这最近真的成了问题,水星的,华为的,小米的, tp-link 的,不管是用 mac 地址过滤或者强制性绑定,甚至是隐藏网络,在用一段时间后,最长坚持 1 个星期,最短就几个小时,网速就会变得特别的慢,甚至是出现登录不上路由器这样的情况。但没有查看到不是白名单内的 mac 地址。
然后就是各种 wifi 抽风,用着用着就断线。用小米的防蹭机制查了一下,在 1 个小时内,最多被攻击 1000 多次。
还请大神们推荐一个可以安全无线上网和路由器或者方案。我们大约有 30 台左右的客户端(全部在线时),经常在线的是 10 台左右。
价格在 2000 块钱以内吧。
1
VersusClyne 2016-02-11 11:15:19 +08:00
让他连接 限速 1kb∠( ᐛ 」∠)_
|
2
smallfount 2016-02-11 11:19:46 +08:00
开 radius 把...
RouterOS 应该可以自己内建一个 Radius 服务器的...然后就能用类似企业认证的方式了... 再搞点撒用户组之类的....区别对待下 |
3
yemenchun1 2016-02-11 11:19:59 +08:00 via iPhone
你是不是做过无线级联什么的?以前我用两台路由器无线一台连另一台做扩展就用用就特卡,后来换成有线互联就好了。
|
4
VersusClyne 2016-02-11 11:20:17 +08:00
或者改成 ac only 一般 low 逼的设备连不上
|
5
jhaohai 2016-02-11 11:23:35 +08:00 via iPhone
这个是无线的干扰吧
|
6
paradoxs 2016-02-11 11:25:22 +08:00
家里设备那么多,你管的过来吗?
DHCP 自动分配去“低速组” 下载 100 上传 10 高速组 IP 要手动填 |
7
Cannikin 2016-02-11 11:30:40 +08:00 via Android
没说网络拓扑结构
|
8
jasontse 2016-02-11 11:34:36 +08:00 via iPad
你不说你是如何做的安全设置是无法分析出怎么被蹭的,唯一比较确定的是你附近住着个 script kiddie 。
|
9
airyland 2016-02-11 11:46:24 +08:00
小米的不是可以把蹭网的直接列入黑名单吗。
|
10
halczy 2016-02-11 11:55:43 +08:00
用 RouterOS 做主力路由吧, 我家开放网络给附近的人用, 最多见过有 20 多台机都毫无压力.
布局是 RouterOS 主力(有线), 一台 Netgear, 两台水星全部设置到 AP 模式, Wi-Fi 频道不重叠. |
11
jaggerkyne OP @VersusClyne 没办法,都没有看到陌生的 mac 地址。只开 ac 不行,因为家里还有人用别的。
@yemenchun1 之前有,但后来只换成了一个无线路由,所以应该不是这个问题。 @jhaohai 觉得也是,难道只能加强本地信号吗? @paradoxs 已经做了,甚至连陌生的 mac 直接就封。 @jasontse 我也想之道到底是怎么回事,我让我在电信机房的朋友看了一下,端口和上联都是正常的状态。但就是没有查到到底是谁?只是确定是一台索尼的机器一直在做入侵的工作。有没有办法反击?直接把对方的机器烧了? @Cannikin 如何所网络拓扑结构?我有 wifi rada pro 和 netspot ,我这附近的 wifi 信号有 12 个,用的是 wpa2 个人版加密。 |
12
sloppysop 2016-02-11 11:57:53 +08:00 via iPhone
过年家里亲戚来,手机里都装了 wifi 万能钥匙
|
13
knktc 2016-02-11 11:59:16 +08:00
wifi 万能钥匙都在央视做广告了,成功洗白~
|
14
Cannikin 2016-02-11 11:59:32 +08:00 via Android
其实只需要主力路由性能牛逼,不是无线都没关系,然后从路由 lan 接主路由 lan 并关闭从路由 dhcp 就可以了。从路由有个 200 左右就可以了。
|
15
Cannikin 2016-02-11 12:03:16 +08:00 via Android
依你的说法,其实是附近有人一直在抓你的无线数据,然后不停注入导致无线路由 cpu 满负荷直至宕机。因为注入是很容易导致路由宕机的。
|
16
wy315700 2016-02-11 12:03:38 +08:00
用有线
|
17
jaggerkyne OP |
18
jaggerkyne OP @Cannikin 我想是无差别的抓无线数据,但是就算我的用隐藏网络, mac 捆绑, ip 捆绑,还被抓吗?有没有办法反击?
我们这里靠近澳门,经常都有一些奇奇怪怪的信号,但无线网络真的好像就像被迫式被人“轮奸”。我甚至觉得附近可能有骇客在这里抓肉鸡,因为我们这里的下线最少 100M ,快的有 1G 的,上线至少 5M ,快的有 100M 。 有没有大神能给一个方案? |
19
wbsdty331 2016-02-11 12:10:42 +08:00
mac 地址黑名单啊
我家几十块钱的 TP 都有 |
20
Cannikin 2016-02-11 12:11:20 +08:00 via Android
如果不在乎主路由大小的话,用整合 CPU 的微型主板装个爱快、海蜘蛛之类的软路由就可以了。如果不喜就买价位高的性能好的,能刷 openwrt 的。
|
21
xmoiduts 2016-02-11 12:11:25 +08:00 via Android
@jaggerkyne 建个蜜罐 wifi 来监视此疑似黑客?
|
22
halczy 2016-02-11 12:11:50 +08:00
@jaggerkyne RouterOS 可以自己组台机装 RouterOS 系统, 或者直接买官方的 RouterBoard http://routerboard.com (淘宝有的卖).
我用 Android 上的 inSSIDer 2. 这个软件可以推荐当前这个位置设什么频道最好. |
23
Cannikin 2016-02-11 12:12:21 +08:00 via Android
隐藏网络, mac 捆绑, ip 捆绑,这些都是无法挡住攻击的。
|
24
Cannikin 2016-02-11 12:14:05 +08:00 via Android
现在的无线路由器都带有信道自动更换功能,所以不会是信道的问题。
|
25
Syaoran 2016-02-11 12:24:59 +08:00 via Android
你说没有查到异常 mac 地址,不就是没人蹭网么?难道还能隐藏 mac 蹭网?
|
26
ebony0319 2016-02-11 12:25:33 +08:00 via Android
这样子我给你分析一下。你说在隐藏网络情况下也可以找到和改密码效果不明显。那是不是 PIN 码码连接开启了或者被泄密了。这么多设备理论应该是没有问题的,但是多用几个路由器分出来然后 wds 其实效果更好。
还有一个想法,就是如果准备一台路由器只给他攻击,限制这台路由器,然后把正常的隐藏使用说不定可以。 |
27
ebony0319 2016-02-11 12:27:07 +08:00 via Android
再来一个密码: br13j.hhrh6.
简单好记:白日依山尽,黄河入海流。 |
28
homever 2016-02-11 12:28:53 +08:00
我都是开 guest ,不加密,亲戚走了就关掉
|
29
veevly 2016-02-11 12:30:05 +08:00 via iPhone
把 SSDID 改成 CMCC ,一般人我真的不告诉他!
|
30
jasontse 2016-02-11 12:31:28 +08:00 via iPad
找电信查你内网的蹭网怎么可能查得到。你无线是怎么设置的
|
31
fzinfz 2016-02-11 12:46:22 +08:00 via iPad
路过,只想说 microtik/ros 不建议用无线,各种软件 bug 。。。。
推荐看下 Ubnt/ruckus/aruba 等,不过我也没用过 |
32
fzinfz 2016-02-11 12:47:39 +08:00 via iPad
microtik->mikrotik
|
33
konakona 2016-02-11 13:26:46 +08:00
谁那么恶性...
让它连,然后知道它的内网 IP 后你开始攻击它,往它电脑里塞木马,弄死丫的,然后你再把它踢下线 换个 SSID-V- |
34
xmoiduts 2016-02-11 13:33:11 +08:00 via Android
@konakona 我想起了 360wifi
对方连上自己开的 360wifi 之后,在自己的电脑上点击“立即安装 360wifi ”。 |
35
hqs123 2016-02-11 13:36:56 +08:00
作为学雷锋一份子,我都是共享 wifi
|
36
hqs123 2016-02-11 13:37:34 +08:00
作为学雷锋 一份子,我都是共享 wifi 。
|
37
pH 2016-02-11 13:37:46 +08:00
|
38
dalaomj 2016-02-11 13:46:34 +08:00
没有办法。也许破解一个 wifi 很难,但瘫痪一个 wifi 非常容易。
关闭 wps ,设置个强密码。基本就破解不了了。但没办法防瘫痪式攻击。 |
39
squid157 2016-02-11 14:35:36 +08:00 via iPhone
如果真是抓包然后发送包,专门搞你,直觉上这么搞是违法的。但警察肯定不管。
所以。。你也搞回去嘛 |
40
jasontse 2016-02-11 14:49:55 +08:00 via iPad
@squid157
那个"一小时攻击 1000 次"的我非常怀疑真实性,因为 WPA 没人用这种方法破的。 |
41
AntonChen 2016-02-11 15:08:44 +08:00
买个 ubnt 的二手 AP 吧 配合 ROS 做主路由真是爽得不要不要的
|
42
feather12315 2016-02-11 15:17:03 +08:00 via Android
我赞同 33 楼,让他连,然后进行攻击
|
43
dalaomj 2016-02-11 16:05:02 +08:00
@jasontse 抓握手包这个操作中,有个前置步骤,类似于阻断目标 wifi 。
如果信号很弱,抓到的握手包总无效,破解程序会机动的反复执行该步骤。于是就形成了瘫痪式攻击的效果。 |
44
charlie21 2016-02-11 16:09:09 +08:00
pretend that it does not exist
|
45
Cannikin 2016-02-11 16:14:28 +08:00 via Android
是的。从路由的所有管理都是在主路由,所以需要主路由性能强大些。
|
46
squid157 2016-02-11 17:05:20 +08:00 via iPhone
@jasontse 也许对方在用 reaver ?我觉得可能就是 packet injection 在搞
|
47
Myprincess 2016-02-11 18:15:42 +08:00 via Android
我一般是把 SSID 隐藏,然后绑定 MAC 地址。
|
48
mhycy 2016-02-11 20:07:04 +08:00
不知道实际的物理场景是怎样,现在看起来对方只是在不停地发送握手包瘫痪路由而已。
别忘了无线网络是共享信道,别说握手包,同频率的微波炉都能把网搞瘫。 常用策略: 隐藏 SSID ,换频道,放蜜罐,改位置,增加信道(就是加节点) 实际情况实际处理,建议用同名 SSID 放个蜜罐,限速 10KB/S ,丢包 50% |
49
mhycy 2016-02-11 20:08:53 +08:00
补充: 30 个设备在线正常状态下应该也不会快到哪去,毕竟半双工、共享信道、还得做冲突避免。。。
|
50
ubear1991 2016-02-11 20:12:55 +08:00
mac 过滤
|
51
jacy 2016-02-11 20:13:18 +08:00 via Android
不设密码,设置 portal
|
53
RqPS6rhmP3Nyn3Tm 2016-02-11 20:45:19 +08:00
关闭 WPS ,随机生成强密码, MAC 地址过滤,基本上不会有问题了。
要是还不放心再加个 Web 认证 |
54
justpayne 2016-02-11 23:37:22 +08:00 via iPhone
30 台设备一般路由压力都挺大的,主路由加 AP 吧
|
55
mxonline 2016-02-11 23:53:21 +08:00
主路由刷 onen-wrt 上 web 认证
|
57
edsgerlin 2016-02-12 00:10:49 +08:00
随机生成 SSID+强密钥( 63 个字符那种)+隐藏 SSID+MAC 白名单。
|
58
jaggerkyne OP @halczy 谢谢你,我到淘宝上看一下。
@Cannikin 那怎样才能不被攻击,甚至是反击呢? @Syaoran 这也是我最不能明白的地方,但是我发现被攻击的路由器基本都要做恢复出厂设置之后才能使用,有时让我不得不觉得是不是这些是路由厂商没有被公开的硬件或者软件漏洞导致了设置的改变。 @ebony0319 尝试过,但这样整个家里电磁反映爆表。 @konakona 有没有想要的教程,我也想做一下反击。 @dalaomj 我的确有这样的怀疑,但是这样做的目的何在?总不能没事费自己的资源去瘫痪他人的路由吧。到目前的状态,对方吸走了 80%以上的带宽,如果我这里有多几台机子上网,那么带宽恢复到 40%,但是一旦进行电信测速,我马上就能要回 90%左右的带宽。但就是没发现被怎么偷的?我有时候还怀疑是电信刷诈呢。 @squid157 我也问过本地的网警,说取证太难,需要好几个部门“联合执法”才有可能,但是要几个部门“联合执法”要用证据,就是一个鸡蛋问题。我也想之道如何反击回去。 @jasontse 我自己也不信,但这是小米路由防蹭页面的显示。 @Myprincess 我以前也是这样,但是当我出差一个星期后回家,发现我根本连不上我自己的路由器,网是可以上的,但是就是无法链接 192.168.1.1 进入 admin 页面。 @mhycy 怎么做蜜罐,有教程吗? @BXIA 怎么加 web 认证? @jacy 有教程吗?还是要换硬件? |
59
VersusClyne 2016-02-12 00:20:39 +08:00
对了 用中文 ssid 名称 可以阻挡很多 low 逼设备连接
∠( ᐛ 」∠)_ 貌似 os x 也不认中文 ssid 囧 |
60
mhycy 2016-02-12 01:03:09 +08:00
@jaggerkyne
最简单就是主路由用有线( EDGEROUTER LITE 之类的) 无线路由做节点,内部用一个名字不靠谱的 SSID 或者直接隐藏,对外就是用公司名。 (现有是啥就用啥,看起来你们没换路由更好) 那个公司名的节点就是蜜罐,限速 10K ,换成别的信道,随便他破。 |
61
Halry 2016-02-12 09:28:50 +08:00
买台好点的路由,刷个 openwrt.
问题是如果是 mdk3 的话我真的没有办法. 还有一定要用 aes,tkip 有漏洞可以让路由器瘫痪 |
62
Halry 2016-02-12 09:30:49 +08:00
openwrt 顺便设置 802.11w
写个脚本把信号超差的 mac 踢掉 |
63
ivanor 2016-02-12 10:37:33 +08:00
@VersusClyne OS X 10.11 已经完美支持中文 ssid 了。
|
64
DreaMQ 2016-02-12 11:10:57 +08:00
其实有没有可能是伪装了 MAC 地址蹭网?
|
65
chinawrj 2016-02-12 13:10:40 +08:00
不用设置密码就可以防了,我都这样干的
|
66
bjrjk 2016-02-12 19:19:24 +08:00
我自己一般都是设置 MAC 白名单,家里每人手机挨个看 MAC ,写进路由器里……
|