如何拒绝为“网上邻居”上网买单！（转）

qiao2009a

近年来，无线网卡、无线ADSL路由器等无线网络产品迅速普及，越来越多的人采用无线上网的方式。特别是通过有线接入Internet，局域网采用无线方式组件的方式，由于它低廉和较高的网速，受到使用者的普遍欢迎。但是，如果设置不当，那么我们就可能为别人上网买单。

1、无线上网面临入侵威胁

      当我们在享受无线网络带来的便捷的同时，无线路由（或无线AP）发射的信号越过门缝，穿过墙壁，覆盖了我们的左邻右舍。如果你邻居的电脑也装有无线网卡，那么，无线网被非法接入，邻居“搭便车”上网的风险就不期而至。

     有人说，不用担心，我的无线网有安全防护措施，比如无广播SSID，启用WEP加密安全机制等等。然而，这些安全手段，在网上随处可得的黑客工具面前，根本不堪一击。

     例如著名的NetStumbler软件，运行后可以捕捉到覆盖本区域的所有无线信号，并列出SSID、使用频道、是否加密等重要参数。

     而WinAirCrackPack工具包，就是专门用来破解wep密码的。在收集了足够数量的数据帧后，以下的事情只要操作者简单地点几下鼠标，就能轻松地得到你费尽心机设置的WEP密码。

2、巧设IP防搭“顺风车”

      那么，是不是就没有办法了呢？也不是。想一想平时配置有线网络时，连好网线后要做的事情？对，就是设置正确的IP地址。只有连接好网线，同时为路由器、主机都设置了正确的IP，才能正常上网。

     别人破解了你的WEP密码，连接到你的无线路由，也仅仅是相当于连接好了网线，如果不能设置正确IP，同样不能上网。这样的话，即使破解了你的wep密码，也是毫无意义的。

     然而，很多人并没有意识到这一点，只是绞尽脑汁在密码设置上下功夫，无线路由的ip地址十有八九是192.168.1.1，子网掩码255.255.255.0，

主机则设置为该网段的任一地址，有的干脆，直接在无线路由上启用DHCP服务，为接入主机动态分配一个ip。动态分配方式就不用说了，而192.168.1.0往往是‘不速之客’猜测的第一个网段。这样的设置，对侵入者来说，无疑是城门打开。

      安全的ip设置方式，首先一定要禁用DHCP服务，改用手工为主机设置ip。其次，根据上网主机数量，利用子网划分技术，在适合主机数量的网段中随意选择一个使用。不仅可以使用192.168.1.0网段，其他的私有ip地址段都可以用来划分子网。

     例如，家庭上网只有一台主机，以192.168.1.0（255.255.255.0）网段为例划分子网，使用掩码255.255.255.252，得到可用的子网有62个，每个子网可用ip2个。如使用第一个子网，那么，无线路由局域网口设置如下

        ip：192.168.1.5

        子网掩码：255.255.255.252

        主机局域网口设置如下：

        ip:192.168.1.6

        子网掩码：255.255.255.252

        缺省网关：192.168.1.5

      那么，这种情况的安全性可以说是“固若金汤”。即使对方通过其他途径知道你的ip设置也没有用，因为整个网段可用ip地址只有两个，无线路由、主机各占一个，没有其他的ip可用。

     如有2-5台主机上网，仍以192.168.1.0（255.255.255.0）网段为例划子网，使用掩码255.255.255.248，得到可用的子网有30个，每个子网可用ip有6个。如使用第一个子网（实际中可以随机挑选一个子网，以增加安全性），那么，无线路由局域网口设置如下：

        ip：192.168.1.9

       子网掩码：255.255.255.248

       主机局域网口设置如下：

       ip:192.168.1.10~14

       子网掩码：255.255.255.248

       缺省网关：192.168.1.9

     这种情况下，如果对方破解了wep密码（灵敏数据保密传输安全系统，为无线网络提供传输加密），还要同时猜测出你使用的网段掩码，无线路由地址等参数，同时网段内还要有剩余ip可用，才能成功连接。

    得到这些参数仅靠猜测几乎是“不可完成任务”，但如果对方使用了其他包捕获工具，加上足够的耐心，有可能得到你使用的网段以及网段内的ip，此时如果有剩余ip，怎么办呢？

     很简单，大部分的无线路由都有简单的防火墙功能，通过配置，可以禁止特定的ip访问，因此，可以通过配置访问控制列别，将网段内剩余的ip禁用，你邻居本事再大，总不至于跑到你家更改你的路由配置吧。

     总结

上面的方法，实际上避开物理层的接入问题，转而在网络层加强安全控制，不让非法接入者得到正确的ip地址，从而使得接入者即使成功接入，也变得毫无意义，除了枉费心机外，得不到任何好处也不能造成任何危害。

onlinelove123

有盾必有矛!有矛必有盾!

fswyd

我坐我家就可以设置邻居家的无线路由!!
太菜了,无线不加密,web管理密码也没改,甚至连ADSL的密码也是网通公司的初始密码!

Salvisian

我坐我家就可以设置邻居家的无线路由!!
太菜了,无线不加密,web管理密码也没改,甚至连ADSL的密码也是网通公司的初始密码!
fswyd 发表于 2009-9-20 01:11

不是人人都是网络专家的，相当多的人根本不知道什么是IP。

好猫不一样

ARP绑定 限制列表外机器

逸飞2008

不是人人都是网络专家的，相当多的人根本不知道什么是IP。
Salvisian 发表于 2009-9-20 09:52

有这样的同感，有几个人用我的网络，连IP都不会设置，这些人就会开机关机，聊天。大部分人对网络还是不怎么了解的

alexfeng

一个人要是在什么领域都是专家的话，(1)太累！(2)世界大乱！
所以，我们有人不懂种稻米、不懂建房子、不懂制造原子弹！
不是专家很正常。
但重要的是要不断去学习！

jsdyfxhml

好文章，学习了！

linsingfaw

好文章，学习了！谢谢楼主的分享~~