款最便宜的 50 几元 腾达路由 其覆盖范围是远远超出房子的区域的 最终调节到 35 能够穿 1 墙 1 柱达 4 米距离 获得满格 54M 信号 如果 调 30 就是满格 36M 这样信号范围就基本限制在自家里面了 现在还有谁能破我的路由呢 另外由此看出 没有特殊需要的用户 是不需要最求高强信号的路由的 一般 100 元以内的路由信号已