我的无线安全配置总结

    本文主要针对无线安全给出建议,根据我对无线破解的了解程度和维护经验作出的总结,欢迎参考.本文原创，最初发布在http://blog.csdn.net/mhy_mhy，转载请注明来源及作者，欢迎指出错误，给出宝贵意见，我的联系方式：mayc66@gmail.com。

1.设置无线密码。有很多人都不设密码，我没有明白为什么有那么多人愿意为大家免费提供无线网络使用。这样的网络，我一般不会盗用，原因有两点，一是：既然没有密码，肯定使用的人很多，带宽也被瓜分的差不多了。（隔壁公司就是没有密码，经常听到有人叫喊网速慢，有几次我忍不住无线抓包看一下，发现有七个 MAC 正疯狂的吞吐流量，但是据我所知，隔壁的无线网卡好像只有三个啊）二是：有人故意开放无线信号，做蜜罐用，获取他人的 MAC 地址，然后对个人进行入侵，好像这样的高手很少。我曾这么做过的，我没有路由，我用 AD-HOC ，竟然也有人连过来，轻易就看到了他的共享......

 

2.设置强壮密码。有了密码并不是就安全了，经常有人设置简易的密码，经不起猜测，从生日到手机号，什么样的都有，这样的密码完全不用破解，只要懂得社会工程学就能猜出来。我就破解了 N 个手机号了，不过没法打给他，毕竟有一位没有啊。（手机号是十一位，无线密码只要十位）还要要经常修改无线密码。我也破解过很多高难度的密码，我以为只是“短线玩玩”，没想到他从来不换密码，直接给我“长期持有”了，而且信号很有“爆发力”。

 

3.MAC地址过滤。如果嫌设置密码麻烦的话，可以只过滤 MAC ，只有已知的MAC才能访问到无线网路。我在公司设置的就是过滤 MAC，因为无线只限本公司几台电脑，也免去了每次输入密码的麻烦。这招有漏洞的，如果 MAC 地址泄露，那么别人就可以利用这个 MAC 轻松的访问无线网络，但是，如果 MAC 地址在用，就不会被别人利用。我也发现了一个奇怪的现象，两个相同的 MAC 是不能同时使用的，但是在 widnows server 2008 下可以，我曾经成功访问别人的网络，路由上显示的是一台主机在访问，但是实际上是两台。其他的系统好像都不行。

 

4.开启IP地址过滤，禁用DHCP。MAC过滤能并不能挡住无线抓包工具，而且可以轻易获取 AP 和 网卡 的 MAC 地址，解决的方法就是把 IP 和 MAC 进行绑定，同时禁用DHCP，这样就算 MAC 正确，也不能获取 IP ，还是不能上网。

 

5.修改内网 IP 地址范围。一般默认的地址范围是 192.168.1.x或者192.168.0.x 这两个网段，这也是小型路由器使用最多的，一般入侵者可以从这两个段里猜测IP 。如果把 IP 范围设定成 192.168.44.X 这样的网段，那么猜起来就要花点时间了。

 

6.修改路由器默认登陆密码。很多路由用户名/密码默认 admin ，这给攻击者带来很多便利，入侵了网络，也占领了交通枢纽，对于下步进行 IP欺骗和 ARP 欺骗 盗取密码提供便利，所以修改路由器密码尤其重要。我曾经登陆进破解的路由器，用端口映射来进行挂马。

 

7.放弃 WEP。 WEP 的破解已成家常便饭，在你下载一部电影的时间内，你的WEP 密码就可以被破解出来。WEP 的密码破解很简单，现在一般的电脑都可以在一分钟内完成密码匹配，可以说没有安全可言，我的 CPU 是1.7 GHZ 猜测一个十位的WEP只用掉了两秒钟，我的破解环境是 LINUX 2.6.21。破解WEP只是一个抓包的时间而已。

 

8 .使用WPA-PSK。WPA 使用的加密机制与 WEP 是不同的，加入了TKIP，可以说数据包加密是没有规律的，破解难度也大，而且破解WPA 也有一定的运气在里面，并不是每次都能抓到“握手”（我喜欢叫它“牵手”，呵呵），碰到运气差的时候，一天都没有结果。WPA的密码破解是需要字典的，如果设置的密码变态一点，那么就可以躲过黑客的字典。（注意：密码一定要变态。）

 

9.升级路由器的 BIOS或操作系统。2008年的12月，无线安全再次暴露一个恐怖的漏洞，WPA被破解了！据说黑客可以在15分钟内找出WPA的密码，我正在测试这个漏洞是否可行，目前还没有进展，如果有结果，我会尽快拿出来给大家分享，可以经常关注我的博客（http://blog.csdn.net/mhy_mhy）。处理这个漏洞的唯一方法就是到路由器的厂家网站上下载升级程序，对路由器的系统进行更新。目前好像只有 CISCO 拿出了解决方案，不过家用无线路由器又有几个用的是 cisco 的呢？

      暂且想到这几条，所有的操作都是在路由器等无线 AP 的设备上进行，如果依照我的建议设置，那你的无线应该可以达到90%的安全（应该还有未公开的无线漏洞），至少让入侵者先退一步。最后在强调一下版权，本文是本人的原创，转载请保持内容完整，勿“断章取意”，我是MHY_MHY,EMAIL:mayc66@gmail.com，欢迎高手给出意见。（最后修改13:07 2009/3/1）