我來分享壹下356X24從未被破解的維珍無線加密方案。
1.管理賬戶
路由器買回來後,第壹件事當然是登錄路由後臺管理,進行壹系列安全設置。
大多數路由器的默認賬號是admin,密碼是admin或者123456。後臺管理負責路由器的任何權限,可以隨意查看加密方式和連接密碼。
這意味著,如果使用默認賬號和密碼是壹件非常危險的事情,只要入侵者成功登錄管理賬號,無論加密手段有多強,妳的安全策略都會壹目了然,包括無線密碼。
登錄管理後臺無需正確的連接密碼即可登錄,入侵者只需知道後臺賬號、密碼和路由IP即可。
所以我們的第壹個安全措施是建立壹個新的後臺管理帳戶,然後刪除默認的admin帳戶。
建議賬號密碼越長越好,而且應該是大小寫字母的混合,最好是隨機的,沒有任何中文或英文含義。
這是為了防止入侵者利用密碼字典進行破解。
所謂密碼字典,就是收集用戶各種常用密碼規則(如生日、姓名、組織),通過各種組合嘗試登錄的密碼庫。如果密碼是隨機的,沒有意義,那麽密碼字典就無效了。
暴力破解(逐字符組合)對於長度足夠的密碼,因為計算量巨大,需要非常長的時間,沒有入侵者願意這樣破解管理密碼。
修改保存後,需要重新登錄。因為密碼和賬號太復雜,可以勾選記住賬號密碼。方便以後管理。
完成了這壹步,我們就建立了安全的基石。
2.服務集標識符(Service Set Identifier的縮寫)
讓入侵者遠離妳的最簡單、最直接的方法當然是“潛水”。
進入無線設置-基本設置
我們可以關閉SSID廣播,這樣就沒人能通過網卡自帶的驅動搜索得到妳的SSID了。
建議不要使用默認的SSID名稱。壹方面會把自己的品牌甚至模式暴露給入侵者。比如我的騰達路由默認SSID是騰達。
在通道方面,我們應該選擇固定通道,而不是默認的自動通道,這是為了方便隱藏SSID後的兼容性問題。
未來用戶要連接路由器,需要在無線網卡上正確輸入SSID及其通道,才能正確連接路由器,可以防止新手上網。
加密
但是入侵者不會那麽容易停下來。
他們可以使用第三方驅動程序或軟件來獲取必要的信息,如隱藏SSID的名稱、通道和加密方法。
這就意味著“潛水”只是壹時的小把戲,必須下真功夫!!從加密開始。
進入無線設置-安全設置
首先,我們必須選擇加密模式。壹般來說,有三種類型:WEP,WPA和WPA2。WEP破解很簡單,不要用這種加密。
建議選擇WPA2-PSK或者WPA-PSK,WPA更兼容。比如壹些比較老的網卡只能支持WPA,手機wifi也部分不支持WPA2。
選擇WPA或WPA2後,算法必須選擇AES模式,因為TKIP模式仍然可以被BT破解。
密碼設置最長可達21位數字。如果把字母+數字+大小寫混合+無語言意義這幾個要素放在壹起,壹年之內破不了。
如果妳能每隔幾個月更換壹次密碼,那就再好不過了。
現在我們如何正確連接加密的無線路由?
轉到windows控制面板-網絡和互聯網-管理無線網絡-添加。
選擇手動配置,如圖所示正確填寫與之前設置匹配的選項。
“即使網絡不廣播也要連接”必須選中,它用於連接隱藏的SSID。
4.MAC過濾
正所謂任重道遠,我們很難預料科技的進步會給破解密碼帶來什麽便利。所以不能完全排除密碼破解的可能。
因此,給路線加了壹些“鎖”來阻止入侵者。
每個網絡設備(包括網卡、路由器、貓等。)有壹個MAC地址。
MAC也稱為物理地址。壹般每個設備的MAC都是唯壹的,是唯壹常用的識別方式,就像每個人都有身份證壹樣。
這樣我們就可以通過MAC過濾要求路由器只允許某個MAC連接或者拒絕某些MAC連接。
進入無線設置-無線訪問控制
如果允許過濾規則,則表示只允許列表中的MAC地址訪問,禁止其他訪問。
如果妳只是想禁止壹個特定的MAC,那麽過濾規則選擇禁止。並將禁售MAC添加到列表中。
如何知道自己網卡的MAC?
只需打開無線網卡,點擊詳細信息,即可了解您的MAC。
5.流量限制
之前的MAC過濾只對無線網絡有效,如果還是有有線網絡摩擦的風險。可以用流量控制讓對方失去上網的意義。
但是,並不是所有的路由器都有這個功能。
首先需要IP-MAC綁定。
輸入DHCP列表和綁定,輸入合法用戶的MAC和要綁定的IP地址,添加即可。
如圖,我把自己的IP綁定到192.168.0 . 123,那麽以後我連接路由器的IP就固定到這個了。
然後進入帶寬控制。
如圖,我把192 5438+068 . 0 . 2 ~ 122 &;124~254的IP全部納入限制範圍,帶寬限制在1K,無法上網。
我的意思是,我限制壹切,除了我自己的IP。
這樣的壹套規則會讓很多入侵者難以下手。
6.手動IP
然而,這種基於MAC的方法並不完美。
路由器可以有克隆MAC的功能,網卡也可以實現“MAC克隆”
通過壹些第三方軟件,入侵者可以隨意改寫自己的MAC,也可以輕易知道合法用戶的MAC。
這意味著他可以冒充合法用戶,冒充合法用戶的MAC。
當然,MAC作為唯壹標識符的存在。電腦不允許在壹個內網有兩個壹模壹樣的MAC和IP。
當對方冒充壹臺MAC連接,合法用戶也連接,就會出現地址沖突錯誤,雙方都會被推下線。
當出現地址沖突時,證明MAC規則無法阻止入侵者。我們需要更好的方法。
和闖入者玩捉迷藏。
所有路由上的DHCP功能都是默認開啟的,它的作用是自動給每個用戶分配IP,避免了沖突,也避免了用戶手動設置IP的麻煩。
如果我們關閉DHCP功能,改成壹個未知不可預知的IP地址會怎麽樣?這意味著入侵者只能猜測IP,手動觸摸。
即使妳有密碼,也沒用。如果妳有壹個IP錯誤,妳就不能上網,也不能連接到內網的任何設備。
首先設置路由器的IP地址,進入高級設置-局域網端口設置。
通常,默認值為192.168.1 (0)。還是改成174.193.77.88之類的吧,反正不落俗套。讓妳猜,妳怎麽猜?
想想1-255.1-255.5438+0-255.438+0-255能有多少種組合?大約等於2的32次方。
但有些SOHO路線鎖定前兩位,只能改後兩位,即鎖定192.5438+068 * *。即便如此,我們仍然有多達2的16次方的組合。
從現在開始,我們登錄後臺使用的IP不是192.168.0.1,而是174.5438+093.77.88。
然後進入DHCP服務設置,去掉DHCP服務器的勾選,表示DHCP不會啟動。這意味著路由器不支持自動分配IP地址,而必須手動輸入。
縮小IP連接池的範圍,比如如圖,我是44~46。這意味著只有三個IP是合法的,其他人必須猜測合法的IP才能上網。
順帶壹提,我還把我的IP-MAC綁定到了174.5438+093.77.44。
然後,您必須手動重置網卡的IP。
打開網卡點擊屬性,如圖,選擇互聯網協議,點擊屬性。
如圖,第壹項是網卡IP,填寫剛綁定的IP。
第二項是255.255.255.0。
網關路由IP: 174.193.77.88。
而且DNS也是路由IP。
確認後就設置成功了,這樣就可以正確連接路由器,上網了。
此時,如果需要無線連接此路由器並成功上網,需要滿足以下條件:
無線密碼正確(破解理論需要1年以上)
MAC地址是正確的
路由IP地址正確。
網卡的IP地址是正確的。
這已經不是什麽難事,而是有沒有人願意破解的問題。
7.減弱信號
如果以上都不能阻止極具積極性和挑戰性的個體入侵者,也可以通過物理手段讓敵人徹底失敗。
原理很簡單,收不到信號,壹定不能蹭網。
壹些路由器具有無線功率調整(TX功率)選項。默認情況下,它們都在100%全功率下使用。
進入無線設置-高級設置進行修改。
部分路由按百分比調整,參數為1-100,部分路由根據實際功率設置。
我們通過降低這個參數來降低功率,這樣無線覆蓋區域就縮小了。
我們把這個覆蓋面縮小到只覆蓋自己的房子就夠了,別人想在外面蹭也蹭不到。
比如我家50多平米的房子,用的是最便宜的騰達路線(50多元),覆蓋範圍遠遠超出房子的面積。
最後調整為35%,可以穿過1墻和1柱4米的距離,得到54M的全網格信號。如果調成30%就36M滿了,那麽信號範圍就基本局限在妳家了。
現在還有誰能斷我的路?
另外,可以看出,沒有特殊需求的用戶並不需要最高強的信號路由。壹般100元以內的路由信號就夠了。
反之,覆蓋面過大、性能過強的線路會帶來不必要的麻煩。
但是,上面的效果是使用帶有外置天線的網卡。用那個40塊錢的U型網卡,40%連不上,70%只能保持3~4格浮動。
很多時候家庭無線網絡信號差的原因和路由因素現在很少,多是網卡造成的。
外置天線和內置天線的網卡相差太遠,所以我勸妳不要盲目購買路線,最好先從網卡入手。
怎麽,妳還擔心被蹭網?