家庭網(wǎng)絡(luò)安全網(wǎng)絡(luò)劫持與預(yù)防

流量劫持是一種最簡(jiǎn)單不過(guò)的網(wǎng)絡(luò)攻擊手段，特別是前段時(shí)間各大廠商路由器相繼出現(xiàn)安全漏洞后，這種劫持攻擊手段又鬧得沸沸揚(yáng)揚(yáng)。只有用戶沒(méi)有修改路由器默認(rèn)賬戶與密碼，通過(guò)瀏覽器打開一個(gè)網(wǎng)頁(yè)甚至帖子，路由器配置就會(huì)被暗中修改，家庭互聯(lián)網(wǎng)一夜間似乎變得岌岌可危。

但是，絕大多數(shù)用戶早已見(jiàn)慣運(yùn)營(yíng)商的流量劫持，頻繁的廣告彈窗讓已經(jīng)讓用戶麻木不已。事實(shí)上，這種被運(yùn)營(yíng)商劫持算是幸運(yùn)的，相比隱匿在暗中的神秘黑客，運(yùn)營(yíng)商這點(diǎn)只是小兒科，一切看似風(fēng)平浪靜毫無(wú)異常，或許已有一個(gè)天大的間諜潛伏在網(wǎng)絡(luò)里，隨時(shí)等你上鉤，這可不是彈廣告那樣簡(jiǎn)單，而是要謀財(cái)盜號(hào)了。

當(dāng)我們打開瀏覽器，以“網(wǎng)絡(luò)安全”為關(guān)鍵詞在搜索引擎進(jìn)行搜索，你能得到數(shù)以萬(wàn)計(jì)的信息，其中究竟哪些有效，便不得而知了。如何做到路由器不被劫持其實(shí)并不難，現(xiàn)在筆者就將自己的經(jīng)驗(yàn)整理，讓讀者朋友們的無(wú)線網(wǎng)絡(luò)更加的安全。

Tips

相信有不少用戶都有這樣的觀點(diǎn)，包括曾經(jīng)的筆者：只有安全意識(shí)薄弱的人才會(huì)被入侵，但凡只要安裝了專業(yè)防火墻，即使更新系統(tǒng)補(bǔ)丁，絕對(duì)不會(huì)出現(xiàn)被入侵的情況。的確，安全意識(shí)強(qiáng)的確不易被入侵，但這只針對(duì)傳統(tǒng)的木馬病毒，在流量劫持前面，人人平等，網(wǎng)絡(luò)安全并不等于操作系統(tǒng)的安全，家庭網(wǎng)絡(luò)是各個(gè)硬件設(shè)備的組合體，只要其中一個(gè)環(huán)節(jié)出現(xiàn)問(wèn)題，你的網(wǎng)絡(luò)就如同一張薄紙，一捅就破。特別是越來(lái)越便宜的路由器，它們可是承載著各種網(wǎng)銀、支付寶等交易流量，他們是否安全呢？

路由器弱口令

當(dāng)手持移動(dòng)設(shè)備高速發(fā)展的同時(shí)，家庭WiFi路由器市場(chǎng)也隨之火熱起來(lái)。由于路由器配置煩瑣，設(shè)置界面體驗(yàn)略差，192.168.1.1與admin/admin幾乎是國(guó)內(nèi)路由器的常量（如圖1），當(dāng)設(shè)置完路由器后，相信絕大多數(shù)用戶不會(huì)修改路由器管理員用戶密碼，這就為不法用戶提供了一個(gè)巨大的漏洞。

如果有人入侵你的網(wǎng)絡(luò)，重啟路由或是限制你的網(wǎng)絡(luò)速度，你得感謝入侵者的仁慈，畢竟這都不會(huì)為你的經(jīng)濟(jì)帶來(lái)?yè)p失。一旦修改了路由器的DNS，那后果就相當(dāng)嚴(yán)重了，這比公共網(wǎng)絡(luò)的DNS被劫持還要嚴(yán)重。當(dāng)然了，安全意識(shí)強(qiáng)的用戶在設(shè)置完路由器后仍然也會(huì)使用默認(rèn)管理員賬戶密碼。理由很簡(jiǎn)單，目前的路由器有兩道門檻：一個(gè)WiFi連接密碼，另一個(gè)才是管理密碼。很多人設(shè)置了復(fù)雜的 WiFi 密碼就高枕無(wú)憂了，WiFi密碼暴力破解會(huì)讓你看似牢固的城墻成為豆腐渣工程。

不法分子除了修改 DNS 配置外，還會(huì)為路由器更換固件，將路由器固件替換成一個(gè)看似完全相同但植入了惡意程序的固件。盡管這目前還尚未普及，然而一旦流行，大批路由器將成為潘多拉魔盒。防范措施：千萬(wàn)別輕視路由器管理員賬戶與密碼，其實(shí)它比你所有賬號(hào)都重要，建議用戶在設(shè)置完網(wǎng)絡(luò)賬戶與密碼后，再進(jìn)入系統(tǒng)設(shè)置登入管理員修改界面，將系統(tǒng)默認(rèn)的admin/admin賬戶密碼進(jìn)行修改（如圖2），隨后將路由器管理后臺(tái)的默認(rèn)地址192.168.1.1修改成其他的IP地址（部分路由器不支持此項(xiàng)功能）。

免費(fèi)代理的陷阱

不少用戶為了流暢使用Google、FaceBook以及YouTube，通過(guò)網(wǎng)絡(luò)購(gòu)買代理，他們可不管代理是否安全，只要能翻過(guò)就是好的。

VPN 需要用戶名密碼以及各種認(rèn)證，中途被劫持幾乎是不可能的。網(wǎng)絡(luò)上的不法分子抓住了用戶的需求，將目光轉(zhuǎn)移到代理上，雖然加密后的數(shù)據(jù)難以劫持，但在服務(wù)端上做點(diǎn)文章絕對(duì)可行。如果一時(shí)大意，連接了不法分子提供的免費(fèi)VPN（如圖3），那你就上賊船了，特別是VPN 將整個(gè)系統(tǒng)的流量都發(fā)送出去，而這一切你的防火墻或是應(yīng)用程序并不知曉，仍然將重要的數(shù)據(jù)往外發(fā)送，讓你的網(wǎng)絡(luò)被劫持。

想要防范這種網(wǎng)絡(luò)劫持其實(shí)很簡(jiǎn)單，不要貪圖小利而使用打著免費(fèi)幌子的代理，在這個(gè)時(shí)代絕對(duì)沒(méi)有白食的午餐！

WiFi口令弱

當(dāng)互聯(lián)網(wǎng)延伸到移動(dòng)設(shè)備時(shí)，無(wú)線網(wǎng)絡(luò)逐漸進(jìn)入人們視野。由于無(wú)線路由器的廉價(jià)與便利，幾乎可以應(yīng)用到所有的移動(dòng)設(shè)備，人們可以隨時(shí)隨地上網(wǎng)，這也為不法分子營(yíng)造了可乘之機(jī)。

無(wú)論上網(wǎng)方式如何變化，以太網(wǎng)始終是網(wǎng)絡(luò)的核心，無(wú)論WiFi 電波怎樣傳輸，最終只有還原出標(biāo)準(zhǔn)的以太網(wǎng)封包才能被路由解讀。無(wú)線網(wǎng)絡(luò)形同一個(gè)看不見(jiàn)的巨大集線器，無(wú)需任何物理傳播介質(zhì)，附近所有人都可以收聽(tīng)數(shù)據(jù)信號(hào)，專業(yè)設(shè)備甚至能在更遠(yuǎn)處直接捕獲。如果沒(méi)有一種強(qiáng)有力的加密方式把數(shù)據(jù)封裝起來(lái)，那么就毫無(wú)隱私可言了。

隱藏?zé)o線信號(hào)（SSID）

隱藏?zé)o線信號(hào)（SSID號(hào)）是讓無(wú)線網(wǎng)絡(luò)處于安全環(huán)境中試用最簡(jiǎn)單也最有效的方式，只要隱藏信號(hào)，任何人都無(wú)法搜索到你的無(wú)線信號(hào)，想要連接，必須同時(shí)知道SSID號(hào)和密碼。

首先，我們進(jìn)入路由器設(shè)置界面，進(jìn)入無(wú)線網(wǎng)絡(luò)配置菜單后，在網(wǎng)絡(luò)設(shè)置選項(xiàng)中我們可以得到無(wú)線網(wǎng)絡(luò)的所有信息。這時(shí)我們需要做的是將SSID與網(wǎng)絡(luò)密碼正確記錄下來(lái)，并將SSID廣播設(shè)置為關(guān)閉（如圖4），保存即可生效，完成這一操作后，我們所有連接在網(wǎng)絡(luò)中的設(shè)備都會(huì)與網(wǎng)絡(luò)斷開。

現(xiàn)在我們就需要手動(dòng)輸入網(wǎng)絡(luò)，讓這些設(shè)備重新與網(wǎng)絡(luò)連接。我們?cè)谑殖种悄茉O(shè)備上進(jìn)入設(shè)置選項(xiàng)，在WLAN設(shè)置窗格中選擇“添加網(wǎng)絡(luò)”輸入SSID（如圖5），在安全性菜單中選擇“WPA/WPA2 PSK”，最后再輸入無(wú)線網(wǎng)絡(luò)密碼即可連接。在筆記本電腦上，我們連接屏蔽信號(hào)的無(wú)線網(wǎng)絡(luò)操作同樣簡(jiǎn)單，點(diǎn)擊桌面右下角的網(wǎng)絡(luò)連接圖標(biāo)，在彈出網(wǎng)絡(luò)選擇欄中點(diǎn)擊最底部的其他網(wǎng)絡(luò)，輸入SSID號(hào)與密碼即可連接網(wǎng)絡(luò)。

開啟MAC地址過(guò)濾

通過(guò)MAC地址過(guò)濾的安全性比屏蔽SSID信號(hào)還安全，但是它實(shí)施起來(lái)卻要復(fù)雜許多。進(jìn)入路由器設(shè)置界面，在無(wú)線網(wǎng)絡(luò)設(shè)置中點(diǎn)擊下拉菜單，找到無(wú)線MAC地址過(guò)濾，點(diǎn)擊啟用無(wú)線MAC地址過(guò)濾。在過(guò)濾規(guī)則中選擇允許，再在添加新條目中輸入你設(shè)備的MAC地址，保存即可。

查看手機(jī)或電腦的MAC地址：

在手機(jī)上的操作最簡(jiǎn)單，在設(shè)置里界面中進(jìn)入WLAN設(shè)置，再點(diǎn)擊手機(jī)菜單按鍵，選擇屏幕下方的“高級(jí)”選擇，在此我們可以查看到MAC地址（如圖6）。（或設(shè)置界面，進(jìn)入關(guān)于手機(jī)，點(diǎn)擊硬件信息，在此處也能查看到MAC地址，適用于Android系統(tǒng)的的手機(jī)或平板）。

在電腦端，我們可以通過(guò)命令提示符來(lái)查找我們的MAC地址。按下“WIN+R”組合按鍵，開啟命令提示符，輸入ipconfig/all命令獲取完整的地址信息，其中“Physical Address（物理地址）”就是我們的MAC地址（如圖7）。

踢出網(wǎng)絡(luò)占用者

隨著 WiFi 萬(wàn)能鑰匙等軟件的流行，越來(lái)越多人加入了蹭網(wǎng)大軍，不僅偷用別人的網(wǎng)絡(luò)，而且還常開迅雷、BT之類的耗盡帶寬流量的應(yīng)用，導(dǎo)致原本的主人都不能正常上網(wǎng)。我們就需要利用一切防御手段斬?cái)嗖渚W(wǎng)者的黑手。

被蹭網(wǎng)的危害相信大家都會(huì)知道，不但網(wǎng)速帶寬被人占用，更重要的是如果無(wú)意中開放了共享的文件夾或者遇到有點(diǎn)網(wǎng)絡(luò)知識(shí)、黑客知識(shí)的“有心人”，很有可能還會(huì)被竊取重要資料、隱私等。如果家中使用了無(wú)線網(wǎng)絡(luò)，那就建議你使用名為Wireless Network Watcher的工具定期檢查你的無(wú)線網(wǎng)絡(luò)。

運(yùn)行 Wireless Network Watcher 之后，點(diǎn)擊“開始掃描”按鈕，軟件便會(huì)自動(dòng)掃描整個(gè)局域網(wǎng)網(wǎng)段的IP （默認(rèn)為192.168.1.1到192.168.1.255），然后軟件就會(huì)把全部連接上的網(wǎng)絡(luò)設(shè)備（包括移動(dòng)設(shè)備、電腦、家用游戲機(jī)以及電視盒子）的IP地址、MAC物理地址、制造廠商等信息列出來(lái)（如圖8）。一旦發(fā)現(xiàn)有陌生設(shè)備，可以立即通過(guò)路由器設(shè)置將該設(shè)備的MAC物理地址加入黑名單（如圖9），或者更換WIFI密碼來(lái)阻止他人繼續(xù)蹭網(wǎng)。

當(dāng)然，現(xiàn)在很多路由器的后臺(tái)都能看到全部連接的客戶端列表了，但大多只能看到 IP 地址以及 MAC 物理地址（如圖10），如果你的環(huán)境里設(shè)備比較多的話，基本上難以分辨到底都是哪臺(tái)設(shè)備了。而Wireless Network Watcher 的優(yōu)點(diǎn)是它還能看到設(shè)備的制造商信息，從而可以更加輕松地判斷。

另外，如我們還可進(jìn)入高級(jí)設(shè)置頁(yè)面，將Wireless Network Watcher開啟后臺(tái)掃描，用戶可根據(jù)自己的需求設(shè)置掃描間隔時(shí)間，并在“監(jiān)測(cè)到新設(shè)備時(shí)執(zhí)行一下命令”功能來(lái)提示自己有陌生設(shè)備的聯(lián)入，這對(duì)于及時(shí)發(fā)現(xiàn)蹭網(wǎng)者有非常大的幫助（如圖11）。利用 Wireless Network Watcher 還能在不知道路由器管理密碼的情況下快速判斷是否有蹭網(wǎng)者，從而快速地采取行動(dòng)。