(个人总结)如何防ceng网和进行无线路由器的安全设置(终极篇)

safirst

以下是本人最近的研究总结，愿与大家分享，
由于目前没有办法从根本上杜绝防ceng网，以下建议只能作为增强安全的一些方式：

           如何防ceng网和增强无线路由器的安全设置

1、修改无线路由器默认的登陆用户和密码，即不要再admin和admin了。
虽然仍然可以使用Webcrack进行PJ，但是会增加难度；

2、开启无线路由时，不要设置ssid为简单ascii字符，例如可设置日文或者韩文字符，
中文的相对来说还是简单了，虽然这仍然是可被PJ的，本质上是形同虚设，
但是需要攻击者机器上安装了相应的字符集，很多情况下，对手会嫌麻烦而放弃的，
再说在beini linux上增加日文支持肯定是件烦恼的事情；

3、接着是隐藏ssid，虽然我以前也说过，这也是形同虚设，
但是它可以让Windows自带的无线管理器无法显示出来，起到一点弱化的作用。
连同上面一条，隐藏一个意大利语的ssid应该足以吓走好多小朋友了；

4、接着是平常我们说的最多的选择加密方式，wep是绝对不能选，对于WPA的，
我建议一定要选择WPA2的AES加密，因为WPA1的TKIP加密由于使用了
与WEP同样的RC4算法，已经被证明是不安全的，相应的包PJ程序也已经开发，
目前程序据说尚不稳定，但是为了将来，为了您和您家人的安全，请不要选择TKIP……

5、于是就是这个密码到底怎么设置的问题，通常的密码设置建议仍然是有效的，
即大家注册论坛时所提示的方案，就是数字、大小写字母、其他字符如何混合的问题，
我不多重复。这里我额外提醒一个:由于WPA的密码至少是8位，PJ也是从8位开始PJ的，
所以大家应避免选择8位的密码。
8-10位的密码是攻击者通常使用的字典，
所以选取个13位甚至以上密码是个不错的起点。
因为对于13位以上的字典，攻击者缺少可以构造的简单规则，
而对于常见的位数我们大多是这样想的：
8位的我可以猜是你的生日19491001，
9位的我可以猜是你的名字maozedong，或者名字+日期，liqin1001
10位的跟9位的差不多，lifeng1001，lf19491001
11位的除了跟前面一样以外，我们多了手机号码：13179131115
12位的已经没什么很明确的想法了，zhangzhipeng，也许是lili19491001，
也许是其他什么的……
可以看到，当位数高了之后，字典很难制作，尤其是此时密码字典的大小已经相当庞大，
纯8位数字的字典文件是1G多，加一种可能性文件大小就翻一倍，
攻击者开始受到硬件条件束缚……
另一方面，叫你设置一个16位密码也确实是件难事，有人开始背圆周率了，
3.14159 26535 89793 23846 26433 ...
放弃吧兄弟，你就是背到100位字典里也照样有的，这个已经被取滥了。
当然，目前使用自然常数e的很少，
你也许可以凭借着2.71828 18284 59045...而牛b一时，
但是放弃吧兄弟，总有一天你这个也会出现在字典里的，
在这个指导思想下，你就是取德布罗意常数也无济于事……

再一方面，一般我们中国人的名字拼音加上出生日期可以达到这个长度，
但是这也是很危险的，因为考虑到社会工程学，你的身份证上就有这些信息，
再者，将常见姓名和1970年之后的生日进行笛卡尔乘积应该有机器是可以办到的，
虽然我的电脑没这么牛b……
好了，密码设置就讲这么多，这些规则都是永久有效的，简言之：
位数越长，内容别人越想不到的密码，就越安全！

6、关闭QSS、WPS功能，就是有个8位pin码的那个地方，只要你开启了这个，
我在第5条讲得一切都白费唇舌了。虽然这个漏洞才被发现3个月左右，
但是我看有的兄弟已经杀红了眼了，pin码PJ此刻正在大面积蔓延。
这是那些新手梦寐以求的方法，操作极其简单，无需任何基础，成功率极高；

7、接下来取消DHCP服务，这样攻击者连接上了之后无法获取IP，
无法连上你的局域网，自然也无法上网，
但是这种方法其实也是形同虚设的，因为可以通过网络剪刀手或者一些抓包软件
监听当前客户端使用的IP地址，从而达到猜解的目的，
然后在手动设置成该网段的IP就行了，
但是依然可以吓走一些小朋友……

8、设置路由器的地址为非常用，例如从192.168.1.1设置为193.169.193.2，
这样对方猜不到路由器地址，也就没有了网关地址，
当然，这也是形同虚设，可以对待第7条那样来PJ它，但是这也会吓走一些小朋友……

9、进行MAC地址过滤，将你常用的几台电脑的IP和MAC对应好，告诉路由器，
这样其它不是这个地址的小朋友就无法连接你的路由器。
当然，这还是形同虚设可以用第7条的方法得到当前上网客户端的MAC地址，
然后用MAC地址修改工具修改成跟它一样的，
这样你就能仿冒这个客户端与路由器交互了……

10、今天就讲10条，最后来一条淫荡的——时不时改变自己
无线路由器的位置和天线的方向，
这样可以让你一时退出某些攻击者的视野，因为信号不好啥也干不了。
或者忽隐忽现，让人欲火焚身而不能得手……
当然，不能玩得过火，不然惹怒了对方，他可能会跟你同归于尽——专门用工具攻击你，
他上不了你也甭想上，都说了好多是很年轻的小朋友了，
所以还是和谐地遮挡一些无线信号出去吧，只要家里都能上就行了……

一点个人研究感悟，本是发在本人QQ空间的，
但还是想与大家共同分享，愿共同进步……
以后有新的结论会完善它，大家如有好的建议我也会立刻更新上……

yinyue0305

不得不看看！

hjc130

回复 1# safirst
    我就不看，我是c网滴~~~

safirst

回复 3# hjc130


    呵呵，我也是ceng滴~~

hijk1

谢谢楼主分享

andscott

隐藏ssid后，自己怎么查找啊 新手求教

safirst

回复 6# andscott


    登录路由器就可以看得见呀

yyqyjr1

多谢多谢.................

haile319

学习一下，看看什么PJ

飘渺峰

谢谢楼主分享

s_k_911

本帖最后由 safirst 于 2012-2-5 19:12 编辑


以下是本人最近的研究总结，愿与大家分享，
由于目前没有办法从根本上杜绝防ceng网，以下建议只能作为增强安全的一些方式：

           如何防ceng网和增强无线路由器的安全设置

1、修改无线路由器默认的登陆用户和密码，即不要再admin和admin了。
虽然仍然可以使用Webcrack进行PJ，但是会增加难度；

2、开启无线路由时，不要设置ssid为简单ascii字符，例如可设置日文或者韩文字符，
中文的相对来说还是简单了，虽然这仍然是可被PJ的，本质上是形同虚设，
但是需要攻击者机器上安装了相应的字符集，很多情况下，对手会嫌麻烦而放弃的，
再说在beini linux上增加日文支持肯定是件烦恼的事情；

3、接着是隐藏ssid，虽然我以前也说过，这也是形同虚设，
但是它可以让Windows自带的无线管理器无法显示出来，起到一点弱化的作用。
连同上面一条，隐藏一个意大利语的ssid应该足以吓走好多小朋友了；

4、接着是平常我们说的最多的选择加密方式，wep是绝对不能选，对于WPA的，
我建议一定要选择WPA2的AES加密，因为WPA1的TKIP加密由于使用了
与WEP同样的RC4算法，已经被证明是不安全的，相应的包PJ程序也已经开发，
目前程序据说尚不稳定，但是为了将来，为了您和您家人的安全，请不要选择TKIP……

5、于是就是这个密码到底怎么设置的问题，通常的密码设置建议仍然是有效的，
即大家注册论坛时所提示的方案，就是数字、大小写字母、其他字符如何混合的问题，
我不多重复。这里我额外提醒一个:由于WPA的密码至少是8位，PJ也是从8位开始PJ的，
所以大家应避免选择8位的密码。
8-10位的密码是攻击者通常使用的字典，
所以选取个13位甚至以上密码是个不错的起点。
因为对于13位以上的字典，攻击者缺少可以构造的简单规则，
而对于常见的位数我们大多是这样想的：
8位的我可以猜是你的生日19491001，
9位的我可以猜是你的名字maozedong，或者名字+日期，liqin1001
10位的跟9位的差不多，lifeng1001，lf19491001
11位的除了跟前面一样以外，我们多了手机号码：13179131115
12位的已经没什么很明确的想法了，zhangzhipeng，也许是lili19491001，
也许是其他什么的……
可以看到，当位数高了之后，字典很难制作，尤其是此时密码字典的大小已经相当庞大，
纯8位数字的字典文件是1G多，加一种可能性文件大小就翻一倍，
攻击者开始受到硬件条件束缚……
另一方面，叫你设置一个16位密码也确实是件难事，有人开始背圆周率了，
3.14159 26535 89793 23846 26433 ...
放弃吧兄弟，你就是背到100位字典里也照样有的，这个已经被取滥了。
当然，目前使用自然常数e的很少，
你也许可以凭借着2.71828 18284 59045...而牛b一时，
但是放弃吧兄弟，总有一天你这个也会出现在字典里的，
在这个指导思想下，你就是取德布罗意常数也无济于事……

再一方面，一般我们中国人的名字拼音加上出生日期可以达到这个长度，
但是这也是很危险的，因为考虑到社会工程学，你的身份证上就有这些信息，
再者，将常见姓名和1970年之后的生日进行笛卡尔乘积应该有机器是可以办到的，
虽然我的电脑没这么牛b……
好了，密码设置就讲这么多，这些规则都是永久有效的，简言之：
位数越长，内容别人越想不到的密码，就越安全！

6、关闭QSS、WPS功能，就是有个8位pin码的那个地方，只要你开启了这个，
我在第5条讲得一切都白费唇舌了。虽然这个漏洞才被发现3个月左右，
但是我看有的兄弟已经杀红了眼了，pin码PJ此刻正在大面积蔓延。
这是那些新手梦寐以求的方法，操作极其简单，无需任何基础，成功率极高；

7、接下来取消DHCP服务，这样攻击者连接上了之后无法获取IP，
无法连上你的局域网，自然也无法上网，
但是这种方法其实也是形同虚设的，因为可以通过网络剪刀手或者一些抓包软件
监听当前客户端使用的IP地址，从而达到猜解的目的，
然后在手动设置成该网段的IP就行了，
但是依然可以吓走一些小朋友……

8、设置路由器的地址为非常用，例如从192.168.1.1设置为193.169.193.2，
这样对方猜不到路由器地址，也就没有了网关地址，
当然，这也是形同虚设，可以对待第7条那样来PJ它，但是这也会吓走一些小朋友……

9、进行MAC地址过滤，将你常用的几台电脑的IP和MAC对应好，告诉路由器，
这样其它不是这个地址的小朋友就无法连接你的路由器。
当然，这还是形同虚设可以用第7条的方法得到当前上网客户端的MAC地址，
然后用MAC地址修改工具修改成跟它一样的，
这样你就能仿冒这个客户端与路由器交互了……

10、今天就讲10条，最后来一条淫荡的——时不时改变自己
无线路由器的位置和天线的方向，
这样可以让你一时退出某些攻击者的视野，因为信号不好啥也干不了。
或者忽隐忽现，让人欲火焚身而不能得手……
当然，不能玩得过火，不然惹怒了对方，他可能会跟你同归于尽——专门用工具攻击你，
他上不了你也甭想上，都说了好多是很年轻的小朋友了，
所以还是和谐地遮挡一些无线信号出去吧，只要家里都能上就行了……

一点个人研究感悟，本是发在本人QQ空间的，
但还是想与大家共同分享，愿共同进步……
以后有新的结论会完善它，大家如有好的建议我也会立刻更新上……

s_k_911

上面是楼主的帖子。。


PJ无线路由密码，如何保护自己的无线网络和数据安全（免费贴）http://forum.anywlan.com/thread-116563-1-1.html