隨著蹭網(wǎng)卡皇等無恥工具的肆意泛濫,原先我們認為安全的WAP2加密已形同虛設,一臺價格在200元左右的蹭網(wǎng)設備,可在十幾分鐘之內(nèi)將其破解。不過,這并不是說我們的無線網(wǎng)絡從此就沒有安全可言了。實際上,只要你認真看了下面筆者和蹭網(wǎng)者的較量經(jīng)歷,你會發(fā)現(xiàn),要保障網(wǎng)絡安全并非難事。
速度奇慢,網(wǎng)絡居然被人蹭了
打開瀏覽器上網(wǎng),卻發(fā)現(xiàn)先前可以瞬間打開的網(wǎng)頁,遲遲處于無反應狀態(tài),試了幾個網(wǎng)站,都是如此,難道是筆者的RP不好,或者是瀏覽器故障?
在安裝了360安全衛(wèi)士的前提下,右擊桌面上的“加速球”懸浮條,在出現(xiàn)的菜單中選擇“測網(wǎng)速”,對網(wǎng)速進行了一番測試,發(fā)現(xiàn)當前的網(wǎng)速居然只有30KB左右,基本上等同于當年窄帶時代的52KB了(筆者的網(wǎng)絡帶寬為4MB,拋卻線路損耗和上網(wǎng)高峰等因素,正常的網(wǎng)絡應達到300KB~400+KB才對。如圖1)。
通常來說,出現(xiàn)這種情況的原因主要有三種,一是線路問題,二是本機或局域網(wǎng)內(nèi)存在占用大量帶寬的行為,如:有人正在使用迅雷、P2P工具下載文件或觀看視頻等,三是有人蹭網(wǎng)。本著先易后難、逐一排除的原則,筆者首先檢查并排除了第二種原因,然后開始檢查是否有人蹭網(wǎng)。
檢查是否有人蹭網(wǎng)的方法主要有兩種:
一是如果我們知道當前網(wǎng)絡應該存在的設備數(shù)量(包括手機、平板電腦、智能電視或智能機頂盒等),可通過瀏覽器進入路由器設置界面,選擇左側(cè)的“無線設置/主機狀態(tài)”項,然后在右側(cè)的“當前所連接的主機”項中,查看一下當前正在使用該網(wǎng)絡的設備數(shù)量,如果這一數(shù)量超過正常值,說明有人蹭網(wǎng)(比如筆者家中有兩部設備在線,此處卻顯示三臺,足以說明有人蹭網(wǎng)。如圖2)。
二是我們不確切了解當前應該連接的設備數(shù)量,這時,可通過在路由器設置界面的左側(cè)選擇“無線設置/無線安全設置”,然后在右側(cè)窗格中直接更改無線連接密碼來進行判斷,由于修改密碼后,蹭網(wǎng)者不可能在瞬間破解密碼,所以修改密碼后,我們會獲得一定時間的網(wǎng)絡“專用期”,此時,如果再用360安全衛(wèi)士測速,我們會發(fā)現(xiàn)網(wǎng)絡速度有明顯提升。
首戰(zhàn),修改密碼失敗
原因找到了,接下來的解決方法貌似就簡單得多了。
首先用上面介紹的方法更改無線連接的密碼,然后選擇“無線設置→基本設置”項,在右側(cè),對SSID號進行修改,一般來說,如此設置后,95%以上的蹭網(wǎng)者就會被拒之門外。
同時,為進一步加強網(wǎng)絡安全,不給偷網(wǎng)者以可乘之機,筆者在完成上述修改工作后,又錦上添花,通過取消對“開啟SSID廣播”項的勾選,直接關閉了SSID廣播功能(如圖3),這樣,即使周圍存在蹭網(wǎng)者,他們也會因為設備掃描不到我們的無線網(wǎng)絡,導致蹭網(wǎng)失敗。
如此一來,天下似乎應該太平了。于是筆者放心地泡上一杯熱茶,同時打開播放器,準備好好地欣賞一下音樂,然而,最不希望出現(xiàn)的事情還是發(fā)生了。茶猶未涼,網(wǎng)絡速度又出現(xiàn)明顯下降。而打開如圖2所示的界面查看,發(fā)現(xiàn)當前連網(wǎng)的設備又變成了可惡的“3”。首戰(zhàn)不利,筆者采用通過修改密碼、SSID號同時關閉SSID廣播來阻擋蹭網(wǎng)者的方式,至此完全失敗。
二戰(zhàn):禁止MAC地址訪問策略失敗
顯然,蹭網(wǎng)者使用的絕非是一般的破解手段(比如在手機或PC安裝相應蹭網(wǎng)軟件來達到搜索網(wǎng)絡和破解密碼的目的),它使用的應該是一種更為高效的方法,比如:使用蹭網(wǎng)網(wǎng)卡或卡皇之流。由于此類設備具有更強大的搜索和破解功能,它除了會輕松地揪出周圍幾百米甚至數(shù)公里范圍內(nèi)存在的無線網(wǎng)絡(包括已關閉SSID廣播的隱藏網(wǎng)絡)外,還能輕松讓我們認為極其安全的WAP2密碼形同虛設,所以對付它的最好手段,就是利用路由器提供的MAC地址過濾,對其進行攔截。而要達到這一目的,筆者首先要知道目前允許其連接到網(wǎng)絡中的所有設備的MAC地址。要查看這些設備的MAC地址其實很簡單。
第一步:在內(nèi)網(wǎng)任意一部可連接到無線網(wǎng)絡的PC中,按下“Win+R”組合鍵,打開“運行”對話框,輸入“cmd”回車,打開命令提示符窗口,在其中輸入“ipconfig /all”,回車,相應的信息即會出現(xiàn)在下方(如圖4)。其中“無線局域網(wǎng)適配器”欄的“物理地址”項中所顯示的即為該機的無線網(wǎng)卡MAC地址,記下它。
第二步:在該PC中訪問路由器設置界面,并進入如圖2所示的界面,然后讓允許連接到網(wǎng)絡的設備全部連接到網(wǎng)絡,這些設備的MAC地址就會出現(xiàn)在右側(cè)的列表中(包括蹭網(wǎng)設備的MAC地址),記下它們。
第三步:讓這些設備依次斷開與網(wǎng)絡的連接,并在幾秒后重新連接。隨著網(wǎng)絡的斷開與重接,與該設備對應的MAC地址會從列表中消失并重現(xiàn),從而可幫助我們快速而有效地判定設備的MAC地址。與之對應的,列表中那些始終顯示的MAC地址,除了一個是本機的之外,其余的就是蹭網(wǎng)者的設備了。
第四步:在路由器設置界面中,選擇左側(cè)的“無線設置→無線MAC地址過濾”項,然后在右側(cè)的“過濾規(guī)則”欄中選擇“允許 列表中生效規(guī)則之外的 MAC地址訪問本無線網(wǎng)絡”項(如圖5),單擊“添加新條目”按鈕,將上面記錄的蹭網(wǎng)者的MAC地址輸入“MAC地址”文本框中,同時“狀態(tài)”項設置為“生效”,單擊“保存”按鈕(如圖6),返回上級界面,單擊“啟用過濾”按鈕,如此一來,使用該MAC地址的設備從此就永遠都別想訪問筆者的網(wǎng)絡了。
不過,如果據(jù)此我們便認為無線網(wǎng)絡從此就高枕無憂那就錯了,因為在采用該方法后不久,筆者便發(fā)現(xiàn),該方法最終竟然也以失敗告終了。其中的道理很簡單,蹭網(wǎng)者所用設備,會動態(tài)變換MAC地址,當它發(fā)現(xiàn)當前的MAC地址無法連接到網(wǎng)絡后,就會自動換一個新的MAC地址,從而繞過我們上面設定的過濾規(guī)則??磥?,要想徹底斬斷蹭網(wǎng)者的無恥行為,還得另想他法才行。
| Tips |
上面筆者之所以要采用這種判定MAC地址的方法,除了它操作方法比較簡單、可免去要在每部設備中逐一查看的麻煩外,還有一個重要原因,那就是有時設備自身顯示的MAC地址與路由器檢測到的并不一致(比如筆者家中所用的樂視盒子,就存在這種現(xiàn)象),這時,路由器顯示的MAC地址才是該設備的正確MAC地址。
顯然,蹭網(wǎng)者使用的絕非是一般的破解手段(比如在手機或PC安裝相應蹭網(wǎng)軟件來達到搜索網(wǎng)絡和破解密碼的目的),它使用的應該是一種更為高效的方法,比如:使用蹭網(wǎng)網(wǎng)卡或卡皇之流。由于此類設備具有更強大的搜索和破解功能,它除了會輕松地揪出周圍幾百米甚至數(shù)公里范圍內(nèi)存在的無線網(wǎng)絡(包括已關閉SSID廣播的隱藏網(wǎng)絡)外,還能輕松讓我們認為極其安全的WAP2密碼形同虛設,所以對付它的最好手段,就是利用路由器提供的MAC地址過濾,對其進行攔截。而要達到這一目的,筆者首先要知道目前允許其連接到網(wǎng)絡中的所有設備的MAC地址。要查看這些設備的MAC地址其實很簡單。
第一步:在內(nèi)網(wǎng)任意一部可連接到無線網(wǎng)絡的PC中,按下“Win+R”組合鍵,打開“運行”對話框,輸入“cmd”回車,打開命令提示符窗口,在其中輸入“ipconfig /all”,回車,相應的信息即會出現(xiàn)在下方(如圖4)。其中“無線局域網(wǎng)適配器”欄的“物理地址”項中所顯示的即為該機的無線網(wǎng)卡MAC地址,記下它。
第二步:在該PC中訪問路由器設置界面,并進入如圖2所示的界面,然后讓允許連接到網(wǎng)絡的設備全部連接到網(wǎng)絡,這些設備的MAC地址就會出現(xiàn)在右側(cè)的列表中(包括蹭網(wǎng)設備的MAC地址),記下它們。
第三步:讓這些設備依次斷開與網(wǎng)絡的連接,并在幾秒后重新連接。隨著網(wǎng)絡的斷開與重接,與該設備對應的MAC地址會從列表中消失并重現(xiàn),從而可幫助我們快速而有效地判定設備的MAC地址。與之對應的,列表中那些始終顯示的MAC地址,除了一個是本機的之外,其余的就是蹭網(wǎng)者的設備了。
第四步:在路由器設置界面中,選擇左側(cè)的“無線設置→無線MAC地址過濾”項,然后在右側(cè)的“過濾規(guī)則”欄中選擇“允許 列表中生效規(guī)則之外的 MAC地址訪問本無線網(wǎng)絡”項(如圖5),單擊“添加新條目”按鈕,將上面記錄的蹭網(wǎng)者的MAC地址輸入“MAC地址”文本框中,同時“狀態(tài)”項設置為“生效”,單擊“保存”按鈕(如圖6),返回上級界面,單擊“啟用過濾”按鈕,如此一來,使用該MAC地址的設備從此就永遠都別想訪問筆者的網(wǎng)絡了。
不過,如果據(jù)此我們便認為無線網(wǎng)絡從此就高枕無憂那就錯了,因為在采用該方法后不久,筆者便發(fā)現(xiàn),該方法最終竟然也以失敗告終了。其中的道理很簡單,蹭網(wǎng)者所用設備,會動態(tài)變換MAC地址,當它發(fā)現(xiàn)當前的MAC地址無法連接到網(wǎng)絡后,就會自動換一個新的MAC地址,從而繞過我們上面設定的過濾規(guī)則。看來,要想徹底斬斷蹭網(wǎng)者的無恥行為,還得另想他法才行。
三戰(zhàn),允許指定設備訪問網(wǎng)絡告捷
該方法就是利用“無線MAC地址過濾”功能,只允許指定的設備訪問網(wǎng)絡。
在如圖5所示的界面列表中,單擊“刪除所有條目”按鈕,清空列表,然后用與上面相同的方法,將允許訪問網(wǎng)絡的設備的MAC地址都添加到列表中,同時選擇“禁止 列表中生效規(guī)則之外的MAC地址訪問本無線網(wǎng)絡”項,并啟用過濾規(guī)則。如此設置以后,蹭網(wǎng)者可惡的嘴臉從此果然再也沒有出現(xiàn)。至此,反蹭行動圓滿結(jié)束。
在設置允許訪問網(wǎng)絡的MAC地址時,筆者遇到了一個很讓人撓頭的問題,那就是筆者所用的聯(lián)想A820T手機,每次重啟后都會自動變幻一個MAC地址(應該是由于VLAN的MAC碼都是虛擬的所致),顯然,使用這種方法,無疑也給自己以后使用連接網(wǎng)絡制造了不少麻煩。為了解決這一問題,讓手機的MAC地址能夠固定下來,筆者花時間上網(wǎng)狠查了一番,最后,終于找到一款名為“無線設置”的APP應用(http://soft.shouji.com.cn/down/21500.html),該應用有個特點,那就是它可以將虛擬的MAC地址固定下來,讓其不會因設備的重啟而變化。
安裝完畢啟動應用,并按其提示,下載安裝“z4root”應用Root系統(tǒng),Root完畢,在程序主界面中點擊“添加新IP配置”項,在接下來的界面中選擇“物理地址”項(如圖7),打開“物理地址”對話框,然后在其中的文本框中設置好要用的網(wǎng)卡地址,點擊“確定”按鈕(如圖8)。此后該地址即會被固定下來,不會因設備重啟而發(fā)生變化了。