qiao2009a 发表于 2009-7-9 07:50:45

如何拒绝为“网上邻居”上网买单!(转)

近年来,无线网卡、无线ADSL路由器等无线网络产品迅速普及,越来越多的人采用无线上网的方式。特别是通过有线接入Internet,局域网采用无线方式组件的方式,由于它低廉和较高的网速,受到使用者的普遍欢迎。但是,如果设置不当,那么我们就可能为别人上网买单。

1、无线上网面临入侵威胁

      当我们在享受无线网络带来的便捷的同时,无线路由(或无线AP)发射的信号越过门缝,穿过墙壁,覆盖了我们的左邻右舍。如果你邻居的电脑也装有无线网卡,那么,无线网被非法接入,邻居“搭便车”上网的风险就不期而至。

   有人说,不用担心,我的无线网有安全防护措施,比如无广播SSID,启用WEP加密安全机制等等。然而,这些安全手段,在网上随处可得的黑客工具面前,根本不堪一击。

   例如著名的NetStumbler软件,运行后可以捕捉到覆盖本区域的所有无线信号,并列出SSID、使用频道、是否加密等重要参数。

   而WinAirCrackPack工具包,就是专门用来破解wep密码的。在收集了足够数量的数据帧后,以下的事情只要操作者简单地点几下鼠标,就能轻松地得到你费尽心机设置的WEP密码。

2、巧设IP防搭“顺风车”

      那么,是不是就没有办法了呢?也不是。想一想平时配置有线网络时,连好网线后要做的事情?对,就是设置正确的IP地址。只有连接好网线,同时为路由器、主机都设置了正确的IP,才能正常上网。

   别人破解了你的WEP密码,连接到你的无线路由,也仅仅是相当于连接好了网线,如果不能设置正确IP,同样不能上网。这样的话,即使破解了你的wep密码,也是毫无意义的。

   然而,很多人并没有意识到这一点,只是绞尽脑汁在密码设置上下功夫,无线路由的ip地址十有八九是192.168.1.1,子网掩码255.255.255.0,

主机则设置为该网段的任一地址,有的干脆,直接在无线路由上启用DHCP服务,为接入主机动态分配一个ip。动态分配方式就不用说了,而192.168.1.0往往是‘不速之客’猜测的第一个网段。这样的设置,对侵入者来说,无疑是城门打开。

      安全的ip设置方式,首先一定要禁用DHCP服务,改用手工为主机设置ip。其次,根据上网主机数量,利用子网划分技术,在适合主机数量的网段中随意选择一个使用。不仅可以使用192.168.1.0网段,其他的私有ip地址段都可以用来划分子网。

   例如,家庭上网只有一台主机,以192.168.1.0(255.255.255.0)网段为例划分子网,使用掩码255.255.255.252,得到可用的子网有62个,每个子网可用ip2个。如使用第一个子网,那么,无线路由局域网口设置如下

      ip:192.168.1.5

      子网掩码:255.255.255.252

      主机局域网口设置如下:

      ip:192.168.1.6

      子网掩码:255.255.255.252

      缺省网关:192.168.1.5

      那么,这种情况的安全性可以说是“固若金汤”。即使对方通过其他途径知道你的ip设置也没有用,因为整个网段可用ip地址只有两个,无线路由、主机各占一个,没有其他的ip可用。

   如有2-5台主机上网,仍以192.168.1.0(255.255.255.0)网段为例划子网,使用掩码255.255.255.248,得到可用的子网有30个,每个子网可用ip有6个。如使用第一个子网(实际中可以随机挑选一个子网,以增加安全性),那么,无线路由局域网口设置如下:

      ip:192.168.1.9

       子网掩码:255.255.255.248

       主机局域网口设置如下:

       ip:192.168.1.10~14

       子网掩码:255.255.255.248

       缺省网关:192.168.1.9

   这种情况下,如果对方破解了wep密码(灵敏数据保密传输安全系统,为无线网络提供传输加密),还要同时猜测出你使用的网段掩码,无线路由地址等参数,同时网段内还要有剩余ip可用,才能成功连接。

    得到这些参数仅靠猜测几乎是“不可完成任务”,但如果对方使用了其他包捕获工具,加上足够的耐心,有可能得到你使用的网段以及网段内的ip,此时如果有剩余ip,怎么办呢?

   很简单,大部分的无线路由都有简单的防火墙功能,通过配置,可以禁止特定的ip访问,因此,可以通过配置访问控制列别,将网段内剩余的ip禁用,你邻居本事再大,总不至于跑到你家更改你的路由配置吧。

   总结

上面的方法,实际上避开物理层的接入问题,转而在网络层加强安全控制,不让非法接入者得到正确的ip地址,从而使得接入者即使成功接入,也变得毫无意义,除了枉费心机外,得不到任何好处也不能造成任何危害。

onlinelove123 发表于 2009-7-9 19:41:02

有盾必有矛!有矛必有盾!

fswyd 发表于 2009-9-20 01:11:36

我坐我家就可以设置邻居家的无线路由!!
太菜了,无线不加密,web管理密码也没改,甚至连ADSL的密码也是网通公司的初始密码!

Salvisian 发表于 2009-9-20 09:52:27

我坐我家就可以设置邻居家的无线路由!!
太菜了,无线不加密,web管理密码也没改,甚至连ADSL的密码也是网通公司的初始密码!
fswyd 发表于 2009-9-20 01:11 https://www.chinadsl.net/images/common/back.gif

不是人人都是网络专家的,相当多的人根本不知道什么是IP。

好猫不一样 发表于 2009-9-20 13:09:30

ARP绑定 限制列表外机器

scorpio1600 发表于 2009-9-20 16:27:55

逸飞2008 发表于 2009-9-20 16:42:31



不是人人都是网络专家的,相当多的人根本不知道什么是IP。
Salvisian 发表于 2009-9-20 09:52 https://www.chinadsl.net/images/common/back.gif
有这样的同感,有几个人用我的网络,连IP都不会设置,这些人就会开机关机,聊天。大部分人对网络还是不怎么了解的

alexfeng 发表于 2009-9-20 18:25:38

一个人要是在什么领域都是专家的话,(1)太累!(2)世界大乱!
所以,我们有人不懂种稻米、不懂建房子、不懂制造原子弹!
不是专家很正常。
但重要的是要不断去学习!

jsdyfxhml 发表于 2009-10-14 20:13:21

好文章,学习了!

linsingfaw 发表于 2009-10-14 20:51:42

好文章,学习了!谢谢楼主的分享~~
页: [1] 2
查看完整版本: 如何拒绝为“网上邻居”上网买单!(转)