家庭网络安全 网络劫持与预防

　　流量劫持是一种最简单不过的网络攻击手段，特别是前段时间各大厂商路由器相继出现安全漏洞后，这种劫持攻击手段又闹得沸沸扬扬。只有用户没有修改路由器默认账户与密码，通过浏览器打开一个网页甚至帖子，路由器配置就会被暗中修改，家庭互联网一夜间似乎变得岌岌可危。

　　但是，绝大多数用户早已见惯运营商的流量劫持，频繁的广告弹窗让已经让用户麻木不已。事实上，这种被运营商劫持算是幸运的，相比隐匿在暗中的神秘黑客，运营商这点只是小儿科，一切看似风平浪静毫无异常，或许已有一个天大的间谍潜伏在网络里，随时等你上钩，这可不是弹广告那样简单，而是要谋财盗号了。

　　当我们打开浏览器，以“网络安全”为关键词在搜索引擎进行搜索，你能得到数以万计的信息，其中究竟哪些有效，便不得而知了。

　　如何做到路由器不被劫持其实并不难，现在笔者就将自己的经验整理，让读者朋友们的无线网络更加的安全。

　　相信有不少用户都有这样的观点，包括曾经的笔者：只有安全意识薄弱的人才会被入侵，但凡只要安装了专业防火墙，即使更新系统补丁，绝对不会出现被入侵的情况。的确，安全意识强的确不易被入侵，但这只针对传统的木马病毒，在流量劫持前面，人人平等，网络安全并不等于操作系统的安全，家庭网络是各个硬件设备的组合体，只要其中一个环节出现问题，你的网络就如同一张薄纸，一捅就破。特别是越来越便宜的路由器，它们可是承载着各种网银、支付宝等交易流量，他们是否安全呢？

　　路由器弱口令

　　当手持移动设备高速发展的同时，家庭WiFi路由器市场也随之火热起来。由于路由器配置烦琐，设置界面体验略差，192.168.1.1与admin/admin几乎是国内路由器的常量，当设置完路由器后，相信绝大多数用户不会修改路由器管理员用户密码，这就为不法用户提供了一个巨大的漏洞。

　　如果有人入侵你的网络，重启路由或是限制你的网络速度，你得感谢入侵者的仁慈，毕竟这都不会为你的经济带来损失。一旦修改了路由器的DNS，那后果就相当严重了，这比公共网络的D N S被劫持还要严重。当然了，安全意识强的用户在设置完路由器后仍然也会使用默认管理员账户密码。理由很简单，目前的路由器有两道门槛：一个WiFi连接密码，另一个才是管理密码。很多人设置了复杂的 WiFi 密码就高枕无忧了，WiFi密码暴力破解会让你看似牢固的城墙成为豆腐渣工程。

　　不法分子除了修改 DNS 配置外，还会为路由器更换固件，将路由器固件替换成一个看似完全相同但植入了恶意程序的固件。尽管这目前还尚未普及，然而一旦流行，大批路由器将成为潘多拉魔盒。防范措施：千万别轻视路由器管理员账户与密码，其实它比你所有账号都重要，建议用户在设置完网络账户与密码后，再进入系统设置登入管理员修改界面，将系统默认的admin/admin账户密码进行修改，随后将路由器管理后台的默认地址192.168.1.1修改成其他的IP地址（部分路由器不支持此项功能）。

　　免费代理的陷阱

　　不少用户为了流畅使用Google、FaceBook以及YouTube，通过网络购买代理，他们可不管代理是否安全，只要能翻过就是好的。

　　VPN 需要用户名密码以及各种认证，中途被劫持几乎是不可能的。网络上的不法分子抓住了用户的需求，将目光转移到代理上，虽然加密后的数据难以劫持，但在服务端上做点文章绝对可行。如果一时大意，连接了不法分子提供的免费VPN，那你就上贼船了，特别是VPN 将整个系统的流量都发送出去，而这一切你的防火墙或是应用程序并不知晓，仍然将重要的数据往外发送，让你的网络被劫持。

　　想要防范这种网络劫持其实很简单，不要贪图小利而使用打着免费幌子的代理，在这个时代绝对没有白食的午餐！

　　WiFi口令弱

　　当互联网延伸到移动设备时，无线网络逐渐进入人们视野。由于无线路由器的廉价与便利，几乎可以应用到所有的移动设备，人们可以随时随地上网，这也为不法分子营造了可乘之机。

　　无论上网方式如何变化，以太网始终是网络的核心，无论WiFi 电波怎样传输，最终只有还原出标准的以太网封包才能被路由解读。无线网络形同一个看不见的巨大集线器，无需任何物理传播介质，附近所有人都可以收听数据信号，专业设备甚至能在更远处直接捕获。如果没有一种强有力的加密方式把数据封装起来，那么就毫无隐私可言了。

　　隐藏无线信号（SSID）

　　隐藏无线信号(SSID号)是让无线网络处于安全环境中试用最简单也最有效的方式，只要隐藏信号，任何人都无法搜索到你的无线信号，想要连接，必须同时知道SSID号和密码。

　　首先，我们进入路由器设置界面，进入无线网络配置菜单后，在网络设置选项中我们可以得到无线网络的所有信息。这时我们需要做的是将SSID与网络密码正确记录下来，并将SSID广播设置为关闭，保存即可生效，完成这一操作后，我们所有连接在网络中的设备都会与网络断开。

　　现在我们就需要手动输入网络，让这些设备重新与网络连接。我们在手持智能设备上进入设置选项，在WLAN设置窗格中选择“添加网络”输入SSID，在安全性菜单中选择“WPA/WPA2PSK”，最后再输入无线网络密码即可连接。在笔记本电脑上，我们连接屏蔽信号的无线网络操作同样简单，点击桌面右下角的网络连接图标，在弹出网络选择栏中点击最底部的其他网络，输入SSID号与密码即可连接网络。

　　开启MAC地址过滤

　　通过MAC地址过滤的安全性比屏蔽SSID信号还安全，但是它实施起来却要复杂许多。进入路由器设置界面，在无线网络设置中点击下拉菜单，找到无线MAC地址过滤，点击启用无线MAC地址过滤。在过滤规则中选择允许，再在添加新条目中输入你设备的MAC地址，保存即可。

　　查看手机或电脑的MAC地址：

　　在手机上的操作最简单，在设置里界面中进入WLAN设置，再点击手机菜单按键，选择屏幕下方的“高级”选择，在此我们可以查看到MAC地址。（或设置界面，进入关于手机，点击硬件信息， 在此处也能查看到MAC地址，适用于Android系统的的手机或平板）。

　　在电脑端，我们可以通过命令提示符来查找我们的MAC地址。按下“WIN+R”组合按键，开启命令提示符，输入ipconfig/all命令获取完整的地址信息，其中“Physical Address（物理地址）”就是我们的MAC地址。

　　踢出网络占用者

　　随着WiFi万能钥匙等软件的流行，越来越多人加入了蹭网大军，不仅偷用别人的网络，而且还常开迅雷、BT之类的耗尽带宽流量的应用，导致原本的主人都不能正常上网。我们就需要利用一切防御手段斩断蹭网者的黑手。

　　被蹭网的危害相信大家都会知道，不但网速带宽被人占用，更重要的是如果无意中开放了共享的文件夹或者遇到有点网络知识、黑客知识的“有心人”，很有可能还会被窃取重要资料、隐私等。如果家中使用了无线网络，那就建议你使用名为Wireless Network Watcher的工具定期检查你的无线网络。

　　运行Wireless Network Watcher之后，点击“开始扫描”按钮，软件便会自动扫描整个局域网网段的IP（默认为192.168.1.1到192.168.1.255），然后软件就会把全部连接上的网络设备（包括移动设备、电脑、家用游戏机以及电视盒子）的IP地址、MAC物理地址、制造厂商等信息列出来。一旦发现有陌生设备，可以立即通过路由器设置将该设备的MAC物理地址加入黑名单，或者更换WIFI密码来阻止他人继续蹭网。

　　当然，现在很多路由器的后台都能看到全部连接的客户端列表了，但大多只能看到IP地址以及MAC物理地址，如果你的环境里设备比较多的话，基本上难以分辨到底都是哪台设备了。而Wireless Network Watcher的优点是它还能看到设备的制造商信息，从而可以更加轻松地判断。

　　另外，如我们还可进入高级设置页面，将Wireless Network Watcher开启后台扫描，用户可根据自己的需求设置扫描间隔时间，并在“监测到新设备时执行一下命令”功能来提示自己有陌生设备的联入，这对于及时发现蹭网者有非常大的帮助。利用 Wireless Network Watcher还能在不知道路由器管理密码的情况下快速判断是否有蹭网者，从而快速地采取行动。

　　文/番番

关注读览天下微信， 100万篇深度好文， 等你来看……