2014-07-06 07:17:17| 分類: WiFi無線 | 標(biāo)簽:wifi隨著WiFi的應(yīng)用普及,WiFi無線路由器已經(jīng)廣泛進(jìn)入家庭。現(xiàn)在只要你在家中使用筆記本無線網(wǎng)卡進(jìn)行一番搜索肯定會發(fā)現(xiàn)附近存在著數(shù)不清的AP在工作。如果你是當(dāng)中的一員,不知是否想過別人也會有同樣的搜索。話說屋內(nèi)講話隔墻有耳的事不得不防啊。今天為大家介紹幾條防止WiFi網(wǎng)絡(luò)被人借用的招數(shù),希望能為大家提供一些幫助。 先從WiFi的標(biāo)準(zhǔn)談起。WiFi是掌握在美國人手里的一個全球標(biāo)準(zhǔn)。它是一個發(fā)射頻率在2.4GHz的無線傳輸協(xié)議,共有13個頻道。到現(xiàn)在已有802.11a,b,g,n之分,基本都是由最初的11Mb/s傳輸率逐步提高到54Mb/s,108Mb/s甚至300Mb/s。2003年作為我國自主研發(fā)、擁有自主知識產(chǎn)權(quán)的無線局域網(wǎng)安全技術(shù)標(biāo)準(zhǔn)WAPI標(biāo)準(zhǔn)(全名為無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)) 出臺,它與WiFi是兩個不同協(xié)議,最大的區(qū)別是安全加密的技術(shù)不同。出于對互聯(lián)網(wǎng)安全的考慮,我國一直強(qiáng)烈建議推薦WAPI作為一個獨立的國際標(biāo)準(zhǔn)。但這遭到了英特爾等美國公司乃至美國政府的反對。所以盡管2009年6月WAPI首次獲美、英、法等10余個國家成員的一致同意,將以獨立文本形式推進(jìn)為國際標(biāo)準(zhǔn)。但你現(xiàn)在也許對WAPI仍不熟悉,更有近期又暴美國使館不給中國WAPI協(xié)議提議專家發(fā)放簽證使其無法參加在美舉行的國際標(biāo)準(zhǔn)化組織會議的鬧事,且這已經(jīng)不是第一次了(此事充分說明除有些人你傷不起外,有些公司、有些組織也或有些政府你都是傷不起的?。?。當(dāng)然此類事件的發(fā)生也非沒有原由,當(dāng)年工信部為了促成WAPI成為國際標(biāo)準(zhǔn),同樣做出過對所有進(jìn)口手機(jī)產(chǎn)品如果支持WiFi必須刪除,否則就不發(fā)放入網(wǎng)許可證的限制。此事的直接受害者當(dāng)屬Apple,導(dǎo)致iPhone遲遲不能進(jìn)入大陸銷售,以至于一段時間內(nèi)大陸只有水貨iPhone存在的奇異時代出現(xiàn)。后來此限制放寬為原則是這類手機(jī)在有WAPI網(wǎng)絡(luò)時可以使用WAPI接入,而搜索不到WAPI時,則可通過WiFi進(jìn)行無線網(wǎng)絡(luò)接入,但純WiFi手機(jī)仍不能上市??赡艽蠹叶紱]有注意到你手里的行貨iPhone或iPad是支持兩種無線協(xié)議的。 WiFi無線網(wǎng)絡(luò)在給你帶來方便的同時也給你周圍的人帶來方便。因為無線電波一經(jīng)發(fā)射可被誰接收是你無法控制的。在你能順暢接收你的WiFi信號的同時他人也同樣能順暢接收這些信號,當(dāng)然是否能讀懂這些信號則是他的本事了。因此,為了防止他人未經(jīng)許可接入你的WiFi網(wǎng)絡(luò),請你在使用WiFi無線路由器時注意以下幾點: 1.關(guān)閉SSID廣播。 SSID是每一個WiFi網(wǎng)絡(luò)必須要的標(biāo)識或稱名字。如果一臺設(shè)備要接入一個WiFi網(wǎng)絡(luò)首先要知道這個WiFi網(wǎng)絡(luò)的SSID名字才行。關(guān)閉SSID廣播功能就是當(dāng)別人搜索無線網(wǎng)絡(luò)的時候,WiFi路由器不告訴別人它叫什么名字(SSID),這樣在他搜索到的WiFi網(wǎng)絡(luò)中就不會出現(xiàn)你的WiFi網(wǎng)絡(luò)名字(SSID)。如此也就從防止別人知道你的存在來防范盜用的第一步。形象一點說就是當(dāng)別人問“有誰在???”時我們不支聲,只有當(dāng)別人指名道姓的問時才說“我在吶!”。 具體設(shè)置方法是在WiFi無線路由管理頁面進(jìn)行。同時推薦將SSID也改為自己專有的名稱,偷懶使用系統(tǒng)缺省的名稱也不是個良好習(xí)慣。 WiFi無線路由設(shè)置成SSID不廣播后,筆記本在使用Windows配置首選網(wǎng)絡(luò)屬性時要將“即使此網(wǎng)絡(luò)未廣播,也進(jìn)行連接”勾選上。這樣你就可以廣播的不要,悄悄連接的干活。 不進(jìn)行SSID廣播并不能阻止別人獲得你的SSID。因為當(dāng)你的WiFi網(wǎng)絡(luò)上有信息傳輸?shù)臅r候,別人很容易從你們傳輸?shù)男畔⒅械玫絊SID信息。這有點像雖然我不知道你的名字,但當(dāng)你與別人交流對方叫過你名字以后我就能知道你名字一樣。 要防范SSID泄露那就得把WiFi網(wǎng)絡(luò)中的傳輸內(nèi)容加密。這有點像要防止別人偷聽你們的談話,那就把談話內(nèi)容進(jìn)行加密一樣。這就是下一招:WEP/WPA/WPA2加密。 2.設(shè)置WEP/WPA/WPA2加密。 WEP/WPA/WPA2加密是將WiFi網(wǎng)絡(luò)內(nèi)的無線傳輸內(nèi)容進(jìn)行加密。加密的方式有WEP、WPA和WPA2以及選擇不同的密鑰長度(64位或128位)。當(dāng)然WPA2的安全性要好于WPA,WPA的安全性優(yōu)于WEP,加密密鑰的長度越長安全性越好。 使用WEP/WPA/WPA2需要在無線路由器和筆記本兩端同時設(shè)置,并且雙方的加密方式、密鑰長度和密鑰必須完全一致。否則筆記本是不能正常進(jìn)入這個WiFi網(wǎng)絡(luò)。 理論上這些加密方式只要通過足夠多的信息搜集和嘗試數(shù)次來進(jìn)行相應(yīng)的破譯?,F(xiàn)在計算機(jī)的運行速度越來越快,這個破譯的時間就越來越短。通常對WEP的破譯時間已經(jīng)縮短到數(shù)分鐘就能解決戰(zhàn)斗,只有WAP/WAP2更困難些,需要用到密碼字典進(jìn)行嘗試破解。所以如果你使用的密碼比較簡單就很容易被人攻破。因此僅用此招也是不能完美的防范蹭網(wǎng),下面一招就應(yīng)運而生:限制接入的MAC地址。 3.限制接入MAC地址。 每一個有線或無線網(wǎng)卡都有一個物理標(biāo)識稱為MAC地址。這個地址是網(wǎng)絡(luò)協(xié)議中最底層需要的信息。在WiFi網(wǎng)絡(luò)配置中有一項功能是MAC地址過濾,它可以指定某些MAC地址是允許或拒絕接入網(wǎng)絡(luò)。這樣當(dāng)別人知道你的SSID和WEP加密密鑰,但他機(jī)器網(wǎng)卡的MAC地址不在你WiFi網(wǎng)絡(luò)的允許列表中,那么他仍然不能接入你的WiFi網(wǎng)絡(luò)。 也許大家要問如何獲得筆記本無線網(wǎng)卡的MAC地址?這里介紹兩種方法:其一,翻轉(zhuǎn)看你筆記本的底部,通常會有一張小標(biāo)簽寫明無線網(wǎng)卡的MAC地址,如果這張標(biāo)簽已經(jīng)磨損看不清楚可以使用后面的方法;其二,先將WiFi路由器禁用無線MAC地址過濾,此時將筆記本登入WiFi網(wǎng)絡(luò),再在WiFi網(wǎng)絡(luò)管理頁面中點擊無線客戶端MAC地址列表就能看到所有登錄筆記本的MAC地址,逐一將這些MAC地址填入過濾列表再啟用MAC地址過濾即可。 當(dāng)然破解MAC地址過濾的方法仍然存在。具體就是MAC地址克隆,即別人查到你允許接入的MAC地址后用克隆這個MAC地址的方法來接入你的WiFi網(wǎng)絡(luò)。 4.取消DHCP。 DHCP是IP地址自動分配的功能。如果取消這個功能,一臺機(jī)器要接入你的WiFi網(wǎng)絡(luò)那他就必須知道如何配置相應(yīng)的IP和網(wǎng)關(guān)地址。通常家用無線路由器的缺省網(wǎng)段地址是:192.168.1.*,網(wǎng)關(guān)為:192.168.1.1,只要不使用無線路由的這個缺省IP地址段和網(wǎng)關(guān),別人需要知道這些數(shù)據(jù)也是要花費一些功夫的。當(dāng)然這樣同時也會給你自己的使用帶來一些不方便,特別是你經(jīng)常在公司和家里使用同一臺電腦時尤為不便。這個方法可算是殺敵一千自損八百的招數(shù)。試想換一個WiFi網(wǎng)絡(luò)就要重新配一次IP是多么的痛苦。并且通過監(jiān)聽這個網(wǎng)絡(luò)中的傳輸信息其IP地址和網(wǎng)關(guān)地址都是很容易被別人知道的。所以,這一條不作推薦。 5.降低發(fā)射功率。 通常802.11x標(biāo)準(zhǔn)的無線發(fā)射功率規(guī)定小于100mW。這個功率在沒有遮擋的情況可以達(dá)到理論100米左右。但在現(xiàn)如今家庭條件下使用,通常有樓房墻體的鋼筋混凝土進(jìn)行阻擋屏蔽實際使用距離會縮短很多。這個縮短是壞事也是好事,讓別人接收不到這個無線信號比前面的各種防范都要有效。所以在家使用WiFi網(wǎng)絡(luò)時,在保證自己接收信號不受影響的情況下,發(fā)射功率越小越好。有些無線路由器是可以選擇發(fā)射功率的標(biāo)準(zhǔn)、中等、低等級,你可以根據(jù)自己的環(huán)境情況進(jìn)行選擇。 當(dāng)然這一招的破解方法就是提高無線網(wǎng)卡對弱信號的接收能力和加大自身的發(fā)射功率。其中以使用高增益的天線比較有效,此法投入小、見效快。目前市面上的所謂卡皇、卡王盡皆不過是如此罷了,君不見網(wǎng)絡(luò)上頻現(xiàn)有達(dá)人以易拉罐、鋁鍋蓋用來做天線以提高其發(fā)射接收性能的。 6.管理員密碼修改。 以上WiFi無線路由器的配置都是通過路由器管理界面來實現(xiàn)。目前主流WiFi路由器管理地址為:192.168.1.1(少數(shù)便攜路由為:192.168.1.253),管理員用戶名為:admin,缺省密碼為:admin(少數(shù)使用password)。顯然這樣盡人皆知用戶名和密碼是不安全的。通常用戶名改不了(部份高端機(jī)器可以更改),而這個缺省密碼一定要更改掉,否則局域網(wǎng)內(nèi)的任何一臺電腦都可以輕易更改路由配置。這樣輕則造成路由器配置混亂影響上網(wǎng)速度,重則造成路由無法連接外網(wǎng)或被別人遠(yuǎn)程控制。上面講過的各種辦法在此面前就都可以變成是徒勞的了?,F(xiàn)在已經(jīng)出現(xiàn)有病毒盯上這塊漏洞!病毒通過獲得路由管理員權(quán)限,修改路由器的DNS將其指向病毒提供的DNS,然后你網(wǎng)里的電腦就不管上任何網(wǎng)站都會經(jīng)常跑出奇異的廣告和火辣的畫面,這時會讓普通用戶百思不得騎姐的哈。如果僅僅這樣的破壞也不算太嚴(yán)重,如果將你引向釣魚網(wǎng)站,竊取你的帳戶信息(像網(wǎng)銀帳戶或淘寶帳戶等)那損失就不好估量。
綜上分析,相對安全也不失方便的做法是首先將SSID取一個自己特有的名字,關(guān)閉SSID廣播,選擇WPA2加密,且只允許指定的MAC地址接入,把發(fā)射功率降到不影響自己傳輸效率的最小,更改路由管理員用戶缺省密碼。但大家看到其中的每一個防范措施都有相應(yīng)的破解方法存在,真是應(yīng)驗?zāi)蔷淅显挘旱栏咭怀吣Ц咭徽?。因此所有這些措施對于IT高手來說都不是障礙。限于WiFi的先天缺陷,真正要完全防止泄密蹭網(wǎng)的唯一辦法就是關(guān)閉無線功能。目前有些WiFi路由具有無線定時開關(guān)功能,你可以自己設(shè)定什么時間開或關(guān)無線路由功能。只在需要使用WiFi設(shè)備時才開啟WiFi路由也是一個良好的習(xí)慣,充分利用好這個無線自動開關(guān)也是預(yù)防被蹭的好措施。也許只有這個措施暫還沒有很好的方法來破解,因為現(xiàn)今的WiFi無線路由器還沒有先進(jìn)到可以進(jìn)行遙控開關(guān)無線功能的地步。 以上所有介紹的方法都是功力有限,希望大家把這些手段作為防君子不防小人的招數(shù)來使,只要能防住一些君子也是俺的心愿所在。 本文是在去鄭州出差的火車上完成。題目原是思考了很久,這次來回10小時車程坐著實在沒事,便有機(jī)會寫下這些文字供你參考!
78621 2011年7月6日于動車D135、D122 2014年7月6日修訂 |
|