最近突然发现家里10m的光纤上网的速度有时慢如蜗牛,查来查去发现无线路由器上莫名多了几个客户端。惊现被蹭网。
于是对无线路由器安全做了点功课如下:
1、路由器管理账号和密码
此处一定要修改默认的账号名和密码,而且一定要设置高复杂度的密码。因为一旦wifi被破解连接,攻击者就可以进行管理密码的暴力破解,此权限被攻破,意味着路由器可能被设置的一塌糊涂。更有甚者,恶意者可以通过路由设置挂马或者其他无节操的动作,导致使用者的巨大损失。
同样,当路由器的管理权还在我们手上时,我们也可以反过来通过路由设置来恶作剧蹭网者,详见本文最后。
2、wifi密码
wifi认证有几种协议,其中只有wpa2-psk还算比较难于破解,其它几种就不要考虑了。wpa2-psk的算法就不详说,百度可查。
建议密码为12位以上,大小写字母数字混合。
此处为唯一对蹭网破解防范比较有效的手段,只能靠密码暴力破解,复杂的密码可以给破解者带来非常大的计算和时间成本。
值得一提是,目前可以找到的蹭网软件,比如bt6,可以同时使用cpu和gpu来进行计算,和挖矿类似。对此我只能发出一声叹息。
3、pin码
pin码本意是给路由器快捷设置用,比如管理软件,设备快捷配对等。pin认证使用的是8位数字,默认值写在了路由器背面。
由于pin码只是8位数字,使用pin码尝试软件,基本上十几分钟就可以试出来,极不安全。而且一旦获得pin码,攻击者就可以直接获得wifi密码,wifi密码设置得再复杂也没有用了。因此pin码一定要关闭。
关闭pin码的办法是关闭路由器的wps功能,有些路由器中叫qss。
4、隐藏wifi
通过在路由器中设置不广播ssid,使得wifi客户端默认不能找到此路由器,但是实际上通过专门的无线网络软件可以轻易的找到隐藏的ssid和网络设置信息。
原理是通过软件扫描全部的周边wifi热点,隐藏ssid的wifi热点名称会是空,协议以mac替代。让后通过抓包软件可以指定抓取此热点的广播包,包中就会含有正常客户端和wifi通讯时使用的ssid名称。
所以此办法基本没有提高安全性。只能说通过隐藏可以明确的告知攻击者本人不希望有其他人连接。
5、关闭dhcp
关闭dhcp的目的在于使得攻击者无法自动获得正确的C类网段,但是实际上是用类似找ssid的方法,可以很容易的获得wifi的网络基本设置参数。
类似更改掩码,网关的办法类似。
6、绑定mac
绑定mac是限制只有指定设备可以连接wifi网络,但和ip一样,也可以通过抓取获得正常客户端的通讯头获得mac,然后伪造mac来进行连接。
由于伪造mac会使得网络设备无法区分相同mac的设备,这会导致真假设备同时在线时在网内产生错误,因此只能算是一种不隐蔽的破解方法。
下面说说,通过路由设置来恶作剧蹭网者的办法,思路由百度图吧吧友提供:
由于蹭网者上网是通过我们的路由器来联通的,那么蹭网者的网络访问必然要遵循我们的路由器里设置的路由表来寻路。
那么,我们可以在路由器中设置静态路由,将蹭网者的网络访问指向到我们自己搭建的服务器上。然后就看大家的创意了
1、可以做一个页面,使得蹭网者的网络访问全部返回警告信息。
2、可以放置挂马的页面在跳转到正常目标,不过似乎不太人道。
3、可以在服务器对目标页做翻转处理在返回,这样蹭网者看到的所有页面都是反的,这会使蹭网者困惑很长一段时间吧。
。。。