淺析小型無線路由防蹭網(wǎng)的五階安全防御

摘 要：家庭無線路由普及使用，不再受電源和信息接口位置的限制，高質(zhì)量安全地應(yīng)用深受信任，然而隨技術(shù)的進(jìn)一步拓延，無線網(wǎng)絡(luò)蹭網(wǎng)設(shè)備及軟件肆無忌憚，讓我們的網(wǎng)速慢如“蝸牛”。我們運(yùn)用現(xiàn)有設(shè)備功能從技術(shù)上可以輕松實(shí)現(xiàn)防范，讓“刺猬”豎起“刺盾”，暢快上網(wǎng)，何樂而不為？

關(guān)鍵詞：網(wǎng)絡(luò)安全；無線防御；防蹭網(wǎng)；無線路由

家用無線路由一般都是Fast，TP-LINK，D-LINK，Muercury，Tenda等150Mbps甚至300Mbps的產(chǎn)品，普遍都有無線廣播功能以及wap2-psk防御等功能，流行的蹭網(wǎng)卡均能夠針對(duì)性破解，防蹭網(wǎng)重在意識(shí)防范和策略規(guī)劃，往往越基礎(chǔ)的方法越見效，下面淺析出來供大家指正。

一階防御，登陸防御。從登陸起要能夠防御大多數(shù)的未知來客，首先必須登陸默認(rèn)IP：192.168.1.1（高級(jí)設(shè)備是192.168.0.1）并且通過默認(rèn)賬號(hào)密碼Admin，登錄web控制臺(tái)對(duì)所用的無線路由進(jìn)行配置和調(diào)控。此時(shí)默認(rèn)開啟DHCP功能自動(dòng)分配內(nèi)網(wǎng)IP（192.168.1.100至199），未開啟無線安全！所以任何人都可以在此無線網(wǎng)絡(luò)范圍內(nèi)登錄管理平臺(tái)，我們的整個(gè)“l(fā)an”毫無保留的展現(xiàn)在陌生人面前，嚴(yán)重威脅安全。

解決之道：登陸管理平臺(tái)“網(wǎng)絡(luò)參數(shù)——lan口設(shè)置”中IP地址改為192.168.（2-254）.1中某個(gè)如：192.168.123.1，且不要改動(dòng)192.168的保留地址，重啟路由器后維持局域網(wǎng)運(yùn)行，此時(shí)DHCP自動(dòng)完成分配區(qū)域的變動(dòng)如：192.168.123.100至199，同時(shí)可以有效避免在網(wǎng)絡(luò)中的其他Wlan沖突。

一般用戶認(rèn)可的安全措施是修改登陸用戶名和登錄口令，可以在登陸管理平臺(tái)后確認(rèn)14字符的新用戶名和新口令。進(jìn)一步加強(qiáng)管理平臺(tái)的安全防范遠(yuǎn)端未許可用戶登陸。

深入防御需要初步了解網(wǎng)絡(luò)IP劃分的原則，運(yùn)用子網(wǎng)掩碼限制進(jìn)一步限定有效IP范圍。但由于DHCP功能的自動(dòng)開啟，在沒有無線防御和密鑰設(shè)定時(shí)，各種網(wǎng)絡(luò)嗅探命令軟件均能協(xié)助初學(xué)者獲得有效的登陸IP和子網(wǎng)掩碼，直接進(jìn)入內(nèi)網(wǎng)，毫無安全可言！該步驟利于在權(quán)限爭奪戰(zhàn)中絕對(duì)優(yōu)先登陸。

二階防御，封閉防御。防無線蹭網(wǎng)先要防無線資源，防無線資源先要防頻道資源和IP資源。消失隱身，如封似閉就是我們的原則。在Wlan上有兩個(gè)有效信息使之登陸網(wǎng)絡(luò)，一個(gè)是通過廣播方式獲取的SSID；另一個(gè)是通過DHCP分配所得的IP及子網(wǎng)掩碼。對(duì)付普通蹭網(wǎng)者只要斷掉無線廣播和DHCP自動(dòng)分配。

解決之道：登陸后臺(tái)，關(guān)閉“開啟SSID廣播”，選擇“不啟用”“DHCP服務(wù)”，不廣播，即使是曾經(jīng)的內(nèi)網(wǎng)用戶也會(huì)出現(xiàn)SSID的測變，斷開登陸。必須在系統(tǒng)上配置：“即使此網(wǎng)絡(luò)未廣播也進(jìn)行連接”搭配上“當(dāng)此網(wǎng)絡(luò)在此區(qū)域內(nèi)時(shí)連接”才能自行獲得SSID資源。

深入防御即需SSID號(hào)的同步變更，以及系統(tǒng)中SSID的手動(dòng)添加！如改成：CMCC-EDU2?！半[形”開啟，讓捕獲射的頻蹭網(wǎng)卡，無從下手。

三階防御，密碼防御，常用的防御有：一鍵式WPS和無線網(wǎng)絡(luò)使用WPA-PSK/WPA2-PSK防御。

美國Stefan Viehbock所發(fā)現(xiàn)的WPS驚人漏洞，通過2小時(shí)即可暴力破解PIN碼的8位數(shù)字，老式wep防御更形同虛設(shè)。真正有效的WPA2（AES）下復(fù)雜密碼設(shè)置。目前最廣為使用的就是WPA-PSK（TKIP）和WPA2-PSK（AES）兩種加密模式，盡管符合IEEE 802.11i標(biāo)準(zhǔn)，黑客滲透窺探強(qiáng)制破解仍屢見不鮮。

解決之道：WPA2-PSK（AES）加密下深化防御，該模式允許設(shè)置8-63個(gè)ACSII碼字符或8-64個(gè)十六進(jìn)制字符的密碼，按照七天變更一次的約定，當(dāng)設(shè)置16位以上強(qiáng)密碼時(shí)，蹭網(wǎng)卡軟件的破解或可變成無限長。

深入防御需進(jìn)一步加強(qiáng)系統(tǒng)安全，防ping定時(shí)清理本機(jī)注冊(cè)信息尤為重要。大多黑客透過電腦網(wǎng)絡(luò)中的密碼來登陸路由，針對(duì)帶系統(tǒng)WiFi的手機(jī)，亦可破解截獲密碼。

四階防御，物理防御。密碼設(shè)置往往是習(xí)慣性，甚至友善借網(wǎng)，導(dǎo)致密碼不可控。斷網(wǎng)線屬于飲鴆止渴，蹭網(wǎng)卡的破解多靠魚目混珠，從管理難度上制造漏洞！要解決允許與不允許的有效控制。

解決之道：針對(duì)技術(shù)入侵我們絕殺利器就是“拿著”路由器。一次root斷掉全部連接；一次reset恢復(fù)出廠配置。絕對(duì)先決先手！不上Intel可以開啟AP隔離；聯(lián)外網(wǎng)，可以配置無線MAC值過濾，更嚴(yán)格開啟ARP防御IP與MAC值綁定！從而使應(yīng)變管理有效化。

深入防御，必須有效防范ARP攻擊，才能保障正確的IP與MAC的綁定。

五階防御，擴(kuò)展防御。技術(shù)延伸，為大范圍并網(wǎng)眾多達(dá)人開啟WDS功能，默許轉(zhuǎn)發(fā)。該方式允許任何人直接登陸路由，同時(shí)路由器或AP犧牲掉大量資源，所謂“從一頭老牛拉破車變成一堆老牛拉破車”。

解決之道：關(guān)閉WDS并網(wǎng)，拒絕UMZ轉(zhuǎn)發(fā)，拒絕小型路由提供無托管代理服務(wù)，防止淪為黑客的“肉雞”。開啟安全遠(yuǎn)端WEB管理，指定端口，以及指定IP，僅且僅有固定主機(jī)可以管理路由，閉門掃“客”。

深入防御，小型路由防火有效抑制測試攻擊，DoS防范，ICMP以及UDP的FLOOD過濾，TCP-SYN FLOOD過濾，以及局域網(wǎng)內(nèi)防ping。武裝成“刺盾”利大于弊。

五階防御，由普泛至專業(yè)，以期為我們工作學(xué)習(xí)帶來便利，奉行“簡單即好用”的素養(yǎng)原則，針對(duì)具體場景選用適合的防御體系更具實(shí)踐價(jià)值。

[參考文獻(xiàn)]

[1]白瑜.《家庭無線網(wǎng)絡(luò)的安全構(gòu)建》.計(jì)算機(jī)關(guān)盤軟件與應(yīng)用.2011.24.

[2]楊綺玲.《無線網(wǎng)絡(luò)安全防護(hù)探索》.交流平臺(tái).2011.6.

[3]張虎.《無線網(wǎng)絡(luò)的WEP和WPA》.軟件導(dǎo)刊.2012.11-9.

[4]鄧明.《蹭網(wǎng)升級(jí)防蹭也要升級(jí)》.電腦愛好者.2011.01.

[5]《如何對(duì)付WiFi無線蹭網(wǎng)》.ZDnet網(wǎng)絡(luò)與信息.2010.8.