关于无线路由防盗的方法

虽然本人不是什么高手，但是，我还是要说，某些伪大师真是害人，居然告诉别人只要路由器设置MAC地址过滤就行了，居然讲什么路由器密码和无线密码都不要设置，这个，我真的是没话说。谁不信这个邪的我可以当场测试给他看，一个光光设置了MAC地址过滤的无线路由，只要有机器连在上面，我抓个包立马就能知道连接者的MAC，接下来，仿冒一下MAC也就是举手之劳，获得了合法MAC之后……往后的事情，明眼人一看就懂了，还用我说吗？只设置了MAC过滤的无线路由，不设置登陆密码，我直接能改你的设置。

好了，言归正传。

首先我们要明白一点，蹭网软件的扫描功能第一步就是扫到你的无线SSID，也就是我们平常所说的无线广播号，第二步就是扫到这个SSID下连接的机器，而其扫描到的机器就是一个个的MAC地址，到了这一步，如果你的无线路由器完全不加密，而只设置了MAC地址过滤，那他完全可以仿冒你目前已经连接的MAC来上网，改个MAC这么简单的事情，不用我来教了吧？所以如果只MAC过滤而不加密，那么对方几乎可以对你的无线路由器进行秒破！

那么什么才是比较合适的防止被蹭网的安全设置方法呢？

1、SSID隐藏

其实隐藏了SSID照样也能被穷举扫描到，不过，稍微费点时间而已。但我们的目的就是要尽量给蹭网者找点麻烦拖延点他们的时间，不是么？

2、路由器登陆界面的用户名和密码都换掉

用户名不要用路由器默认的admin，user之类的，这样做主要是防止对方穷举破解你的路由器管理界面密码，你把用户名也改了，对方至少还多了一步猜用户名的过程，如果你用默认的用户名，对方就可以直接穷举你的密码。登陆密码要设置的复杂些，尽量复杂些，反正谁没事老去登陆管理界面啊。这么做是为了防止对方连上你无线后还无耻的改你路由器设置。

3、无线采用WPA2加密

理论上讲，WPA类加密可以使用任何字符作为密码，如果一个蹭网者用穷举法破解你的WPA类密码，而且只是一个5位长度的密码，那么，根据现在的破解速度，一般峰值就在300000个密码/S的速度，把5位的仅仅用英文和数字的WPA密码都穷举一遍，根据计算，大概需要50~~160小时，也就是需要2~~7天，你有这个耐心吗？而且这还只是5位的密码，如果再加上标点，再区分英文大小写，再加长位数……这个破解时间是几何级增长的。

有人和我说，那我家的WEP加密是10位的呢，为什么还不安全？

我们需要明确一点，WEP加密已经不行了，这玩艺太容易破了，你想想看，WEP目前常用的有两个精度，一个是64Bit，一个是128Bit，我周围貌似没人愿意用128Bit的WEP加密，128Bit加密速度慢不说，而且出来的十六进制密码太长太不好记忆了。而64Bti的么，呵呵，一个10位的十六进制密码，而且是大小写通用的，关键字只涉及到0123456789和ABCDEF这几个字符，有点数学基础的人都知道，16个字符，任意抽取，组成可重复字符的10位密码，总共才多少种排列组合？现在的机器的计算性能，20分钟之内破不掉64Bit的WEP加密那就是笑话了。

所以一定要用WPA2加密，并且用复杂不规则的长密码。什么叫复杂长密码？我的理解就是英文数字加标点并且夹杂大小写，长度在10位以上，最重要的一点是，密码必须是毫无意义的。你搞个电话号码或者生日或者名字什么的，只要了解你的人，这种密码一下子就被破解掉了。

其实我是用30位密码的，不过，应该没多少人和我一样变态吧？再说，太长了不好记对吧。10位的英文数字加标点夹杂大小写的不规则密码，如果要穷举，以现在的机器运算速度，也费不少时间了，其实一个这样的密码按照现在个人电脑的运算速度，穷举破解需要一万多年。切记，WPA2加密是区分大小写的，所以，密码里面一定要记得夹杂一下大小写，这样的话，凭空把关键字中的26个英文字母扩展到了52个……穷举破解最怕的就是关键字增加了，呵呵，让蹭网的慢慢穷举吧。

当然，用WPA2加密也不是完全安全的。理论上讲，现在可以通过WPA-PSK Hash Tables来快速破解WPA/WPA2的密码，其实WPA-PSK Hash Tables是个密码表，里面含有N多黑客收集的常用密码，很多大家觉得没人知道的密码，这个表里面都会收集到。不过这个表目前貌似已经有50G那么大了，就算是简化版的也有3G大小，3G大小的那个是可以免费下载的版本，但是不适合中国国情，因为中国没多少人叫ANDY，TOMMY之类的吧？如果你愿意花钱去买那个50G的完全版本，那我佩服你。哥们，蹭个网，你至于吗，有这钱不能自己去拉根网线？

4、设置MAC地址过滤

这个显而易见，只允许特定的MAC上网，其余MAC不给访问网络。虽然说MAC容易伪装，但是多一道防护，总归给蹭网者多一个麻烦。

5、关闭路由器的DHCP服务

关闭了DHCP服务，你自己的机器也得使用手动配置IP地址的功能，因为如果你设置自动获取IP地址，你自己也没法获得IP和网关以及DNS的。为什么要关这个呢？呵呵，关闭了DHCP服务，就算蹭网的终于破解了无线密码，连上了路由器，结果发现得不到IP地址，于是他还得手动设置IP。且慢，你会手动设置IP，我就不会改IP段么？

6、把路由器Lan的网段改的奇怪些。

一般家用路由器都使用192.168.0.0/24或者192.168.1.0/24或者10.0.0.0/24这三个IP段。我们可以把它改成192.168.X.0/24或者10.0.X.0/24。倒数第二段不要用常用数字0和1，而是用别的不常用的数字,比如4啊7啊38啊84啊之类的，具体用哪个数字，那就看个人喜好了。

7、把路由器的Lan口地址也改了

一般路由器Lan口地址都是Lan子网的第一个IP，比如一个子网是192.168.1.0/24的子网，路由器Lan口会使用192.168.0.1这个IP，而这个IP在家用路由上通常会担任网关和DNS的职责。我们要做的就是把这个IP也改掉，改最后一位即可。比如X.X.X.48，X.X.X.74之类的。这样，相应的，你机器的网关也得设置成这个地址，DNS也可以设置成这个地址（如果你的路由器有DNS缓存功能的话），或者DNS直接设置成运营商给你的DNS地址。

好了，到此，无线安全设置完毕。我们来试想一下如下的经典蹭网场景：

蹭网者先是很难发现你的无线信号，当他终于通过穷举扫描找到了你的SSID之后，还得破解你的复杂密码，就算他手头有个50G的Tables，这里面也不见得真有你的密码。好吧，即使这个蹭网者真的把你密码给破了，他还得伪装MAC地址，等他伪装完MAC之后，又发现没有办法通过DHCP来获得IP和网关以及DNS配置。怎么办？还得自己配置。那么自己配置的话，通常都会采用最常用的192.168.0.0/24、192.168.1.0/24和10.0.0.0/24的IP段，也通常会采用最常用的192.168.0.1、192.168.1.1以及10.0.0.1这三个网关地址。结果蹭网者发现这样配置还是不能上网。好了，如果他有兴趣，可以继续一个一个IP段的尝试，他能否真的碰巧找到你的网段，找到之后能否猜对你的网关地址，这个还是未知数。而且就算他想连接你的路由器管理界面看你的设置，不好意思，IP段不对的话是打不开设置界面的，就算IP段被他猜对了，他还得猜你的网关地址，最后他终于猜到了网关地址了，想要进你路由器设置界面，关闭MAC绑定之类的，却还涉及到破解你路由器的用户名和密码的过程。

好吧，如果这样设置了，还有人能连到你的无线路由蹭你的网络，那么，哥们，你就拉根网线给他用吧，他实在是太强了。