本帖最后由 hcl 于 2011-8-16 23:06 编辑
　　原文链接：超时空传送
只要你用着无线路由器就有被蹭网的风险，被人蹭网事小，但别有用心的人要是窥视内网设备中的资料呢?尤其是我们的隐私呢?于是我们需学会如何施展铜墙铁壁防御蹭网者的破解。
　　
　　1.管理账号
　　路由器买回来后第一件事情当然是登录路由后台管理进行一系列的安全设置了。
　　大部分路由器的默认账号为admin，密码为admin或123456，而后台管理掌管着路由器的任何权限，能随意查看加密方式和连接密码。
　　这意味着如果使用默认账号和密码是一件非常危险的事情，只要让入侵者成功登录管理账号，再强大的加密方式都形同虚设，你的安全策略将会一览无遗，包括无线密码也是可视的。
　　登录管理后台是可以不需要正确的连接密码即可登录，入侵者只需要知道后台账号、密码、路由IP就足够了。
　　所以我们第一件安全措施就是建立新的后台管理账号，然后删除默认的admin账号。
　　建议账号密码越长越好，而且采用大小写及数字混合，最好是随机的，不带任何中英文含义。
　　这是为了避免入侵者采用密码字典的方式进行破解。
　　所谓密码字典就是收集了用户各种常用密码规律(例如：生日、名字、组织)的密码库，通过各种组合来尝试登录。如密码是随机无含义的话，密码字典将会失效。
　　而暴力破解(逐个字符组合)由于运算量极其庞大，他对于有足够长度的密码需要耗费非常持久的时间，没有一个入侵者愿意这样破管理密码。
　　修改并保存后会需要重新登录，由于密码和账号都太复杂，那可以把记住账号密码打钩。方便以后管理。
　　完成了这一步，我们算了建起了安全基石了。
　　2.SSID
　　要想让入侵者不打你的主意，最简单直接的方法当然是“潜水”。
　　进入无线设置-基本设置
　　我们可以把SSID广播关闭掉，这样做任何人都无法通过网卡自带的驱动搜索得到你的SSID。
　　建议别用默认的SSID名字，一方面会向入侵者暴露自己的品牌甚至型号，例如我的腾达路由默认SSID为tenda。
　　频道方面要选择一个固定的频道，而不是默认的自动，这是为了方便隐藏SSID后的兼容性问题。
　　以后户要连接路由器的话，需要到无线网卡上正确输入SSID及其频道，才能正确连接路由器，可以防御到菜鸟级的蹭网者。
　　3.加密
　　不过入侵者可不会那么简单就罢休的。
　　他们可以利用第三方驱动或软件获得隐藏SSID的名称、频道、加密方式等必备信息。
　　这意味着“潜水”也只是一时半刻的小伎俩，我们必须要使出真功夫!!首先从加密入手。
　　进入无线设置-安全设置
　　先要选择加密模式，一般就有WEP、WPA、WPA2三种。WEP破解非常简单，不要使用这种加密。
　　推荐选择WPA2-PSK或者WPA—PSK，，用WPA兼容性更高。例如一些较旧的网卡只能支持WPA，而手机wifi也是部分不支持WPA2的。
　　选择了WPA或者WPA2之后，算法必须要选择AES模式，因为TKIP模式还是可以被BT破解的。
　　密码设定最长可以达到21位，按照前面建议的字母+数字+大小写混合+无语言含义这几个要素合在一起的话，一年内是破不了的。
　　如果能够几个月换一次密码，那简直是完美的。
　　现在我们要如何正确连接加密后的无线路由呢?
　　进入windows的控制面板-网络和internet-管理无线网络-添加
　　选择手动配置，并如图正确填入与之前设置相符的选项。
　　“即使网络未进行广播也连接”必须勾上，这是用来连接隐藏的SSID
　　4.MAC过滤
　　俗话百密还有一疏，我们很难预料科技的进步能为破解密码带来什么便利。因此还是不能彻底排除密码被破解的可能性。
　　所以给路由在上几道“锁”才能挡得住入侵者。
　　每一个网络设备(包括：网卡、路由、猫等等)都有一个MAC地址。
　　MAC又称物理地址，一般每个设备的MAC都是独一无二的，是常用的唯一识别方式，就好比每个人都有一张身份证一样。
　　这样我们可以通过MAC过滤要求路由器只允许某个MAC连接，或者拒绝某些MAC连接
　　进入无线设置-无线访问控制
　　过滤规则选择允许的话，意味着只有列表中的MAC地址是允许访问，其他都是禁止访问的。
　　如果只是想禁止特定MAC，那样过滤规则选择禁止。并在列表添加禁止的MAC
　　如何知道自己网卡的MAC?
　　只要打开无线网卡，并点击详细信息就知道自己的MAC了
　　5.流量限制
　　前面的MAC过滤只对无线网络起作用，如果还存在有线蹭网的风险的话。可以使用流量控制的方式，使对方失去蹭网的意义。
　　不过并非所有路由器都有这个功能。
　　首先需要进行IP-MAC绑定。
　　进入DHCP列表与绑定，输入合法用户的MAC，及需要绑定的IP地址，进行添加
　　如图我把自己的IP绑定为192.168.0.123那么以后我连接路由器的IP都是固定为这个了。
　　然后进入带宽控制。
　　如图我把192.168.0.2~122 & 124~254的IP全部列入限制范围，限制为1K的带宽，都别想上网了。
　　意思我是，我把除了自己的IP，别的都列入限制范围。
　　这么一套规则下来，会难到不少入侵者。
　　6.手动IP
　　不过这种利用MAC作为基础的方法并非完美。
　　路由器可以有克隆MAC功能，网卡同理也能实现“MAC克隆”
　　通过一些第三方软件，入侵者可是可以随意改写自己的MAC，并且他们也能很轻松知道合法用户的MAC。
　　这意味着他可以伪装成合法用户，冒充合法用户的MAC。
　　当然，MAC作为唯一识别记号的存在。电脑是不允许在一个内网里出现两个相同MAC及IP的。
　　当对方冒充MAC进行连接，而合法用户也在连接中，那就会出现地址冲突错误，双方都会被挤下线。
　　当出现地址冲突的时候就证明MAC规则已经阻挡不了入侵者了。我们需要更高明的手段。
　　跟入侵者玩玩“**”。
　　所有路由上的DHCP功能是默认开启的，其作用是自动分配IP给每个用户，避免冲突和免去用户手动设定IP的麻烦。
　　假如我们把DHCP功能关闭，并且修改为一个没人知道以及难以预料的IP地址呢?这就意味着入侵者只能猜IP，手动一个个碰。
　　即使密码有了，也没用，IP错误就无法上网，也不能连接内网里面任何一样共享设备。
　　首先设置路由器IP地址，进入高级设置-LAN口设置。
　　一般默认192.168.1(0).1(0)，我们改一个诸如174.193.77.88，反正就是不合常规的，让你猜，怎么猜。
　　想一下1-255.1-255.1-255.1-255可以有多少个组合呢?约等于2的32次方那么多个组合。
　　不过一些SOHO路由是锁定了前两位，只能改变后两位，就是锁定为192.168.*.*，即便是这样我们依旧有2的16次方那么多的组合。
　　从现在开始，我们登录后台用的IP不在是192.168.0.1而是新设置的174.193.77.88。
　　然后进入DHCP服务设置，去掉DHCP服务器的勾，表示不启动DHCP。这意味着路由器将不支持自动分配IP地址，而是必须手动输入。
　　把IP连接池的范围给缩小下，比方说如图我是44~46.这表示只有3个IP是合法的，别人一定要猜对合法的IP才能上网
　　顺带我也把自己的IP-MAC绑定为174.193.77.44
　　接着要手动给网卡重新设置IP了。
　　进入打开网卡单击属性，如图选择Internet协议，单击属性
　　如图第一项为网卡IP，填刚才绑定的IP
　　第二项填255.255.255.0
　　网关填路由IP：174.193.77.88
　　而DNS也是填路由IP
　　确定后关闭就设置成功了，这样就能正确连接路由器并上网。
　　至此，需要无线连接这一个路由器并成功上网的话，需要满足如下条件：
　　无线密码正确(破解理论需要1年以上)
　　MAC地址正确
　　路由IP地址正确
　　网卡IP地址正确
　　这样已经不是高难度这么回事了，而是有没有人愿意去破解的问题了
　　7.弱化信号
　　如果以上都无法阻拦个别极其富有斗志和挑战意识的入侵者的话，还能通过物理手段让敌人彻底失败。
　　原理很简单，如果收不到信号就肯定不能蹭网。
　　有些路由器上是有无线功率调节选项的(TX功率)。他们默认都是100%全功率使用的。
　　进入无线设置-高级设置进行修改
　　有些路由是以百分比来调节的，参数为1-100，有些则是按实际功率数设置。
　　我们通过降低这个参数以降低功率，从而无线覆盖面积就随之缩小了。
　　我们把这个覆盖范围缩小到只覆盖自家房子就足够了，别人在外面想怎么蹭都蹭不到了。
　　比方说我这个50多平米的房子，用的是一款最便宜的(50几元)腾达路由，其覆盖范围是远远超出房子的区域的。
　　最终调节到35%，能够穿1墙1柱达4米距离，获得满格54M信号。如果调30%就是满格36M，这样信号范围就基本限制在自家里面了。
　　现在还有谁能破我的路由呢?
　　另外由此看出，没有特殊需要的用户，是不需要最求高强信号的路由的，一般100元以内的路由信号已经很够用了。
　　反倒覆盖范围过大、性能过剩的路由会带来跟多不必要的麻烦。
　　不过以上效果是使用带外置天线的网卡，用那个40块钱U盘形的网卡，在40%就连不上了，只能在70%的时候保持3~4格浮动。
　　很多时候家庭无线网络信号不好的成因，路由因素现在都不多了，多为网卡惹的祸。
　　外置天线和内置天线的网卡可是天壤之别，所以奉劝各位别盲目去购买路由，先从网卡下手效果更好。
　　怎么样，还会担心被蹭网了吗?