怎样防止wifi黑客攻击(如何攻击wifi路由器)
本文目录一览:
怎样才能防止WiF黑客攻击
to
WiFi自身的特性注定了它很容易遭受攻击及窃听活动的骚扰,但只要我们采取正确的保护措施,它仍然可以具备相当程度的安全性。遗憾的是网上流传着太多过时的建议与虚构的指导,而我在本文中将与大家分享数项正面与负面措施,旨在为切实提高WiFi安全性带来帮助。
1. 不要使用WEP
WEP(即有线等效保密机制)保护早已过时,其底层加密机制现在已经完全可以被一些没啥经验的初心者级黑客轻松打破。因此,大家不应该再使用WEP。立即升级到由802.1X认证机制保护的WPA2(即WiFi接入保护)是我们的不二选择。如果大家使用的是旧版客户端或是接入点不支持WPA2,那么请马上进行固件升级或者干脆更换设备吧。
2. 不要使用WPA/WPA2-PSK
WPA以及WPA2中的预共享密钥(简称PSK)模式对于商务或企业应用环境不够安全。在使用这一模式时,必须将同样的预共享密钥输入到每个客户端当中。也就是说每当有员工离职或是某个客户端遭遇丢失或被窃事件,我们都需要在全部设备上更改一次PSK,这对于大部分商务环境来说显然是不现实的。
3. 必须采用802.11i
WPA以及WPA2安全机制所采用的EAP(即扩展认证协议)模式通过802.1X认证机制代替代替PSK,这样我们就有能力为每位用户或每个客户端提供登录凭证:用户名、密码以及/或者数字证书。真正的加密密钥会定期修改,并在后台直接进行替换,使用者甚至不会意识到这一过程的发生。因此要改变或撤销用户的访问权限,我们只需在中央服务器上修改登录凭证,而不必在每个客户端中更换PSK。每次会话所配备的独立密钥也避免了用户流量遭受窃听的危险——这一点如今在火狐插件Firesheep以及Android应用程序DroidSheep之类工具的辅助之下已经变得非常简单。要使用802.1X认证机制,我们必须先拥有一套RADUIS/AAA服务器。如果大家使用的是Windows Server 2008或是该系列的更高版本,也可以考虑使用网络策略服务器(简称NPS)或是互联网验证服务(简称IAS)的早期服务器版本。而对于那些没有采用Windows Server的用户来说,开源服务器FreeRADIUS是最好的选择。
4. 保证802.1X客户端得到正确的配置
WPA/WPA2的EAP模式在中间人攻击面前仍然显得有些脆弱,不过保证客户端得到正确的配置还是能够有效地防止此类威胁。举例来说,我们可以在Windows的EAP设置中通过选择CA认证机制以及指定服务器地址来启用服务器证书验证;也可以通过提示用户新的受信任服务器或CA认证机制来禁用该机制。
我们同样可以将802.1X配置通过组策略或者像Avenda的Quick1X这样的第三方解决方案应用在域客户端中。
5. 必须采用无线入侵防御系统
WiFi安全保卫战的内容可不仅仅局限于抵抗来自网络的直接访问请求。举例来说,客户们可能会设置恶意接入点或者组织拒绝服务攻击。为了帮助自身检测并打击此类攻击行为,大家应该采用无线入侵防御系统(简称WIPS)。WIPS的设计及运作方式与供应商提供的产品不太一样,但总体来说该系统会监控搜索行为并及时向我们发出通知,而且有可能阻止某些流氓AP或恶意活动的发生。
不少商业供应商都在提供WIPS解决方案,例如AirMagnet公司及AirTightNetworks公司。像Snort这样的开源方案也有不少。
6. 必须部署NAP或是NAC
在802.11i及WIPS之外,大家还应该考虑部署一套网络访问保护(简称NAP)或是网络访问控制(简称NAC)解决方案。它们能够为网络访问提供额外的控制力,即根据客户的身份及明确的相关管理政策为其分配权限。它们还具备一些特殊功能,用于隔离那些有问题的客户端并依照管理政策对这些问题进行修正。
有些NAC解决方案中可能还包含了网络入侵防御与检测功能,但大家一定要留意这些功能是否提供专门的无线保护机制。
如果大家在客户端中使用的是Windows Server 2008或更高版本以及Windows Vista系统或更高版本,那么微软的NAP功能也是值得考虑的。如果系统版本不符合以上要求,类似PacketFence这样的第三方开源解决方案同样能帮上大忙。
7. 不要相信隐藏SSID的功效
无线安全性领域有种说法,即禁用AP的SSID广播能够让我们的网络隐藏起来,或者至少将SSID隐藏起来,这样会使黑客难以找到目标。而事实上,这么做只会将SSID从AP列表中移除。802.11连接请求仍然包含在其中,而且在某些情况下,还会探测连接请求并响应发来的数据包。因此窃听者能够迅速找出那些“隐藏”着的SSID——尤其是在网络繁忙的时段--要做到这一点,一台完全合法的无线网络
如何防范黑客利用wifi攻击?
360无线安全专家日前介绍说,智能电视被“黑”祸根在wifi被破解。市面上的智能电视大多是androidtv,由于电视厂商没有对其系统源代码加入身份认证机制,一旦智能电视连接的wifi被他人破解,那么智能电视非常容易被黑客操控甚至植入木马病毒。
利用wifi网络攻击,黑客可以对智能电视安装、卸载或篡改任意应用,并实现更换频道、恶意弹窗、劫持摄像头偷拍、关机,甚至把智能电视刷成“板砖”等任意操作。
安全专家表示,随着家用wifi日益普及,智能电视、网络摄像头等各种智能硬件都需要连接wifi使用,wifi被破解就意味着整个家庭网络向黑客攻击者敞开了大门。
日常生活中,如何确保家庭网络安全、防范智能电视等设备被他人攻击呢?安全专家给出了如下建议:
一、wifi以wpa/wpa2加密认证方式设置高强度密码,密码长度尽量在16位以上,并使用大小写字母、数字和特殊符号的组合,能够大大降低wifi被破解的风险。
二、关闭路由器wps/qss(一键加密)功能,否则黑客可以暴力验证破解wps/qss的8位数字pin码,wifi密码设置得再复杂也无济于事。
三、使用路由器安全软件,检测修复路由器和wifi的安全问题,发现陌生可疑设备接入wifi及时进行拦截。
四、在智能电视(电视盒子)设置界面中关闭“调试”功能,避免下载使用来源可疑的第三方应用,并注意在系统版本有更新时及时升级。
黑客怎么利用wifi盗取手机信息?应该如何防范?
黑客利用wifi盗取手机信息的方法:
一些路由器厂家在研发成品时,为了日后调试和检测更方便,会在产品上保留一个超级管理权限,一般情况下,这个超级管理权限是不容易被外人发现的,但一旦被黑客所发现并破解,就意味着黑客可以直接对路由器进行远程控制。
利用一款黑客软件,由软件进入路由器的WEB管理界面,所有连接了该WIFI的电子设备都被显示出来。如果对其中一台电脑上已登录的微博实施“劫持”,其手机上的黑客软件管理界面,就立即自动生成一个微博网址,只需点击,无需账号、密码,手机就自动登录到了网页版微博个人账户,并且可以自由发布和删改个人信息。
防止路由器被劫持的方法:
1、路由器管理网页登录账户、密码,不要使用默认的admin,可改为字母加数字的高强度密码;
2、WIFI密码选择WPA2加密认证方式,密码长度要在10位以上,最好是大小写字母、数字、特殊符号的组合,这样会大大提高黑客破解密码蹭网的难度;
3、路由器默认的管理IP修改为自己指定的特殊IP;开启路由器MAC地址过滤功能,只允许已知设备接入;
4、在设备中安装具有ARP局域网防护功能的安全软件,防止被黑客蹭网劫持;
5、常登录路由器管理后台,看看有没有不认识的设备连入了WIFI,如果有,及时将其清除;
6、不要随便告诉不可信人员你的无线密码;
7、移动设备不要“越狱”或ROOT,连接来路不明的无线网络;
8、关闭路由器WPS/QSS功能。
