淺析小型無(wú)線路由防蹭網(wǎng)的五階安全防御

摘 要：家庭無(wú)線路由普及使用，不再受電源和信息接口位置的限制，高質(zhì)量安全地應(yīng)用深受信任，然而隨技術(shù)的進(jìn)一步拓延，無(wú)線網(wǎng)絡(luò)蹭網(wǎng)設(shè)備及軟件肆無(wú)忌憚，讓我們的網(wǎng)速慢如“蝸牛”。我們運(yùn)用現(xiàn)有設(shè)備功能從技術(shù)上可以輕松實(shí)現(xiàn)防范，讓“刺猬”豎起“刺盾”，暢快上網(wǎng)，何樂(lè)而不為？

關(guān)鍵詞：網(wǎng)絡(luò)安全；無(wú)線防御；防蹭網(wǎng)；無(wú)線路由

家用無(wú)線路由一般都是Fast，TP-LINK，D-LINK，Muercury，Tenda等150Mbps甚至300Mbps的產(chǎn)品，普遍都有無(wú)線廣播功能以及wap2-psk防御等功能，流行的蹭網(wǎng)卡均能夠針對(duì)性破解，防蹭網(wǎng)重在意識(shí)防范和策略規(guī)劃，往往越基礎(chǔ)的方法越見(jiàn)效，下面淺析出來(lái)供大家指正。

一階防御，登陸防御。從登陸起要能夠防御大多數(shù)的未知來(lái)客，首先必須登陸默認(rèn)IP：192.168.1.1（高級(jí)設(shè)備是192.168.0.1）并且通過(guò)默認(rèn)賬號(hào)密碼Admin，登錄web控制臺(tái)對(duì)所用的無(wú)線路由進(jìn)行配置和調(diào)控。此時(shí)默認(rèn)開(kāi)啟DHCP功能自動(dòng)分配內(nèi)網(wǎng)IP（192.168.1.100至199），未開(kāi)啟無(wú)線安全！所以任何人都可以在此無(wú)線網(wǎng)絡(luò)范圍內(nèi)登錄管理平臺(tái)，我們的整個(gè)“l(fā)an”毫無(wú)保留的展現(xiàn)在陌生人面前，嚴(yán)重威脅安全。

解決之道：登陸管理平臺(tái)“網(wǎng)絡(luò)參數(shù)——lan口設(shè)置”中IP地址改為192.168.（2-254）.1中某個(gè)如：192.168.123.1，且不要改動(dòng)192.168的保留地址，重啟路由器后維持局域網(wǎng)運(yùn)行，此時(shí)DHCP自動(dòng)完成分配區(qū)域的變動(dòng)如：192.168.123.100至199，同時(shí)可以有效避免在網(wǎng)絡(luò)中的其他Wlan沖突。

一般用戶(hù)認(rèn)可的安全措施是修改登陸用戶(hù)名和登錄口令，可以在登陸管理平臺(tái)后確認(rèn)14字符的新用戶(hù)名和新口令。進(jìn)一步加強(qiáng)管理平臺(tái)的安全防范遠(yuǎn)端未許可用戶(hù)登陸。

深入防御需要初步了解網(wǎng)絡(luò)IP劃分的原則，運(yùn)用子網(wǎng)掩碼限制進(jìn)一步限定有效IP范圍。但由于DHCP功能的自動(dòng)開(kāi)啟，在沒(méi)有無(wú)線防御和密鑰設(shè)定時(shí)，各種網(wǎng)絡(luò)嗅探命令軟件均能協(xié)助初學(xué)者獲得有效的登陸IP和子網(wǎng)掩碼，直接進(jìn)入內(nèi)網(wǎng)，毫無(wú)安全可言！該步驟利于在權(quán)限爭(zhēng)奪戰(zhàn)中絕對(duì)優(yōu)先登陸。

二階防御，封閉防御。防無(wú)線蹭網(wǎng)先要防無(wú)線資源，防無(wú)線資源先要防頻道資源和IP資源。消失隱身，如封似閉就是我們的原則。在Wlan上有兩個(gè)有效信息使之登陸網(wǎng)絡(luò)，一個(gè)是通過(guò)廣播方式獲取的SSID；另一個(gè)是通過(guò)DHCP分配所得的IP及子網(wǎng)掩碼。對(duì)付普通蹭網(wǎng)者只要斷掉無(wú)線廣播和DHCP自動(dòng)分配。

解決之道：登陸后臺(tái)，關(guān)閉“開(kāi)啟SSID廣播”，選擇“不啟用”“DHCP服務(wù)”，不廣播，即使是曾經(jīng)的內(nèi)網(wǎng)用戶(hù)也會(huì)出現(xiàn)SSID的測(cè)變，斷開(kāi)登陸。必須在系統(tǒng)上配置：“即使此網(wǎng)絡(luò)未廣播也進(jìn)行連接”搭配上“當(dāng)此網(wǎng)絡(luò)在此區(qū)域內(nèi)時(shí)連接”才能自行獲得SSID資源。

深入防御即需SSID號(hào)的同步變更，以及系統(tǒng)中SSID的手動(dòng)添加！如改成：CMCC-EDU2。“隱形”開(kāi)啟，讓捕獲射的頻蹭網(wǎng)卡，無(wú)從下手。

三階防御，密碼防御，常用的防御有：一鍵式WPS和無(wú)線網(wǎng)絡(luò)使用WPA-PSK/WPA2-PSK防御。

美國(guó)Stefan Viehbock所發(fā)現(xiàn)的WPS驚人漏洞，通過(guò)2小時(shí)即可暴力破解PIN碼的8位數(shù)字，老式wep防御更形同虛設(shè)。真正有效的WPA2（AES）下復(fù)雜密碼設(shè)置。目前最廣為使用的就是WPA-PSK（TKIP）和WPA2-PSK（AES）兩種加密模式，盡管符合IEEE 802.11i標(biāo)準(zhǔn)，黑客滲透窺探強(qiáng)制破解仍屢見(jiàn)不鮮。

解決之道：WPA2-PSK（AES）加密下深化防御，該模式允許設(shè)置8-63個(gè)ACSII碼字符或8-64個(gè)十六進(jìn)制字符的密碼，按照七天變更一次的約定，當(dāng)設(shè)置16位以上強(qiáng)密碼時(shí)，蹭網(wǎng)卡軟件的破解或可變成無(wú)限長(zhǎng)。

深入防御需進(jìn)一步加強(qiáng)系統(tǒng)安全，防ping定時(shí)清理本機(jī)注冊(cè)信息尤為重要。大多黑客透過(guò)電腦網(wǎng)絡(luò)中的密碼來(lái)登陸路由，針對(duì)帶系統(tǒng)WiFi的手機(jī)，亦可破解截獲密碼。

四階防御，物理防御。密碼設(shè)置往往是習(xí)慣性，甚至友善借網(wǎng)，導(dǎo)致密碼不可控。斷網(wǎng)線屬于飲鴆止渴，蹭網(wǎng)卡的破解多靠魚(yú)目混珠，從管理難度上制造漏洞！要解決允許與不允許的有效控制。

解決之道：針對(duì)技術(shù)入侵我們絕殺利器就是“拿著”路由器。一次root斷掉全部連接；一次reset恢復(fù)出廠配置。絕對(duì)先決先手！不上Intel可以開(kāi)啟AP隔離；聯(lián)外網(wǎng)，可以配置無(wú)線MAC值過(guò)濾，更嚴(yán)格開(kāi)啟ARP防御IP與MAC值綁定！從而使應(yīng)變管理有效化。

深入防御，必須有效防范ARP攻擊，才能保障正確的IP與MAC的綁定。

五階防御，擴(kuò)展防御。技術(shù)延伸，為大范圍并網(wǎng)眾多達(dá)人開(kāi)啟WDS功能，默許轉(zhuǎn)發(fā)。該方式允許任何人直接登陸路由，同時(shí)路由器或AP犧牲掉大量資源，所謂“從一頭老牛拉破車(chē)變成一堆老牛拉破車(chē)”。

解決之道：關(guān)閉WDS并網(wǎng)，拒絕UMZ轉(zhuǎn)發(fā)，拒絕小型路由提供無(wú)托管代理服務(wù)，防止淪為黑客的“肉雞”。開(kāi)啟安全遠(yuǎn)端WEB管理，指定端口，以及指定IP，僅且僅有固定主機(jī)可以管理路由，閉門(mén)掃“客”。

深入防御，小型路由防火有效抑制測(cè)試攻擊，DoS防范，ICMP以及UDP的FLOOD過(guò)濾，TCP-SYN FLOOD過(guò)濾，以及局域網(wǎng)內(nèi)防ping。武裝成“刺盾”利大于弊。

五階防御，由普泛至專(zhuān)業(yè)，以期為我們工作學(xué)習(xí)帶來(lái)便利，奉行“簡(jiǎn)單即好用”的素養(yǎng)原則，針對(duì)具體場(chǎng)景選用適合的防御體系更具實(shí)踐價(jià)值。

[參考文獻(xiàn)]

[1]白瑜.《家庭無(wú)線網(wǎng)絡(luò)的安全構(gòu)建》.計(jì)算機(jī)關(guān)盤(pán)軟件與應(yīng)用.2011.24.

[2]楊綺玲.《無(wú)線網(wǎng)絡(luò)安全防護(hù)探索》.交流平臺(tái).2011.6.

[3]張虎.《無(wú)線網(wǎng)絡(luò)的WEP和WPA》.軟件導(dǎo)刊.2012.11-9.

[4]鄧明.《蹭網(wǎng)升級(jí)防蹭也要升級(jí)》.電腦愛(ài)好者.2011.01.

[5]《如何對(duì)付WiFi無(wú)線蹭網(wǎng)》.ZDnet網(wǎng)絡(luò)與信息.2010.8.