標籤:

如何提高家用 Wi-Fi 的安全性?比如防止他人蹭網或者黑進電腦?

01-04

無線密碼已設,管理端密碼已更改。 %請不要回答「買個信號弱的路由器」 謝謝合作

原來的簡答:

關閉QSS或WPS 防止reaver暴力破解 套取WPA PSK

使用WPA2無線加密 高端可以用radius認證伺服器

修改路由器Web管理密碼 telnet ssh密碼(如果比較路由高級或自刷ddwrt openwrt的)

mac綁定 靜態ip沒用 都可以偽造和嗅探

2015年7月附加:

最近爆出Pixie dust攻擊,使用Ralink、Broadcom等晶元的路由器,開啟WPS後能被秒破PIN碼。但根據漏洞發現者PPT所述,國內常見TP-LINK家用路由大範圍使用的Qualcomm Atheros晶元安全性未知。再次建議:請關閉WPS!

2015年7月正文更新:《Update 3 喜聞樂見的騰達》寫在答案的末尾 :)

===============================

Update 1 小白簡易圖文教程

我已經默認你的wifi已經能正常使用

這個例子里用的是TP-LINK TL-WR842N 其他品牌請結合產品說明書閱讀教程

1. 拿起路由器看背面

2.用電腦上連上無線 打開瀏覽器地址欄輸入路由器IP按Enter 輸入路由器背面的用戶名密碼

3. 修改3處

a) 左側菜單 無線設置--&>無線安全設置

按圖設置認證類型 WPA2-PSK 加密演算法 AES

PSK密碼 8位以上 大小寫字母數字特殊字元組合 請勿使用手機號、寬頻賬號、寬頻密碼、生日、身份證號、含有無線名稱的密碼和一切弱密碼 強密碼強迫症請戳http://strongpasswordgenerator.com/

按下方保存(圖中未截取到)

可能提示重啟 按確定

b) 左側菜單 QSS安全設置 (比較舊的路由沒有此功能 如果你沒有看到QSS WPS之類設置的話,請跳過此步)

點擊禁用QSS 確保QSS功能已關閉

可能提示重啟 按確定

c) 左側菜單 系統工具--&>修改登錄口令

輸入原用戶名、密碼(路由器背面的用戶名密碼)

新用戶名 隨便取 不要用常用的 admin user root

密碼 大小寫字母數字特殊字元組合 強密碼強迫症請戳http://strongpasswordgenerator.com/

按下方保存

可能提示重啟 按確定

End of Update 1

===============================

Update 2 常見誤區和模擬黑客入侵

免責聲明:以下答案含有一些黑客技術細節,因模仿、嘗試類似攻擊手段而直接或間接引發的一切糾紛,由攻擊者承擔全部法律及連帶責任。答主不承擔任何法律及連帶責任。

  • 誤區1 用了WPA加密萬事大吉,弱密碼也沒事。

說到這裡,就必須先講一下破解的原理。對於WPA/WPA2的破解,目前有2種。一種是離線字典破解,並一種是使用WPS套取。

先來說說離線字典破解。

上圖這4個數據包就是這種破解所需要的核心數據。它叫4次握手包。

那麼什麼是4次握手包呢?

通過4個握手包是認證客戶端合法性,說白了就是路由器判斷你知不知道wifi密碼。

以上是這4個數據包的具體收發流程和其中涉及到的具體數據交換過程。我用大白話來演繹一下。

電腦:喂,請求連接。

路由:收到,但請證明身份。

電腦:好的,請求認證。

路由:好的,開始認證。

(雙方開始「解數學應用題」(正確的解題過程就是加密數據的過程),解題的關鍵是「wifi密碼」,此外還需要2個「條件」,一個掌握在利用手裡,另一個掌握在電腦手裡。)

路由:電腦,我給你一個「條件」。——握手包1

(電腦收到了你的」條件「,用上自己知道的另一個」條件「,求出這道「數學題」的結果)

電腦:我把我知道的那個「條件」和我的答案發給你!——握手包2

(路由收到了另一個「條件」,順利求出了此題的正確答案,然後判斷電腦做的答案對不對)

這裡就分2種情況了

情況1:電腦答對了——wifi密碼正確

路由:你答對了,我們就用這2個條件和wifi密碼來解接下來的題(之後的數據加密就用此題中的解法)。——握手包3

電腦:收到,我知道了,就這麼解接下來的題。——握手包4

情況2:電腦答錯了——wifi密碼錯誤

路由:你答錯了,你走吧——發送一個斷開連接命令,本次對話也到此結束。

4次握手結束。

不幸地說,以上對話被一黑客聽到了,並且電腦順利地通過了路由的認證,所以黑客也知道了題目中的2個「條件」、和正確結果。由於這種題目(WPA/WPA2加密)不能像解方程那樣通過結果和幾個已知的條件反推出唯一未知的條件——密碼。所以黑客只能用一個一個密碼代入計算這2個「條件」計算結果,然後與正確答案對比。最後湊出密碼。

為了湊出密碼,黑客要不斷地嘗試不同的密碼。這些密碼的集合就叫字典。一般都是弱密碼和根據不同情形自己編寫的,網上也有供下載的字典。有幾萬、幾十萬密碼的字典算小的。

現在我來扮演一下黑客,模擬一次破解。這是我的字典,是不是十(lan)分(yu)強(chong)大(shu)?

經過aircrack-ng的對以上4次握手包的破解,得到了密碼

一般現在的電腦1秒可以嘗試幾百~幾萬個密碼(若不對,請在評論區留言)。所以像純8位數字,手機號、生日之類的密碼,最多1個小時就能搞定。

  • 誤區2 我反正不用QSS/WPS就安全了

為了保證安全,卻又嫌棄WPA密碼太煩、難記,人們就發明了QSS/WPS認證。

原理很簡單,路由知道一個8位數字PIN,電腦這串數字,又是電腦的對上了路由的,路由就給電腦發送密碼。然後電腦用傳統方法連接路由。

這8位數可以是事先說好的數字(外部註冊碼),也可以是連接時產生的(就像手機藍牙匹配那樣)。

黑客對於後者毫無手段,因為每次的8位數都隨機生成,每次都不同。所以只能通過前者來破解。幸運地是,一般家用路由器用的是事先說好的數字(外部註冊碼)。這就是隱患。

破解思路就簡單,就是一個一個數字這樣試。這樣才有1億種可能。

悲劇的是,這串數字可以拆分為前4位和後3位,最後一位是根據前7位求出的。

現在只有10000+1000=11000種可能!比大海撈針式的離線字典破解靠譜多了。

看,圖中Trying pin [數字]就是在逐個試。一般速度是2-4秒/PIN

路由器廠家知道了這個漏洞,於是對PIN嘗試做了限制。錯誤嘗試10次,就會被禁止嘗試60秒。如下圖的Warning ...... waiting 60 seconds ......

但是,你仔細算一下,平均3秒/PIN以及每10PIN暫停60秒,也就是平均9秒/PIN

9x11000=99000秒=1650分鐘=27.5小時可以搞定。最多才用27.5小時!!!

最後就會出現激動人心的密碼了。什麼?Pin cracked in 3 seconds! 才用了3秒!好吧,我作弊了,請無視。

所以,大家把這個邪惡的功能關了吧!

  • 誤區3 隱藏SSID/不廣播就沒事

看實例。&,SSID的確看不到。注意此時DATA數據包量=4

這時有個用戶連上了wifi 用了通信 此時DATA數據包量=29

看!名稱出來了"PHD"

因為在用戶連接是要首先發射探針。好像在說電腦:PHD路由器你在嗎?

這時,黑客也知道了,原來叫這個名字。

黑客運氣不是那麼好的。不是每次破解都碰上連接那一瞬間。所以還可以通過aireplay, mdk3等工具故意中斷用戶和路由的連接,使它們被迫重連,得到探針信息。(這個就不上圖了,太邪惡了!)

  • 誤區4 就是蹭網者知道了我的密碼,連上了wifi,我用mac綁定或者靜態IP照樣可以防止被蹭網。

不幸的是,mac可以偽造。看實例:

這台路由器之允許2個設備。其中一個的mac是00-11-22-33-44-55。

現在我的無線網卡真實mac是00-08-ca開頭的,顯然連不上。

停用無線網卡,修改成00-11-22-33-44-55,再啟用網卡,連接wifi,ping一下谷歌,通了,說明能上網了。偽造mac就是那麼簡單。

接下來說靜態IP的事。

現在一名黑客已經知道你的wifi密碼。但連上wifi,沒IP地址。顯然,路由沒有開啟DHCP(自動分配ip的服務),得自己輸入。這時你也進不了wifi管理界面,因為http協議是要用到ip協議。

黑客開始嗅探了,想像一下一隻小狗狗在能醬鴨的骨頭。

先用已知的wifi密碼,SSID名稱,捕獲到的數據包解密這個網路里在幹嘛。

看!capture-01-dec.cap就是被解密的數據。

打開wireshark,做一次目標ip統計。

尋找區域網ip。比如,192.168.1.114。

等到這個192.168.1.114沒人用的時候,你把自己設置成192.168.1.114就能用了。

有些人既開了mac過濾,又開了ip綁定。那就先查mac,再進入wireshark查找對應mac的ip。

End of Update 2

===============================

Update 3 喜聞樂見的騰達(Tenda)

1. Tenda與Belkin、D-Link等品牌的某些無線路由器一樣,有固定的默認pin碼。只要用戶不改pin碼並默認保持WPS開啟,攻擊者能通過計算得到默認pin碼,然後成功地連接。

2. Web管理界面登陸時,能繞過密碼認證。參見:Tenda騰達某無線路由登陸密碼繞過

3. 騰達的某些型號疑似使用Ralink或Broadcom晶元,所以最近爆出的Pixie dust攻擊又中槍。

---------------------

Pixie dust攻擊被漏洞發現者稱之為offline bruteforce attack on wps(針對WPS的離線暴力破解)

漏洞發現者的ppt http://archive.hack.lu/2014/Hacklu2014_offline_bruteforce_attack_on_wps.pdf

---------------------

今天拿一台騰達來娛樂一番。以下是過程

虛擬機里的Kali系統好久沒更新了,dist-upgrade之後,發現reaver變mod版了,我這才知道Pixie dust攻擊的事情。

敲好WPS破解神器reaver的命令,開始測試。

回看紅框里的設備信息也是醉了。

整個過程約半分鐘。

End of Update 3

===============================

我的路由就是信號弱,出門關上門就沒有了,實測對門家也沒有信號,從物理角度保證了安全,哇哈哈

我就這個問題認真回答一下⊙_⊙

首先,家用無線路由器的安全性很低,非常低,對於小白來說可能感覺很難,但是實際上家用無線路由器就像老式五環鎖一樣,想要打開只需要一根鐵絲或者其他工具就可以打開。

路由器,ap,交換機這些東西在廠家技術人員設計之初都存有一定後門,這些後門其實有一些廠家本身都是不知道的,都是工程師們自己加進去的,可能同一品牌,同一型號,但不是同一批次的路由器,因為換了一個開發工程師,後門會越來越多。

記得以前在某品牌ap開發小組實習,當時帶我的哪位大哥(這裡還真不能叫老師,壓根天天霍霍我)當時在我面前將一個已經編譯完畢的固件重新編譯,自己添一些後台協議,這種協議其實從本質上講,不存在破壞,或者影響ap本身穩定性,但是會讓添加者通過協議獲得許可權,進入ap的遠程web控制界面。(這些協議公司是不知道的,可能公司本身也會添加一些協議,但是私自添加後果是很嚴重的)

所以最後回答題主的問題,如果想要提高自己無線路由器的安全,有兩種解決方案

1.定期查看自己路由器的遠程web管理是否異常打開

2.定期查看自己的路由器管理日誌,如果你不是經常修改路由器參數的話,操作日誌只會記錄登錄及埠連接日誌,定期清空日誌,在你下次打開日誌時查看一下日誌是否為你上次清空日期。(一般有人侵入後,會清空日誌)如果發現有人侵入,解決辦法只有換其他固件,但是不保證其他固件沒有私人後台。

以上有線路由,ap解決方案

無線路由在有線基礎上存在一個無線連接的問題,解決方案如下

1.盡量自己做一個密碼演算法,例:1個月換一次密碼,演算法(20140101-10101010+當月份)

2.綁定常用使用的手機,pad,筆記本,等設備的mac地址,綁定方法度娘。(這種方法是無線路由器現行最簡單並且也較為有效的方法)

3.給常用設備綁定固定ip,關閉DHCP服務,這種辦法也能有效杜絕非法設備接入路由。

4.關閉路由或者ap的SSID廣播,設置只能通過SSID登錄路由或者ap,這種方法在普通搜索情況下是看不到你的無線信號的。

關閉廣播太麻煩了點,每次都要手動輸入。

我的辦法是設定登錄的列表,綁定Mac地址。家裡一般上網也就手機、電腦、pad、kindle之類的,不會有幾台設備的,只允許這幾台Mac能登錄你的路由器就可以了。

缺點是親戚朋友來的話你還要手動添加mac,這個比較不方便了,不過絕大多數時間不會來客人的,來了客人臨時關掉這個功能也行。

設置了這個後,除非對方能猜出你的Mac地址,否則知道密碼都沒用。

我還不知道有沒有辦法能破解這個設定,應該很難吧,至少網上一般存在的暴力破解路由器密碼的軟體是不能破解,因為就算密碼對了,你不在列表裡面照樣連不上去。

個人覺著這個方法最方便。

設定複雜的密碼當然也是需要的,不過如果只靠密碼,早晚會被猜出來的。

============================

我了個擦,剛回答完就看到 @Louis Larsen的回答,原來綁定mac也不安全的。

只不過後來想了想,關鍵問題是你如果是黑客的話,一般都是先直接破解密碼,你是如何確定是你破解時密碼錯了還是我綁定了mac呢?除非這個黑客比較專業,總是先嗅探mac然後破解密碼。

看來複雜的密碼也是必須的了。

個人非常不喜歡關閉廣播的方式,that"s a tradeoff,我覺著如果不是電腦里有特別重要的東西,做到這些已經夠了吧?況且黑客還必須得在你的信號範圍之內。。。

最近破了一些,說說我的感受,生日,電話號碼的。你的的密碼太簡單了,抓包。秒破啊!!

道高一尺魔高一丈,沒有破解不了的程序,只是時間的問題,除非不聯網。

也要看你的計算機內的價值有多大。否則別人沒事不會黑你。

其次,防止蹭網,個人可以設置信號不廣播,只能通過輸入wifi站點名稱和密碼來鏈接,只要設置個複雜的名字就行了。

買一棟大房子,信號都覆蓋不全的那種.

刷OpenWRT,加密方式弄成WPA2-Enterprise,大部分暴力破解工具均不支持此加密方式,大部分Wi-Fi密鑰庫也都不能存儲此類密鑰。

改個嚇人的WiFi名稱

比如「蹭一次少一秒」

我的做法:1.ssid廣播關閉 2.qss關了3.dhcp關了,終端自己設ip 4.修改默認ip網段以及路由器ip 5.mac ip綁定 6.允許訪問外網mac地址白名單 7.使用wpa2aes128位加密(一般路由器都會因此運算量激增而影響速率,選擇不加密會快一些)8.管理員用戶名修改

當然最安全莫過於把無線功能關閉

6以前好奇嘗試過破解,能搜到的信號破解了80%,那麼我可以簡單介紹下三種常見的容易被破解的加密方式。

1.wep加密,95%以上的破解率,理論上可以達到100%,剩下5%是因為信號太弱。

2.wps開啟,80%的可以破解,和密碼強度無關。除非你的路由器可以防pin,而很多路由器都是偽防pin,忽悠新手還可以。

3.wpa加密,這時候直接抓包破解,也是最費事的,如果做一個字典,那麼包括弱密碼,生日,手機號,座機,基本上都可以破解的。

解決方案:

1.關閉wps是必須的,否則再複雜的密碼也沒用。

2.使用wpa2加密,用強密碼,最好有大小寫和數字,這樣抓到包也很難破解,家用電腦破解可能需要幾百年。

ps:有人說關閉廣播,其實對破解軟體來說是沒用的,一樣破解。

綁定mac等等一些方式,安全是夠了,但有些麻煩,特別是有親友來拜訪的時候。

不用時隨時斷開聯連接,想蹭就跟我的時候走。

不廣播SSID就好了吧

用wpa2加密,密碼最好是字母和數字的混合,然後——

最最關鍵的是,綁定mac地址,這樣就能萬無一失了

我的方法:

wpa2加密;

大小寫英文數字加符號的密碼;

關閉WPS功能;

經常查看連接上的無線設備列表;

SSID:CCMM-AUTO或者China Net。

1、wpa2加密

2、大小字母加數字十位

關閉ssid,綁定mac真沒必要,反映過度了

1、關閉SSID

2、WPA2加密方式

3、特定Mac允許訪問路由器WAN

我把通過無線更改設置也關掉了。

1,拒絕WPS

2,隱藏SSID

3,10多位的大小寫數字密碼並定期更改

4,在區域網中開一個XP虛擬機蜜罐,埠大開,引誘黑客上鉤

5,拒絕萬能鑰匙

WiFi被蹭網的話,應該如何辦?

拿去,不謝,哈哈哈

推薦閱讀:

家用路由器哪個牌子好?如何選一個好的路由
家用路由器推薦?
關閉了SSID就只能通過搜索無線網路名稱來連接它嗎?關閉SSID後對速度有多少影響?
如何增大無線路由器的信號範圍?
有哪些無線路由器值得推薦?

TAG:Wi-Fi | 網路安全 | 無線路由器 |