让我来分享356X24开启从未被破解过的处女级无线加密方案。
1管理账号
路由器买回来后第一件事情当然是登录路由后台管理进行一系列的安全设置了。
大部分路由器的默认账号为admin,密码为admin或123456,而后台管理掌管着路由器的任何权限,能随意查看加密方式和连接密码。
这意味着如果使用默认账号和密码是一件非常危险的事情,只要让入侵者成功登录管理账号,再强大的加密方式都形同虚设,你的安全策略将会一览无遗,包括无线密码也是可视的。
登录管理后台是可以不需要正确的连接密码即可登录,入侵者只需要知道后台账号、密码、路由IP就足够了。
所以我们第一件安全措施就是建立新的后台管理账号,然后删除默认的admin账号。
建议账号密码越长越好,而且采用大小写及数字混合,最好是随机的,不带任何中英文含义。
这是为了避免入侵者采用密码字典的方式进行破解。
所谓密码字典就是收集了用户各种常用密码规律(例如:生日、名字、组织)的密码库,通过各种组合来尝试登录。如密码是随机无含义的话,密码字典将会失效。
而暴力破解(逐个字符组合)由于运算量极其庞大,他对于有足够长度的密码需要耗费非常持久的时间,没有一个入侵者愿意这样破管理密码。
修改并保存后会需要重新登录,由于密码和账号都太复杂,那可以把记住账号密码打钩。方便以后管理。
完成了这一步,我们算了建起了安全基石了。
2SSID
要想让入侵者不打你的主意,最简单直接的方法当然是“潜水”。
进入无线设置-基本设置
我们可以把SSID广播关闭掉,这样做任何人都无法通过网卡自带的驱动搜索得到你的SSID。
建议别用默认的SSID名字,一方面会向入侵者暴露自己的品牌甚至型号,例如我的腾达路由默认SSID为tenda。
频道方面要选择一个固定的频道,而不是默认的自动,这是为了方便隐藏SSID后的兼容性问题。
以后户要连接路由器的话,需要到无线网卡上正确输入SSID及其频道,才能正确连接路由器,可以防御到菜鸟级的蹭网者。
3加密
不过入侵者可不会那么简单就罢休的。
他们可以利用第三方驱动或软件获得隐藏SSID的名称、频道、加密方式等必备信息。
这意味着“潜水”也只是一时半刻的小伎俩,我们必须要使出真功夫!!首先从加密入手。
进入无线设置-安全设置
先要选择加密模式,一般就有WEP、WPA、WPA2三种。WEP破解非常简单,不要使用这种加密。
推荐选择WPA2-PSK或者WPA—PSK,,用WPA兼容性更高。例如一些较旧的网卡只能支持WPA,而手机wifi也是部分不支持WPA2的。
选择了WPA或者WPA2之后,算法必须要选择AES模式,因为TKIP模式还是可以被BT破解的。
密码设定最长可以达到21位,按照前面建议的字母+数字+大小写混合+无语言含义这几个要素合在一起的话,一年内是破不了的。
如果能够几个月换一次密码,那简直是完美的。
现在我们要如何正确连接加密后的无线路由呢
进入windows的控制面板-网络和internet-管理无线网络-添加
选择手动配置,并如图正确填入与之前设置相符的选项。
“即使网络未进行广播也连接”必须勾上,这是用来连接隐藏的SSID
4MAC过滤
俗话百密还有一疏,我们很难预料科技的进步能为破解密码带来什么便利。因此还是不能彻底排除密码被破解的可能性。
所以给路由在上几道“锁”才能挡得住入侵者。
每一个网络设备(包括:网卡、路由、猫等等)都有一个MAC地址。
MAC又称物理地址,一般每个设备的MAC都是独一无二的,是常用的唯一识别方式,就好比每个人都有一张身份z一样。
这样我们可以通过MAC过滤要求路由器只允许某个MAC连接,或者拒绝某些MAC连接
进入无线设置-无线访问控制
过滤规则选择允许的话,意味着只有列表中的MAC地址是允许访问,其他都是禁止访问的。
如果只是想禁止特定MAC,那样过滤规则选择禁止。并在列表添加禁止的MAC
如何知道自己网卡的MAC
只要打开无线网卡,并点击详细信息就知道自己的MAC了
5流量限制
前面的MAC过滤只对无线网络起作用,如果还存在有线蹭网的风险的话。可以使用流量控制的方式,使对方失去蹭网的意义。
不过并非所有路由器都有这个功能。
首先需要进行IP-MAC绑定。
进入DHCP列表与绑定,输入合法用户的MAC,及需要绑定的IP地址,进行添加
如图我把自己的IP绑定为1921680123那么以后我连接路由器的IP都是固定为这个了。
然后进入带宽控制。
如图我把19216802~122 & 124~254的IP全部列入限制范围,限制为1K的带宽,都别想上网了。
意思我是,我把除了自己的IP,别的都列入限制范围。
这么一套规则下来,会难到不少入侵者。
6手动IP
不过这种利用MAC作为基础的方法并非完美。
路由器可以有克隆MAC功能,网卡同理也能实现“MAC克隆”
通过一些第三方软件,入侵者可是可以随意改写自己的MAC,并且他们也能很轻松知道合法用户的MAC。
这意味着他可以伪装成合法用户,冒充合法用户的MAC。
当然,MAC作为唯一识别记号的存在。电脑是不允许在一个内网里出现两个相同MAC及IP的。
当对方冒充MAC进行连接,而合法用户也在连接中,那就会出现地址冲突错误,双方都会被挤下线。
当出现地址冲突的时候就证明MAC规则已经阻挡不了入侵者了。我们需要更高明的手段。
跟入侵者玩玩“躲猫猫”。
所有路由上的DHCP功能是默认开启的,其作用是自动分配IP给每个用户,避免冲突和免去用户手动设定IP的麻烦。
假如我们把DHCP功能关闭,并且修改为一个没人知道以及难以预料的IP地址呢这就意味着入侵者只能猜IP,手动一个个碰。
即使密码有了,也没用,IP错误就无法上网,也不能连接内网里面任何一样共享设备。
首先设置路由器IP地址,进入高级设置-LAN口设置。
一般默认1921681(0)1(0),我们改一个诸如1741937788,反正就是不合常规的,让你猜,怎么猜。
想一下1-2551-2551-2551-255可以有多少个组合呢约等于2的32次方那么多个组合。
不过一些SOHO路由是锁定了前两位,只能改变后两位,就是锁定为192168,即便是这样我们依旧有2的16次方那么多的组合。
从现在开始,我们登录后台用的IP不在是19216801而是新设置的1741937788。
然后进入DHCP服务设置,去掉DHCP服务器的勾,表示不启动DHCP。这意味着路由器将不支持自动分配IP地址,而是必须手动输入。
把IP连接池的范围给缩小下,比方说如图我是44~46这表示只有3个IP是合法的,别人一定要猜对合法的IP才能上网
顺带我也把自己的IP-MAC绑定为1741937744
接着要手动给网卡重新设置IP了。
进入打开网卡单击属性,如图选择Internet协议,单击属性
如图第一项为网卡IP,填刚才绑定的IP
第二项填2552552550
网关填路由IP:1741937788
而DNS也是填路由IP
确定后关闭就设置成功了,这样就能正确连接路由器并上网。
至此,需要无线连接这一个路由器并成功上网的话,需要满足如下条件:
无线密码正确(破解理论需要1年以上)
MAC地址正确
路由IP地址正确
网卡IP地址正确
这样已经不是高难度这么回事了,而是有没有人愿意去破解的问题了
7弱化信号
如果以上都无法阻拦个别极其富有斗志和挑战意识的入侵者的话,还能通过物理手段让敌人彻底失败。
原理很简单,如果收不到信号就肯定不能蹭网。
有些路由器上是有无线功率调节选项的(TX功率)。他们默认都是100%全功率使用的。
进入无线设置-高级设置进行修改
有些路由是以百分比来调节的,参数为1-100,有些则是按实际功率数设置。
我们通过降低这个参数以降低功率,从而无线覆盖面积就随之缩小了。
我们把这个覆盖范围缩小到只覆盖自家房子就足够了,别人在外面想怎么蹭都蹭不到了。
比方说我这个50多平米的房子,用的是一款最便宜的(50几元)腾达路由,其覆盖范围是远远超出房子的区域的。
最终调节到35%,能够穿1墙1柱达4米距离,获得满格54M信号。如果调30%就是满格36M,这样信号范围就基本限制在自家里面了。
现在还有谁能破我的路由呢
另外由此看出,没有特殊需要的用户,是不需要最求高强信号的路由的,一般100元以内的路由信号已经很够用了。
反倒覆盖范围过大、性能过剩的路由会带来跟多不必要的麻烦。
不过以上效果是使用带外置天线的网卡,用那个40块钱U盘形的网卡,在40%就连不上了,只能在70%的时候保持3~4格浮动。
很多时候家庭无线网络信号不好的成因,路由因素现在都不多了,多为网卡惹的祸。
外置天线和内置天线的网卡可是天壤之别,所以奉劝各位别盲目去购买路由,先从网卡下手效果更好。
怎么样,还会担心被蹭网了吗
禁止联网设备连接无线路由器上网可以通过MAC过滤实现。联网设备可以修改IP地址逃避封杀,通过MAC过滤可以根本上解决WiFi蹭网问题。
限制联网设备访问网络的方法:
1系统连接wifi。
2打开电脑浏览器,输入路由器背后铭牌的网关ip地址(一般是19216811),进入网关配置界面。
3进入DHCP客户端界面,记录蹭网者的MAC地址。
4进入路由器安全设置界面,点击MAC地址过滤,输入蹭网者的MAC地址,即可限制蹭网者的网络。
1、打开浏览器,输入ip地址19216811,输入账号密码进行登录。2、登录成功后,会出现路由器管理页面,单击“连接设备管理”选项卡,会显示正在连接和使用网络的设备。
3、根据设备名,用户可自行对连接上的用户进行权限管理,包括“限速”,“禁用”,当想踢掉蹭网者,直接点击用户右侧的“禁用”按钮即可。可以利用路由器的防火墙,IP控制来禁止非法用户上网。
下面介绍另一个方法:通过路由器的家长控制功控制非法用户上网。
1、首先打开dhcp服务器,客户端列表,这里会显示出所有链接到路由器的设备。
记住不认识的设备ip地址和MAC地址。
2、登陆到路由器管理界面,家长控制设置为启用,并且输入自己的MAC地址。
开始,搜索,cmd,输入ipconfig
/all,即可查到本机MAC地址。
3、点击添加单个条目。
4、按图设置下面选项。点击保存。
5、这时就添加了一条规则,点击使所有条目生效即可。
这个MAC地址的设备只能按照规则访问,但是那个网站不存在,而且别的网站也不让访问,所以就达到了限制别人上网的效果。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)