经过一年对 IEEE 802.11 无线标准漏洞的研究和实践,我积累了一些关于如何保护无线网络的经验。为了便于理解,我将常见的防护方法分为两类:
- 真正有效的安全措施
- 看似安全实则无用的伪防护
无效的 WiFi 防护措施
1. 隐藏 WiFi 名称(SSID)
很多人以为把 WiFi 名称设为“隐藏”就安全了。其实并不是。
虽然关闭 SSID 广播后,WiFi 名称不会直接出现在设备的可用网络列表中,但黑客工具(如 Wifite)可以轻松识别这些“隐藏”网络,只需简单扫描即可发现隐藏 SSID 的存在。
而且隐藏网络反而会引起攻击者的注意:
“哟,这还有人觉得把 WiFi 名藏起来就安全了?那我偏要搞搞你。”
2. 设置 MAC 地址白名单
白名单本质上是限制只有特定设备的 MAC 地址才能连接路由器。但攻击者可以使用工具(如 airodump-ng)轻松获取已连接设备的 MAC 地址,并伪装成这些设备。
之后只需等待原设备断网,或者使用干扰攻击强制踢下线,黑客便可伪装成功接入网络。
真正有效的 WiFi 安全措施
1. 关闭 WPS 功能
WPS(无线保护设置)本意是让连接更便捷,但它存在严重安全漏洞。
攻击者可以使用像 PixieWPS 或 Reaver 这样的工具,暴力破解 WPS PIN,甚至几秒钟就能搞定默认 PIN,大多数家庭路由器都容易被攻破。
建议:
立即关闭 WPS,只保留 WPA2/WPA3 密码连接方式。
2. 设置强密码(WPA/WPA2 密码)
出厂默认密码往往只是 8~12 位的数字和小写字母,非常容易被暴力破解。
正确做法:
- 密码长度建议 20 位以上
- 包含大小写字母、数字和符号(如:
F8aX$23pL_9m#YzK1*o4)
这样的密码即使使用高性能显卡破解,也需要极长时间。普通攻击者看到这种强度通常会选择放弃。
3. 更改路由器管理后台密码
大多数家用路由器默认的后台账户是 admin/admin 或 admin/1234,甚至有些没有密码,极其危险。
一旦攻击者连接到你的 WiFi,就能轻松进入后台查看配置、清除日志、甚至重启路由器来掩盖痕迹。
请务必:
修改默认后台账号和密码,并关闭远程管理功能。
4. 不使用时关闭路由器
攻击者更倾向攻击“长期开机无人值守”的目标。
如果你的路由器连续运行了 200 多天,那就是一个理想攻击目标。相反,如果发现路由器开机时间仅为几小时,攻击者可能会觉得这是“有人值守”的设备,从而知难而退。
所以,晚上不使用时关闭路由器,也是有效的安全策略。
5. 关闭“自动连接 WiFi”功能
多数设备连接 WiFi 后会默认勾选“自动连接”。
攻击者可以制造一个与目标路由器相同名称(SSID)和 MAC 地址的假冒热点(Evil Twin 攻击),并对真路由器进行干扰,使用户设备断网后尝试自动连接到这个假热点。
结果就是:你以为连的是家里的 WiFi,实际上连的是黑客设备。
解决方案:
关闭自动连接 WiFi,或使用需要手动确认的连接模式。
总结:提升 WiFi 安全的五个实用建议
| 建议项目 | 建议操作 |
|---|---|
| 不要隐藏 SSID |
这不是有效防护,反而容易招来攻击 |
| 关闭 WPS |
避免 PIN 被轻松破解 |
| 强密码 + 长度足够 |
至少 20 位,包含大小写字母、数字和符号 |
| 更改后台默认密码 |
阻止攻击者登录管理页面 |
| 不用时关闭路由器 |
减少暴露时间,提升安全性 |
| 关闭 WiFi 自动连接功能 |
防止假热点欺骗攻击(Evil Twin) |