正确设置路由，杜绝被蹭网

正确设置无线路由

        常听到一个词“蹭网”，貌似现在家庭里使用无线路由和笔记本的越来越多了，针对这一点，写一篇关于蹭网实现的原理及如何预防。对于一般家庭来说，路由器一般都是默认设置，所以很容易被“蹭网”导致网速共享而变慢

开门见山，先说解决方法：

1，路由器启用WPA-PSK/WPA2-PSK AES方式加密

2，关闭SSID广播

3，设置路由器MAC地址绑定

说下具体操作：

1，打开路由器的“无线参数”->“基本设置”，将“开启SSID”广播前面的钩点掉

2，打开“无线安全设置”，选择WPA-PSK/WPA2-PSK，认证类型：WPA2-PSK，加密方式：AES ，PSK密码：尽量设置成数字+字符+字母

3，打开路由器的“防火墙设置”->“MAC过滤”，“MAC地址过滤”选择“启用”，“仅允许/禁止列表中的MAC地址”选择“仅允许”在底下的6个方块被填入自己电脑的MAC地址，然后点“添加”(MAC地址查询方式：在命令提示符下输入ipconfig /all)到此设置基本上就完成了。那么未授权的客户端，不管是通过有线还是无线方式都将无法访问路由器，也无法通过路由器访问外网，尴尬的是即使如此却也不是万能的，如果遇到了有耐心的入侵者仍然是不够的。

下面简单介绍下入侵者的破解方式：
        首先想要连接上路由器，那么入侵者就必须需要一个合法的MAC地址，入侵者通过使用抓包工具对无线数据报文进行捕获，然后通过对报文分析可以获得合法用户的MAC地址，MAC地址可以通过软件或者注册表来进行修改，甚至有些无线网卡驱动自带了伪造MAC地址功能。所以入侵者很容易的伪造出一个合法的MAC地址，拿到了第一把钥匙，路由器虽然采用了WPA2-PSK加密认证方式，但是有耐心的入侵者仍然是可以通过种种方法进行破解的，如比较流行的GPU运算破解，破解者只是需要更多一点的时间而已。这样破解者就可以使用你路由器来上网了。如果仅仅这样的话，下面又会产生一些问题。最显而易见的就是地址问题，如果你在上网，而入侵者也在使用你的路由器上网，那么在此网络上就会出现两个相同的MAC及IP地址。理论上来说在同一网络是不可能出现上面的情况，因为面对两个相同的地址，路由器不知道返回的数据包到底要传给哪台机器，而实际的情况却是两台机器仍然都能继续上网。可能是端口问题，临时端口决定了到底是哪一台电脑，也可能是路由器对报文进行了泛洪处理(有兴趣的可以用Sniffer抓包分析)，这样两台电脑都会收到来自路由器的相同的报文，也很好的解释了两台电脑都不稳定的问题，这样的入侵非常容易被发现。所以当发现无线网络数据不稳定的时候，可以使用扫描工具进行扫描，可以发现有同样MAC地的计算机存在，但是于机器名不同，很容易识别搜索该计算机，及时排除即可，遇到这种情况也可以在设置MAC地址过滤的同时，建立MAC地址与IP对应的ACL列表规则，设置MAC白名单，这样对方即使修改了MAC地址也会因为无法匹配和IP地址的规则而无法通过路由器上网。一般的无线路由器貌似不支持此功能，需要使用安全级别更高的路由器。
       对于一般的家庭用户来说，做好开始介绍的三点就足够了，绝对可以有效地对付大部分的蹭网者。