雖然本人不是什么高手，但是，我還是要說，某些偽大師真是害人，居然告訴別人只要路由器設置MAC地址過濾就行了，居然講什么路由器密碼和無線密碼都不要設置，這個，我真的是沒話說。誰不信這個邪的我可以當場測試給他看，一個光光設置了MAC地址過濾的無線路由，只要有機器連在上面，我抓個包立馬就能知道連接者的MAC，接下來，仿冒一下MAC也就是舉手之勞，獲得了合法MAC之后……往后的事情，明眼人一看就懂了，還用我說嗎？只設置了MAC過濾的無線路由，不設置登陸密碼，我直接能改你的設置。

    好了，言歸正傳。

    首先我們要明白一點，蹭網軟件的掃描功能第一步就是掃到你的無線SSID，也就是我們平常所說的無線廣播號，第二步就是掃到這個SSID下連接的機器，而其掃描到的機器就是一個個的MAC地址，到了這一步，如果你的無線路由器完全不加密，而只設置了MAC地址過濾，那他完全可以仿冒你目前已經連接的MAC來上網，改個MAC這么簡單的事情，不用我來教了吧？所以如果只MAC過濾而不加密，那么對方幾乎可以對你的無線路由器進行秒破！

    那么什么才是比較合適的防止被蹭網的安全設置方法呢？

1、SSID隱藏

    其實隱藏了SSID照樣也能被窮舉掃描到，不過，稍微費點時間而已。但我們的目的就是要盡量給蹭網者找點麻煩拖延點他們的時間，不是么？

2、路由器登陸界面的用戶名和密碼都換掉

   用戶名不要用路由器默認的admin，user之類的，這樣做主要是防止對方窮舉破解你的路由器管理界面密碼，你把用戶名也改了，對方至少還多了一步猜用戶名的過程，如果你用默認的用戶名，對方就可以直接窮舉你的密碼。登陸密碼要設置的復雜些，盡量復雜些，反正誰沒事老去登陸管理界面啊。這么做是為了防止對方連上你無線后還無恥的改你路由器設置。

3、無線采用WPA2加密

    理論上講，WPA類加密可以使用任何字符作為密碼，如果一個蹭網者用窮舉法破解你的WPA類密碼，而且只是一個5位長度的密碼，那么，根據現在的破解速度，一般峰值就在300000個密碼/S的速度，把5位的僅僅用英文和數字的WPA密碼都窮舉一遍，根據計算，大概需要50~~160小時，也就是需要2~~7天，你有這個耐心嗎？而且這還只是5位的密碼，如果再加上標點，再區分英文大小寫，再加長位數……這個破解時間是幾何級增長的。

    有人和我說，那我家的WEP加密是10位的呢，為什么還不安全？

   我們需要明確一點，WEP加密已經不行了，這玩藝太容易破了，你想想看，WEP目前常用的有兩個精度，一個是64Bit，一個是128Bit，我周圍貌似沒人愿意用128Bit的WEP加密，128Bit加密速度慢不說，而且出來的十六進制密碼太長太不好記憶了。而64Bti的么，呵呵，一個10位的十六進制密碼，而且是大小寫通用的，關鍵字只涉及到0123456789和ABCDEF這幾個字符，有點數學基礎的人都知道，16個字符，任意抽取，組成可重復字符的10位密碼，總共才多少種排列組合？現在的機器的計算性能，20分鐘之內破不掉64Bit的WEP加密那就是笑話了。

    所以一定要用WPA2加密，并且用復雜不規則的長密碼。什么叫復雜長密碼？我的理解就是英文數字加標點并且夾雜大小寫，長度在10位以上，最重要的一點是，密碼必須是毫無意義的。你搞個電話號碼或者生日或者名字什么的，只要了解你的人，這種密碼一下子就被破解掉了。

       其實我是用30位密碼的，不過，應該沒多少人和我一樣變態吧？再說，太長了不好記對吧。10位的英文數字加標點夾雜大小寫的不規則密碼，如果要窮舉，以現在的機器運算速度，也費不少時間了，其實一個這樣的密碼按照現在個人電腦的運算速度，窮舉破解需要一萬多年。切記，WPA2加密是區分大小寫的，所以，密碼里面一定要記得夾雜一下大小寫，這樣的話，憑空把關鍵字中的26個英文字母擴展到了52個……窮舉破解最怕的就是關鍵字增加了，呵呵，讓蹭網的慢慢窮舉吧。

    當然，用WPA2加密也不是完全安全的。理論上講，現在可以通過WPA-PSK Hash Tables來快速破解WPA/WPA2的密碼，其實WPA-PSK Hash Tables是個密碼表，里面含有N多黑客收集的常用密碼，很多大家覺得沒人知道的密碼，這個表里面都會收集到。不過這個表目前貌似已經有50G那么大了，就算是簡化版的也有3G大小，3G大小的那個是可以免費下載的版本，但是不適合中國國情，因為中國沒多少人叫ANDY，TOMMY之類的吧？如果你愿意花錢去買那個50G的完全版本，那我佩服你。哥們，蹭個網，你至于嗎，有這錢不能自己去拉根網線？

4、設置MAC地址過濾

    這個顯而易見，只允許特定的MAC上網，其余MAC不給訪問網絡。雖然說MAC容易偽裝，但是多一道防護，總歸給蹭網者多一個麻煩。

5、關閉路由器的DHCP服務

    關閉了DHCP服務，你自己的機器也得使用手動配置IP地址的功能，因為如果你設置自動獲取IP地址，你自己也沒法獲得IP和網關以及DNS的。為什么要關這個呢？呵呵，關閉了DHCP服務，就算蹭網的終于破解了無線密碼，連上了路由器，結果發現得不到IP地址，于是他還得手動設置IP。且慢，你會手動設置IP，我就不會改IP段么？

6、把路由器Lan的網段改的奇怪些。

    一般家用路由器都使用192.168.0.0/24或者192.168.1.0/24或者10.0.0.0/24這三個IP段。我們可以把它改成192.168.X.0/24或者10.0.X.0/24。倒數第二段不要用常用數字0和1，而是用別的不常用的數字,比如4啊7啊38啊84啊之類的，具體用哪個數字，那就看個人喜好了。

7、把路由器的Lan口地址也改了

    一般路由器Lan口地址都是Lan子網的第一個IP，比如一個子網是192.168.1.0/24的子網，路由器Lan口會使用192.168.0.1這個IP，而這個IP在家用路由上通常會擔任網關和DNS的職責。我們要做的就是把這個IP也改掉，改最后一位即可。比如X.X.X.48，X.X.X.74之類的。這樣，相應的，你機器的網關也得設置成這個地址，DNS也可以設置成這個地址（如果你的路由器有DNS緩存功能的話），或者DNS直接設置成運營商給你的DNS地址。

    好了，到此，無線安全設置完畢。我們來試想一下如下的經典蹭網場景：

    蹭網者先是很難發現你的無線信號，當他終于通過窮舉掃描找到了你的SSID之后，還得破解你的復雜密碼，就算他手頭有個50G的Tables，這里面也不見得真有你的密碼。好吧，即使這個蹭網者真的把你密碼給破了，他還得偽裝MAC地址，等他偽裝完MAC之后，又發現沒有辦法通過DHCP來獲得IP和網關以及DNS配置。怎么辦？還得自己配置。那么自己配置的話，通常都會采用最常用的192.168.0.0/24、192.168.1.0/24和10.0.0.0/24的IP段，也通常會采用最常用的192.168.0.1、192.168.1.1以及10.0.0.1這三個網關地址。結果蹭網者發現這樣配置還是不能上網。好了，如果他有興趣，可以繼續一個一個IP段的嘗試，他能否真的碰巧找到你的網段，找到之后能否猜對你的網關地址，這個還是未知數。而且就算他想連接你的路由器管理界面看你的設置，不好意思，IP段不對的話是打不開設置界面的，就算IP段被他猜對了，他還得猜你的網關地址，最后他終于猜到了網關地址了，想要進你路由器設置界面，關閉MAC綁定之類的，卻還涉及到破解你路由器的用戶名和密碼的過程。

   好吧，如果這樣設置了，還有人能連到你的無線路由蹭你的網絡，那么，哥們，你就拉根網線給他用吧，他實在是太強了。