V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
jaggerkyne
V2EX  ›  问与答

家里无线网络( wifi)如何防蹭?

  •  
  •   jaggerkyne · 2016-02-11 11:01:26 +08:00 · 7416 次点击
    这是一个创建于 3212 天前的主题,其中的信息可能已经有所发展或是发生改变。

    这最近真的成了问题,水星的,华为的,小米的, tp-link 的,不管是用 mac 地址过滤或者强制性绑定,甚至是隐藏网络,在用一段时间后,最长坚持 1 个星期,最短就几个小时,网速就会变得特别的慢,甚至是出现登录不上路由器这样的情况。但没有查看到不是白名单内的 mac 地址。

    然后就是各种 wifi 抽风,用着用着就断线。用小米的防蹭机制查了一下,在 1 个小时内,最多被攻击 1000 多次。

    还请大神们推荐一个可以安全无线上网和路由器或者方案。我们大约有 30 台左右的客户端(全部在线时),经常在线的是 10 台左右。

    价格在 2000 块钱以内吧。

    66 条回复    2016-02-12 19:19:24 +08:00
    VersusClyne
        1
    VersusClyne  
       2016-02-11 11:15:19 +08:00
    让他连接 限速 1kb∠( ᐛ 」∠)_
    smallfount
        2
    smallfount  
       2016-02-11 11:19:46 +08:00
    开 radius 把...
    RouterOS 应该可以自己内建一个 Radius 服务器的...然后就能用类似企业认证的方式了...
    再搞点撒用户组之类的....区别对待下
    yemenchun1
        3
    yemenchun1  
       2016-02-11 11:19:59 +08:00 via iPhone
    你是不是做过无线级联什么的?以前我用两台路由器无线一台连另一台做扩展就用用就特卡,后来换成有线互联就好了。
    VersusClyne
        4
    VersusClyne  
       2016-02-11 11:20:17 +08:00
    或者改成 ac only 一般 low 逼的设备连不上
    jhaohai
        5
    jhaohai  
       2016-02-11 11:23:35 +08:00 via iPhone
    这个是无线的干扰吧
    paradoxs
        6
    paradoxs  
       2016-02-11 11:25:22 +08:00
    家里设备那么多,你管的过来吗?
    DHCP 自动分配去“低速组” 下载 100 上传 10

    高速组 IP 要手动填
    Cannikin
        7
    Cannikin  
       2016-02-11 11:30:40 +08:00 via Android
    没说网络拓扑结构
    jasontse
        8
    jasontse  
       2016-02-11 11:34:36 +08:00 via iPad
    你不说你是如何做的安全设置是无法分析出怎么被蹭的,唯一比较确定的是你附近住着个 script kiddie 。
    airyland
        9
    airyland  
       2016-02-11 11:46:24 +08:00
    小米的不是可以把蹭网的直接列入黑名单吗。
    halczy
        10
    halczy  
       2016-02-11 11:55:43 +08:00
    用 RouterOS 做主力路由吧, 我家开放网络给附近的人用, 最多见过有 20 多台机都毫无压力.

    布局是 RouterOS 主力(有线), 一台 Netgear, 两台水星全部设置到 AP 模式, Wi-Fi 频道不重叠.
    jaggerkyne
        11
    jaggerkyne  
    OP
       2016-02-11 11:57:08 +08:00
    @VersusClyne 没办法,都没有看到陌生的 mac 地址。只开 ac 不行,因为家里还有人用别的。
    @yemenchun1 之前有,但后来只换成了一个无线路由,所以应该不是这个问题。
    @jhaohai 觉得也是,难道只能加强本地信号吗?
    @paradoxs 已经做了,甚至连陌生的 mac 直接就封。
    @jasontse 我也想之道到底是怎么回事,我让我在电信机房的朋友看了一下,端口和上联都是正常的状态。但就是没有查到到底是谁?只是确定是一台索尼的机器一直在做入侵的工作。有没有办法反击?直接把对方的机器烧了?
    @Cannikin 如何所网络拓扑结构?我有 wifi rada pro 和 netspot ,我这附近的 wifi 信号有 12 个,用的是 wpa2 个人版加密。
    sloppysop
        12
    sloppysop  
       2016-02-11 11:57:53 +08:00 via iPhone
    过年家里亲戚来,手机里都装了 wifi 万能钥匙
    knktc
        13
    knktc  
       2016-02-11 11:59:16 +08:00
    wifi 万能钥匙都在央视做广告了,成功洗白~
    Cannikin
        14
    Cannikin  
       2016-02-11 11:59:32 +08:00 via Android
    其实只需要主力路由性能牛逼,不是无线都没关系,然后从路由 lan 接主路由 lan 并关闭从路由 dhcp 就可以了。从路由有个 200 左右就可以了。
    Cannikin
        15
    Cannikin  
       2016-02-11 12:03:16 +08:00 via Android
    依你的说法,其实是附近有人一直在抓你的无线数据,然后不停注入导致无线路由 cpu 满负荷直至宕机。因为注入是很容易导致路由宕机的。
    wy315700
        16
    wy315700  
       2016-02-11 12:03:38 +08:00
    用有线
    jaggerkyne
        17
    jaggerkyne  
    OP
       2016-02-11 12:04:18 +08:00
    @airyland 理论上是的,但是当同时在线的机器超过 20 台,小米就开始抽风了。
    @halczy 有什么硬件直接可以买到的吗?还是软件的啊?问题附近最少有 10 个以上的 wifi 信号,难保对方的和我的信号不重叠啊!
    @sloppysop 这个问题应该不存在,我因为直接 mac 锁定了。
    @Cannikin 能介绍一款主力性能牛逼的路由吗?
    jaggerkyne
        18
    jaggerkyne  
    OP
       2016-02-11 12:08:30 +08:00
    @Cannikin 我想是无差别的抓无线数据,但是就算我的用隐藏网络, mac 捆绑, ip 捆绑,还被抓吗?有没有办法反击?

    我们这里靠近澳门,经常都有一些奇奇怪怪的信号,但无线网络真的好像就像被迫式被人“轮奸”。我甚至觉得附近可能有骇客在这里抓肉鸡,因为我们这里的下线最少 100M ,快的有 1G 的,上线至少 5M ,快的有 100M 。

    有没有大神能给一个方案?
    wbsdty331
        19
    wbsdty331  
       2016-02-11 12:10:42 +08:00
    mac 地址黑名单啊
    我家几十块钱的 TP 都有
    Cannikin
        20
    Cannikin  
       2016-02-11 12:11:20 +08:00 via Android
    如果不在乎主路由大小的话,用整合 CPU 的微型主板装个爱快、海蜘蛛之类的软路由就可以了。如果不喜就买价位高的性能好的,能刷 openwrt 的。
    xmoiduts
        21
    xmoiduts  
       2016-02-11 12:11:25 +08:00 via Android
    @jaggerkyne 建个蜜罐 wifi 来监视此疑似黑客?
    halczy
        22
    halczy  
       2016-02-11 12:11:50 +08:00
    @jaggerkyne RouterOS 可以自己组台机装 RouterOS 系统, 或者直接买官方的 RouterBoard http://routerboard.com (淘宝有的卖).

    我用 Android 上的 inSSIDer 2. 这个软件可以推荐当前这个位置设什么频道最好.
    Cannikin
        23
    Cannikin  
       2016-02-11 12:12:21 +08:00 via Android
    隐藏网络, mac 捆绑, ip 捆绑,这些都是无法挡住攻击的。
    Cannikin
        24
    Cannikin  
       2016-02-11 12:14:05 +08:00 via Android
    现在的无线路由器都带有信道自动更换功能,所以不会是信道的问题。
    Syaoran
        25
    Syaoran  
       2016-02-11 12:24:59 +08:00 via Android
    你说没有查到异常 mac 地址,不就是没人蹭网么?难道还能隐藏 mac 蹭网?
    ebony0319
        26
    ebony0319  
       2016-02-11 12:25:33 +08:00 via Android
    这样子我给你分析一下。你说在隐藏网络情况下也可以找到和改密码效果不明显。那是不是 PIN 码码连接开启了或者被泄密了。这么多设备理论应该是没有问题的,但是多用几个路由器分出来然后 wds 其实效果更好。
    还有一个想法,就是如果准备一台路由器只给他攻击,限制这台路由器,然后把正常的隐藏使用说不定可以。
    ebony0319
        27
    ebony0319  
       2016-02-11 12:27:07 +08:00 via Android
    再来一个密码: br13j.hhrh6.
    简单好记:白日依山尽,黄河入海流。
    homever
        28
    homever  
       2016-02-11 12:28:53 +08:00
    我都是开 guest ,不加密,亲戚走了就关掉
    veevly
        29
    veevly  
       2016-02-11 12:30:05 +08:00 via iPhone
    把 SSDID 改成 CMCC ,一般人我真的不告诉他!
    jasontse
        30
    jasontse  
       2016-02-11 12:31:28 +08:00 via iPad
    找电信查你内网的蹭网怎么可能查得到。你无线是怎么设置的
    fzinfz
        31
    fzinfz  
       2016-02-11 12:46:22 +08:00 via iPad
    路过,只想说 microtik/ros 不建议用无线,各种软件 bug 。。。。
    推荐看下 Ubnt/ruckus/aruba 等,不过我也没用过
    fzinfz
        32
    fzinfz  
       2016-02-11 12:47:39 +08:00 via iPad
    microtik->mikrotik
    konakona
        33
    konakona  
       2016-02-11 13:26:46 +08:00
    谁那么恶性...
    让它连,然后知道它的内网 IP 后你开始攻击它,往它电脑里塞木马,弄死丫的,然后你再把它踢下线 换个 SSID-V-
    xmoiduts
        34
    xmoiduts  
       2016-02-11 13:33:11 +08:00 via Android
    @konakona 我想起了 360wifi
    对方连上自己开的 360wifi 之后,在自己的电脑上点击“立即安装 360wifi ”。
    hqs123
        35
    hqs123  
       2016-02-11 13:36:56 +08:00
    作为学雷锋一份子,我都是共享 wifi
    hqs123
        36
    hqs123  
       2016-02-11 13:37:34 +08:00
    作为学雷锋 一份子,我都是共享 wifi 。
    pH
        37
    pH  
       2016-02-11 13:37:46 +08:00
    @veevly 不会和本身就存在的 CMCC 冲突么 0-0
    @Cannikin 借问一下从路由 lan 接主路由 lan 的话,连接从路由的设备的地址是由主路由的 DHCP 来分配的吧?
    dalaomj
        38
    dalaomj  
       2016-02-11 13:46:34 +08:00
    没有办法。也许破解一个 wifi 很难,但瘫痪一个 wifi 非常容易。
    关闭 wps ,设置个强密码。基本就破解不了了。但没办法防瘫痪式攻击。
    squid157
        39
    squid157  
       2016-02-11 14:35:36 +08:00 via iPhone
    如果真是抓包然后发送包,专门搞你,直觉上这么搞是违法的。但警察肯定不管。

    所以。。你也搞回去嘛
    jasontse
        40
    jasontse  
       2016-02-11 14:49:55 +08:00 via iPad
    @squid157
    那个"一小时攻击 1000 次"的我非常怀疑真实性,因为 WPA 没人用这种方法破的。
    AntonChen
        41
    AntonChen  
       2016-02-11 15:08:44 +08:00
    买个 ubnt 的二手 AP 吧 配合 ROS 做主路由真是爽得不要不要的
    feather12315
        42
    feather12315  
       2016-02-11 15:17:03 +08:00 via Android
    我赞同 33 楼,让他连,然后进行攻击
    dalaomj
        43
    dalaomj  
       2016-02-11 16:05:02 +08:00
    @jasontse 抓握手包这个操作中,有个前置步骤,类似于阻断目标 wifi 。
    如果信号很弱,抓到的握手包总无效,破解程序会机动的反复执行该步骤。于是就形成了瘫痪式攻击的效果。
    charlie21
        44
    charlie21  
       2016-02-11 16:09:09 +08:00
    pretend that it does not exist
    Cannikin
        45
    Cannikin  
       2016-02-11 16:14:28 +08:00 via Android
    是的。从路由的所有管理都是在主路由,所以需要主路由性能强大些。
    squid157
        46
    squid157  
       2016-02-11 17:05:20 +08:00 via iPhone
    @jasontse 也许对方在用 reaver ?我觉得可能就是 packet injection 在搞
    Myprincess
        47
    Myprincess  
       2016-02-11 18:15:42 +08:00 via Android
    我一般是把 SSID 隐藏,然后绑定 MAC 地址。
    mhycy
        48
    mhycy  
       2016-02-11 20:07:04 +08:00
    不知道实际的物理场景是怎样,现在看起来对方只是在不停地发送握手包瘫痪路由而已。
    别忘了无线网络是共享信道,别说握手包,同频率的微波炉都能把网搞瘫。

    常用策略:
    隐藏 SSID ,换频道,放蜜罐,改位置,增加信道(就是加节点)
    实际情况实际处理,建议用同名 SSID 放个蜜罐,限速 10KB/S ,丢包 50%
    mhycy
        49
    mhycy  
       2016-02-11 20:08:53 +08:00
    补充: 30 个设备在线正常状态下应该也不会快到哪去,毕竟半双工、共享信道、还得做冲突避免。。。
    ubear1991
        50
    ubear1991  
       2016-02-11 20:12:55 +08:00
    mac 过滤
    jacy
        51
    jacy  
       2016-02-11 20:13:18 +08:00 via Android
    不设密码,设置 portal
    loading
        52
    loading  
       2016-02-11 20:17:15 +08:00 via Android
    @mhycy 求不需加新设备的蜜罐方法。
    RqPS6rhmP3Nyn3Tm
        53
    RqPS6rhmP3Nyn3Tm  
       2016-02-11 20:45:19 +08:00
    关闭 WPS ,随机生成强密码, MAC 地址过滤,基本上不会有问题了。
    要是还不放心再加个 Web 认证
    justpayne
        54
    justpayne  
       2016-02-11 23:37:22 +08:00 via iPhone
    30 台设备一般路由压力都挺大的,主路由加 AP 吧
    mxonline
        55
    mxonline  
       2016-02-11 23:53:21 +08:00
    主路由刷 onen-wrt 上 web 认证
    mhycy
        56
    mhycy  
       2016-02-11 23:54:43 +08:00
    @loading
    物理层的事情,无解
    edsgerlin
        57
    edsgerlin  
       2016-02-12 00:10:49 +08:00
    随机生成 SSID+强密钥( 63 个字符那种)+隐藏 SSID+MAC 白名单。
    jaggerkyne
        58
    jaggerkyne  
    OP
       2016-02-12 00:19:51 +08:00
    @halczy 谢谢你,我到淘宝上看一下。
    @Cannikin 那怎样才能不被攻击,甚至是反击呢?
    @Syaoran 这也是我最不能明白的地方,但是我发现被攻击的路由器基本都要做恢复出厂设置之后才能使用,有时让我不得不觉得是不是这些是路由厂商没有被公开的硬件或者软件漏洞导致了设置的改变。
    @ebony0319 尝试过,但这样整个家里电磁反映爆表。
    @konakona 有没有想要的教程,我也想做一下反击。
    @dalaomj 我的确有这样的怀疑,但是这样做的目的何在?总不能没事费自己的资源去瘫痪他人的路由吧。到目前的状态,对方吸走了 80%以上的带宽,如果我这里有多几台机子上网,那么带宽恢复到 40%,但是一旦进行电信测速,我马上就能要回 90%左右的带宽。但就是没发现被怎么偷的?我有时候还怀疑是电信刷诈呢。
    @squid157 我也问过本地的网警,说取证太难,需要好几个部门“联合执法”才有可能,但是要几个部门“联合执法”要用证据,就是一个鸡蛋问题。我也想之道如何反击回去。
    @jasontse 我自己也不信,但这是小米路由防蹭页面的显示。
    @Myprincess 我以前也是这样,但是当我出差一个星期后回家,发现我根本连不上我自己的路由器,网是可以上的,但是就是无法链接 192.168.1.1 进入 admin 页面。
    @mhycy 怎么做蜜罐,有教程吗?
    @BXIA 怎么加 web 认证?
    @jacy 有教程吗?还是要换硬件?
    VersusClyne
        59
    VersusClyne  
       2016-02-12 00:20:39 +08:00
    对了 用中文 ssid 名称 可以阻挡很多 low 逼设备连接
    ∠( ᐛ 」∠)_
    貌似 os x 也不认中文 ssid 囧
    mhycy
        60
    mhycy  
       2016-02-12 01:03:09 +08:00
    @jaggerkyne

    最简单就是主路由用有线( EDGEROUTER LITE 之类的)
    无线路由做节点,内部用一个名字不靠谱的 SSID 或者直接隐藏,对外就是用公司名。
    (现有是啥就用啥,看起来你们没换路由更好)
    那个公司名的节点就是蜜罐,限速 10K ,换成别的信道,随便他破。
    Halry
        61
    Halry  
       2016-02-12 09:28:50 +08:00
    买台好点的路由,刷个 openwrt.
    问题是如果是 mdk3 的话我真的没有办法.
    还有一定要用 aes,tkip 有漏洞可以让路由器瘫痪
    Halry
        62
    Halry  
       2016-02-12 09:30:49 +08:00
    openwrt 顺便设置 802.11w
    写个脚本把信号超差的 mac 踢掉
    ivanor
        63
    ivanor  
       2016-02-12 10:37:33 +08:00
    @VersusClyne OS X 10.11 已经完美支持中文 ssid 了。
    DreaMQ
        64
    DreaMQ  
       2016-02-12 11:10:57 +08:00
    其实有没有可能是伪装了 MAC 地址蹭网?
    chinawrj
        65
    chinawrj  
       2016-02-12 13:10:40 +08:00
    不用设置密码就可以防了,我都这样干的
    bjrjk
        66
    bjrjk  
       2016-02-12 19:19:24 +08:00
    我自己一般都是设置 MAC 白名单,家里每人手机挨个看 MAC ,写进路由器里……
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3145 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 13:29 · PVG 21:29 · LAX 05:29 · JFK 08:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.