» 防蹭网专业指北--下班归来更新mac地址过滤相关--93楼专业人士现身
    看到有人求助蹭网的问题，突发奇想写这么一个帖子，算是简单科普下无线路由的安全问题。有些问题可能不是所有人都知道的，特别是你设置的很强的密码仍然被秒破的情况下。。话说现在有宽带没有无线路由的真是凤毛麟角。楼主家里是八几年的老房子，没有小区那种。手机一开7,8个路由，电脑加工具15+。。。。。
    首先介绍个论坛吧，anywlan，看名字知内容。你可以找到你想要的一切，无论你想蹭网还是防蹭，或者改装你的天线。
    写了这么多也会冲水撒。
    
    安全守则一：关掉你的wps/qss
    特意改为红色高能警告。
    估计知道这一点的人真的不多，但是这是现在破解无线路由的大杀器，如果你开着这个，那么蹭你的网就只是个时间问题，而且是个很短的时间。
    
     路由器中WPS是由Wi-Fi联盟所推出的全新Wi-Fi安全防护设定(Wi-Fi Protected Setup)标准，该标准推出的主要原因是为了解决长久以来无线网络加密认证设定的步骤过于繁杂艰难之弊病，使用者往往会因为步骤太过麻烦，以致干脆不做任何加密安全设定，因而引发许多安全上的问题。WPS用于简化Wi-Fi无线的安全设置和网络管理。它目前支持两种模式：个人识别码(PIN)模式和按钮(PBC)模式
     WPS能够在网络中为接入点及WPS客户端设备自动配置网络名(SSID)WPS及WPA安全密钥。 当连接WPS设备时，用户没有必要去了解SSID和安全密钥等概念。 用户的安全密钥不可能被外人破解，因为它是随机产生的。 用户不必输入预知的密码段或冗长的十六进制字符串。 信息及网络证书通过扩展认证协议(EAP)在空中进行安全交换，该协议是WPA2 使用的认证协议之一。
    
    总结：你根本用不到的功能。
    
    就是这东西
    
    虽然pin码是8位数字编码，但是系统机制导致可以分段破解，前4位后4位这样，也就是说，最多2w次pin尝试就能100%破解掉pin码。有pin码可以得到无线密码，也可以直接登录路由后台，也就是说，你的一切安全努力形同虚设。
    
    水滴软件pin攻击的截图，99%表明前4位或后4位已经猜到了
    目前最新的部分路由器已经有了防止pin攻击的功能。具体型号不明，请自行度娘。
    更新：注意路由器标签有可能会暴露你的pin码，上个图。
    
    
    安全守则二：使用wpa2加密方式
    这个不过多的讲，绝大多数人都知道。
    结论：wep加密有漏洞，秒破。wpa加密需要很短的时间来破解，都不安全。
    
    安全守则三：永远不要使用脑残密码
    对密码的攻击永远是主流攻击方法，虽然现在人们的网络安全意识不断加强，但是12345678之流的密码仍然层出不穷。
    
    先来科普一下对密码的攻击到了何种凶残的地步，大家就知道你的密码安不安全了。
    下图是某知名无线密码破解软件，支持gpu加速，如果你是7970双卡交火的话，据说破解速度能达到40w个每秒。
    
    
    第二张图是淘宝专业做wifi密码破解的，据说有的商家是7970*4交火，50g以上的字典。猜猜你的密码能不能这么坚挺。而且破出来10块，破不出1块或者不要。我现在都懒得自己跑密码。
    
    
    
    
    关于密码的设置，我要说，尽量不要使用任何有规律的密码。
    
    纯生日密码我的i3 2100只需要半小时就能跑完，1950-2050年所有生日。
    纯手机号密码比这个还快，网上有制作本地手机号段字典的教程，很简单，只要你用的不是外地卡。
    人名拼音+生日或者手机，也很快，这软件支持多字典混合攻击。
    你还能想到什么？
    
    有人说，想个密码真难啊，到底怎么设。
    究竟怎么设密码能安全又好记，最后再说。留个悬念
    
    再次高能警告，永远不要使用脑残密码
    
    安全守则四：修改你的路由器管理用户和密码
    有多少人路由管理密码还都是admin的？这跟家门不装门锁装拉锁是一个性质。
    这个密码也是能破解的，不过很少人用。建议默认的用户名也改掉。
    不多说
    
    几点技巧说明
    1、路由器ip地址不用改，改了也没用，网关地址会暴露这一设置。
    2、ssid不用设置为隐藏，随便wifi管理软件都有搜索隐藏ap的功能，包括手机，会蹭网的还怕这个。
    3、如果不怕麻烦的话，可以把dhcp服务关掉，家里所有设备手动设置ip或者mac绑定。这样别人连上来了获取不到ip，能迷惑一些水平不高的蹭网者，也可以把dhcp地址池设置的和上网ip不一样，迷惑性更大。
    高手无效，慎用。
    
    关于密码设置技巧
    想一个好的密码是不是真的很难？安全性和易用性本来就是冲突的。
    
    这里提供一种思路，个人觉得很不错。
    
    比如密码dhxdl,tsdxxcbd，你们知道这是什么？
    好吧这是大河向东流，天上的星星参北斗。
    
    明白了？找一句歌词，一句诗词，一句你熟悉的话，就用拼音开头，鬼都破解不出来，随便加些标点什么的更完美。
    好记，复杂，破不了，完美的密码。
    
    
    ok，完工，等待冲水，嘿嘿。
    根据回复补充内容
    mac地址绑定只能保证你不被arp攻击，对于防蹭真的没有什么大用。这和mac地址禁用是两回事。
    大部分路由都有在线用户查看的功能，很容易分辨谁来了，未知蹭网者可以禁止他的mac。(我都是设个简单密码，先钓鱼周围蹭网的，然后都禁止了，坏人都木有了啊)
    我的路由有ip地址过滤和mac地址过滤。不过真的不建议用。家里总会来客人不是，难道你还去看人家mac？更何况pin不关，什么都是摆设。
    注意，如果对方破解了pin，是可以登陆路由的
    他可以解除mac禁止(当然要换地址，不过mac伪装也不是什么难技术)，可以查看你的密码，想干什么都行。我会说我们领导的pin我都抄下来了，随便他改密码吗
    
    关于蹭网的用途，其中有一种叫双网卡桥接。比如你8m宽带，邻居也是，蹭网之后桥接，你会得到一根16的宽带。
    所以不要说我这里都有网，没人蹭。没人蹭是真的，但未必是因为都有网。
    
    培养安全意识永远是好的。电脑会出卖你的一切。你去宾馆开房的时候，说不定我就在隔壁通过你的电脑摄像头看直播。
    
    关掉pin，设置足够复杂无规则的密码，改掉路由登陆用户密码，三步其实真的够了
    
    
    再次更新：关于mac地址相关
    看到这么多人问mac过滤的问题，更新下
    
    所谓mac地址，也叫网卡物理地址，在以太网中，数据包依赖mac地址而不是ip地址进行传输。
    简单说，这货就是信封上的收件地址，必然是明文传送的，加密方式不会影响mac地址的传送。
    而在无线网络中，所有数据包都是空中传输的，直接导致任何人可以查看任何路由的mac地址，包括连上去的客户端mac
    从这一点来说，所有基于mac地址的过滤和防护都是极其脆弱的。
    上张图，可以看到客户端mac是明文显示的。
    比如你设置了白名单为只有你能上，问题是你的mac地址是明文的，谁都可以看见的。这跟形同虚设完全没区别。。。。
    所以，不是很推荐使用mac地址过滤作为防护手段。做好第一道防护才是正途。
    
    关于修改mac地址，win下直接在网卡属性里就能找到物理地址，直接就能改，linux下直接有命令能改。这不是什么技术。
    

网友评论(539743)2013-03-05 11:23

    顶一记
    ----sent from my Xiaomi MI 2,Android 4.1.1
    

网友评论(151835)2013-03-05 11:26

    厉害，学习姿势了
    
    

网友评论(207935)2013-03-05 11:27

    我的路由器密码是自动生成的，一大串字母加数字还有横杠什么的...
    

网友评论(9027846)2013-03-05 11:28

    mac绑定毫无压力
    ----sent from my Xiaomi MI 1S,Android 4.0.4
    

网友评论(11805310)2013-03-05 11:28

    我就想知道怎么看有没有被蹭。是不是看看路由器那个连接客户端的Mac就行了？我平时家里就是手机，电脑和平板。是不是显示连接客户端是三个就行了？
    ----sent from my Sony Ericsson LT22i,Android 4.0.4
    

网友评论(599829)2013-03-05 11:28

    请问白名单呢 我只允许自己的电脑联入无线
    

网友评论(5578264)2013-03-05 11:29

    我记得有个限制MAC地址的白名单，只有你自己的机器能连接，这个会被破解么？
    

网友评论(732847)2013-03-05 11:31

    不设密码
    
    mac绑定毫无压力
    

网友评论(12554526)2013-03-05 11:32

    建议进博物馆，这种好贴，冲了可惜了
    

网友评论(17747097)2013-03-05 11:33

    安全的密码就是相对的长 数字字母符号结合
    %ych2is8az90@wmjck15so()hco2738cxhsjzikeld2387sji=sjio
    你破给我看看撒
    

网友评论(1368555)2013-03-05 11:34

    Reply Post by 哆哩A猫 (2013-03-05 11:29):
    我记得有个限制MAC地址的白名单，只有你自己的机器能连接，这个会被破解么？
    
    听说可以伪造mac地址？
    ----sent from my 再买就剁手的 MI 1S,Android 4.0.4
    

网友评论(16240045)2013-03-05 11:34

    LZ科普白名单把。。。
    

网友评论(153075)2013-03-05 11:35

    在设置页面看到的"客户端列表" 无论怎样都是能看到当前用户的吧 这样可以禁止对方的mac地址
    不过高手肯定能改mac地址 然后再破解密码啥的 终究是道高一尺魔高一丈
    

网友评论(375040)2013-03-05 11:36

    maker一记 回去照做
    

网友评论(1884060)2013-03-05 11:36

    想到了当年的第一神密码：
    
    ppnn13%dkstfeb1st
    

网友评论(20532077)2013-03-05 11:36

    涨见识了，谢楼主
    ----sent from my HUAWEI HUAWEI C8812,Android 4.0.3
    

网友评论(3129114)2013-03-05 11:36

    马克。。。
    

网友评论(14441751)2013-03-05 11:38

    学习新姿势
    

网友评论(5578264)2013-03-05 11:40

    Reply Post by zeldajames (2013-03-05 11:34):
    
    
    听说可以伪造mac地址？
    ----sent from my 再买就剁手的 MI 1S,Android 4.0.4
    
    我也记得有。。。 不过这个估计成本比较高啊，要刷机器的固件信息，搞不好就变砖，而且很多移动设备改不了MAC