V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
baskice
V2EX  ›  问与答

wpa2 的 wifi 如何防破解?

  •  
  •   baskice · 2014-10-13 06:45:54 +08:00 · 16384 次点击
    这是一个创建于 3696 天前的主题,其中的信息可能已经有所发展或是发生改变。
    发现住的公寓来了个脚本小子,傻兮兮的在满地尝试破解wifi密码。

    我没办法先把wifi的发射功率减小到10%以及把密码换成63位的随机码。另外离开家的时候也会顺手把wifi关掉。

    但是目前有这么几个问题:

    1长密码似乎没法阻止暴力或者或者彩虹表
    2减小了发射功率还是能被连,估计对方弄了个大功率网卡
    3在家还是得开wifi,时间久了估计仍然能被收集到足够破解的包

    诸位有什么好的防破解办法吗?再买个高级的路由器?
    60 条回复    2014-10-13 22:48:38 +08:00
    jasontse
        1
    jasontse  
       2014-10-13 06:48:40 +08:00 via Android
    关掉 WPS 再设个复杂的密码,其它不需要。

    纠正 LZ 一个误区,破解 WPA 和 WEP 不一样,只需要一个握手包慢慢跑即可。
    RoberMac
        2
    RoberMac  
       2014-10-13 06:50:50 +08:00 via iPhone
    明天换个密码,没多久他就放弃了
    zmj1316
        3
    zmj1316  
       2014-10-13 07:01:58 +08:00
    @RoberMac
    同意,复杂一点估计一天是跑不出来的
    jasontse
        4
    jasontse  
       2014-10-13 07:05:05 +08:00 via Android
    @zmj1316
    一天连 PIN 都跑不出
    loading
        5
    loading  
       2014-10-13 07:08:33 +08:00
    如果是我,我会在路由上一级加台电脑当代理。

    例如网上已经出现的所有图片翻转,或者换成doge。

    让你玩!
    canky
        6
    canky  
       2014-10-13 07:25:40 +08:00 via iPhone
    宽带控制,给他1k网速,让他去看电影吧
    clino
        7
    clino  
       2014-10-13 07:27:21 +08:00 via Android
    换热点名,然后不广播热点名
    sandideas
        8
    sandideas  
       2014-10-13 07:39:11 +08:00 via Android
    @jasontse 改密码不影响pin。。。
    sandideas
        9
    sandideas  
       2014-10-13 07:41:44 +08:00 via Android
    关掉wps,密码复杂一点。mac地址绑定。不动态分配ip。登录帐号和密码随机。如果他这五个都能破解你还是算了吧,用线吧。其实开了前两个就已经很安全了。
    ai0by
        10
    ai0by  
       2014-10-13 08:12:25 +08:00 via Android
    MAC地址过滤,不设密码,让你眼睁睁看着上不去→_→
    Bakemono
        11
    Bakemono  
       2014-10-13 08:13:47 +08:00 via iPad
    mac地址白名单,不设密码就行了。
    xseven007
        12
    xseven007  
       2014-10-13 08:27:02 +08:00
    做个蜜罐给他.或者直接让他连上之后tcp劫持........
    cxh116
        13
    cxh116  
       2014-10-13 08:36:51 +08:00
    @ai0by
    @Bakemono
    WIFI抓包是可以获取到mac的,然后攻击者就可以伪造mac连上去
    usedname
        14
    usedname  
       2014-10-13 08:46:13 +08:00
    隐藏ssid,WAN口mac白名单,关闭dhcp
    xiaoz
        15
    xiaoz  
       2014-10-13 08:58:24 +08:00
    关闭SSID广播,开启IP过滤规则,绑定MAC地址等都可以。
    lyh3222
        16
    lyh3222  
       2014-10-13 09:02:33 +08:00
    关闭SSID广播,mac地址白名单
    simapple
        17
    simapple  
       2014-10-13 09:04:45 +08:00
    路由器加广告,放他进来,限制带宽,给他看广告 想想是多么美妙
    iam36
        18
    iam36  
       2014-10-13 09:10:13 +08:00 via Android
    关闭ssid广播,
    关闭wps,就是pin码功能,
    提升密码复杂度,长度设置到16位或以上,注意有路由的密码最大长度不够16位,会截尾,
    提升路由管理密码长度自己复杂度
    不需要时关电
    won
        19
    won  
       2014-10-13 09:17:19 +08:00 via iPhone
    关闭密码,打开手机验证,得到他手机号后,玩法就多了
    lazyphp
        20
    lazyphp  
       2014-10-13 09:48:55 +08:00
    何不打开城门,抓包获取数据呢?到时候得到他的支付帐号,淘宝买几个女友给他。让他没力气去破解。
    jasontse
        21
    jasontse  
       2014-10-13 09:50:50 +08:00 via Android
    @ai0by
    @Bakemono
    不设密码是愚蠢的,一个加密热点想盗号还需要先钓鱼,不加密连钓鱼都不用,直接无差别抓包。
    Daniel65536
        22
    Daniel65536  
       2014-10-13 10:09:26 +08:00 via iPhone   ❤️ 1
    纠正楼主一个误区:彩虹表需对应SSID,不同的SSID需要的彩虹表是不同的。所以只有常见SSID才会有人制作彩虹表。
    这就是为什么现在的TPLink等默认SSID都要在后面加上个十六进制数作为后缀。一机一SSID即可破解彩虹表。

    所以你只要设置一个个性化的SSID就可以强制对方慢慢跑密码了。

    另外只要密码是随机数字大小写字母组合,16位就足够把破解用时拉长到无意义的程度了。
    wzzyj8
        23
    wzzyj8  
       2014-10-13 10:10:06 +08:00
    上FreeRadius + wpa2-enterprise,欢迎他花钱去跑彩虹表
    vivianalive
        24
    vivianalive  
       2014-10-13 10:37:50 +08:00
    其实我很想直到楼主是怎么直到人家在尝试破解wifi密码的?
    sanddudu
        25
    sanddudu  
       2014-10-13 10:48:44 +08:00 via iPhone
    @vivianalive 路由器一般都有 log 功能
    lu18887
        26
    lu18887  
       2014-10-13 10:54:49 +08:00
    @vivianalive
    @sanddudu 我也想知道……
    zhs227
        27
    zhs227  
       2014-10-13 11:00:35 +08:00
    WPA和WPA2根本没有办法通过彩虹表破解开啊~
    和WINDOWS的用户名密码不一样,每个SSID的彩虹表都是不一样的。只要你是用的不是CMCC这种SSID,一般都是搞不定的啊~ 以前小小的研究过一下,爆破一秒钟跑不到一万个密码,随便搞个特殊字符够别人搞半年的了,只要不开PIN(WPS)。不过现在的路由器一般是自动防PIN的,只要路由不重启,PIN过几个以后就再也PIN不开了。一句话总结,只要密码不在表内,相当安全
    iLiberty
        28
    iLiberty  
       2014-10-13 11:18:26 +08:00
    我自己的做法,SSID改CMCC,取消密码,那边MAC绑定,关闭DHCP,设置能够连接互联网的IP池,让丫的连去吧~~~
    free4537
        29
    free4537  
       2014-10-13 11:19:46 +08:00
    不广播 SSID 根本没用吧~ 设置完密码后可以下点字典包查查里边是否包含自己的密码。
    anheiyouxia
        30
    anheiyouxia  
       2014-10-13 11:25:35 +08:00 via Android
    @zhs227 有些路由防pin是假的,一分钟内给你尝试3个,错了三个后就禁用你连接,但是然一分钟后又可以三个了。
    我已经遇到不少这样的路由了,最多的是水星然后是tp-link
    jasontse
        31
    jasontse  
       2014-10-13 11:27:00 +08:00 via iPad
    @anheiyouxia
    不然你的定义什么样才是真的
    anheiyouxia
        32
    anheiyouxia  
       2014-10-13 11:29:29 +08:00 via Android
    @jasontse 上面有人提到,最起码要重启后才能继续被破解,而不是就禁用1分钟
    anheiyouxia
        33
    anheiyouxia  
       2014-10-13 11:30:37 +08:00 via Android
    @jasontse 你知不知道这种假防pin破解路由就跟没防pin一样?
    9hills
        34
    9hills  
       2014-10-13 11:34:14 +08:00
    设个复杂密码让他跑去呗,有啥关系。。
    viator42
        35
    viator42  
       2014-10-13 11:39:53 +08:00
    隐藏ssid,开访客网络吸引火力
    typcn
        36
    typcn  
       2014-10-13 11:40:11 +08:00 via iPad
    破解也是破解弱密码,很少有艹强密码的,他又不是咸的蛋疼专门破解,他只是想上网,没有谁是专门为了破解密码。
    shiny
        37
    shiny  
       2014-10-13 11:42:09 +08:00
    有的路由器在界面里关掉 wps 但实际上还能用 pin。
    wpa2 防破解就两步:复杂密码和防 pin 破解。

    复杂密码跑字典非常烧 CPU,一般人都会崩溃。防 pin 可以刷 OPENWRT 之类的固件,或者自己定期在路由器后台更换 pin 码。

    路由不重启防pin 不靠谱,有一堆工具让你觉得路由器非常卡,然后你会想去自己重启。

    MAC白名单,也可以通过伪造 mac 地址绕过,airodump-ng 可以看到你的设备的 mac 地址。不广播 SSID 没实验过,但是一般认为工具仍然能够扫到。
    anheiyouxia
        38
    anheiyouxia  
       2014-10-13 11:43:47 +08:00 via Android
    @typcn 其实像我这种闲的蛋疼的人,真试过无聊就试着破解附近的热点
    不过wpa2密码八位数以上的非字典密码真的没试过破解出来,太慢了
    yangqi
        39
    yangqi  
       2014-10-13 11:53:52 +08:00
    没什么必要防, 8位随机密码用中档显卡爆破大概要70多年, 63位的几乎不可能, 何必操那么多心
    typcn
        40
    typcn  
       2014-10-13 11:59:53 +08:00 via iPad
    @anheiyouxia 我也真咸的蛋疼开wifi钓过一次鱼,几年前了吧,那会还上初中。。有一天停电了,我用储电开启 wifi 热点,在那抓包,30 多个设备连接,抓到几个微博账号密码,几乎所有人的手机号和 imei ,qq 没抓到 账号密码 只找到了 sessionid 。 国内好多软件会在每一个请求后面附上敏感信息 , 还不是 https 。
    spoony
        41
    spoony  
       2014-10-13 12:00:09 +08:00
    没有人类似电信那种开放的WIFI,连上需要Web验证的系统?验证页面再挂一个联盟应该不错啊。
    zhs227
        42
    zhs227  
       2014-10-13 13:59:07 +08:00
    @anheiyouxia @jasontse @typcn @shiny
    像typcn说的那样,破密码是为了上网,一天破不出来一般会再找一家。比如算pin,要求机器一直在线,信号不好的情况下要算10000个pin很困难,有时候到9999发现没找出来,又从0000开始循环的也有。不防pin基本一天出来,防pin哪怕间隔一分钟,一般一天都算不出。如果不是商业用途,不会花那么大精力来弄。当然用树莓派或其它嵌入式盒子的例外。我觉得基本上目前的路由器也可以算是防pin了。
    跑字典更是扯,一般就是几个社工字典,再加上八位数字,本地手机号和固话。一晚上只能跑一遍,如果有九位数字要两三年才能跑完。所以密码稍微复杂就可以,让别人主动放弃。
    imcczy
        43
    imcczy  
       2014-10-13 14:16:01 +08:00
    mac地址黑名单就好,,
    Mutoo
        44
    Mutoo  
       2014-10-13 14:31:06 +08:00
    让丫连,弄个镜像路由监控他上网,盗他号。
    shiny
        45
    shiny  
       2014-10-13 14:35:37 +08:00
    @zhs227 wifi 肯定要破信号最好的。如果你的 wifi 对他而言是最好的,就会不折不挠。最长我挂过半个月。

    至于跑字典只适合弱密码。
    knightluffy
        46
    knightluffy  
       2014-10-13 16:24:08 +08:00
    哪有这么麻烦..你看下你房子周围有没有程序猿就可以了..我家旁边有个wep的..经常拿来用用,有时候双网卡下载就是效果拔群.只要不被搞破坏..何必跟防贼一样...
    jtn007
        47
    jtn007  
       2014-10-13 16:29:06 +08:00
    白名单+1
    miyuki
        48
    miyuki  
       2014-10-13 17:38:45 +08:00 via Android
    关wps mac白名单
    liyangyijie
        49
    liyangyijie  
       2014-10-13 18:12:24 +08:00
    @imcczy 这么做一般能就挡住了 但是如果较真 还是可以蹭网的 首先使用和你一样的mac ,然后检测你的内网ip,设置成和你不一样的即可
    imcczy
        50
    imcczy  
       2014-10-13 18:33:02 +08:00
    @liyangyijie 这么做真是丧心病狂了
    tempdban
        51
    tempdban  
       2014-10-13 18:42:36 +08:00 via Android
    让他连……为啥不让他连……再引导他下个根证书。呵呵 爷玩死你
    liyangyijie
        52
    liyangyijie  
       2014-10-13 18:48:36 +08:00
    @imcczy 一般人不会这么蛋疼麻烦,但凡丧心病狂这么做无非是热点名字改成了辱骂而已 其实一般关掉wps 另外设置一个新密码就能拒之门外了
    Air
        53
    Air  
       2014-10-13 19:06:25 +08:00   ❤️ 1
    去和他交个朋友吧:)
    ms2008
        54
    ms2008  
       2014-10-13 19:53:21 +08:00   ❤️ 1
    既然无法阻止,何不来点儿狠得。。。

    http://www.cnblogs.com/index-html/p/wifi_hijack_4.html
    alsotang
        55
    alsotang  
       2014-10-13 21:34:10 +08:00
    看了楼上所有答案,只有 1L 是正确的。
    关掉 ssid 也没用,用黑客工具随便弄你出来。
    关 wps 是因为,wps 只有 8 位密码,是个安全短板,使你的 63 位随机密码成鸡肋。
    长密码是防暴力破解。如果你是随机 63 位密码的话,是可以躲过彩虹表的。

    另外,他那天如果拿你寻开心的话,还可以弄个蜜罐来钓你。
    wwek
        56
    wwek  
       2014-10-13 21:43:08 +08:00
    大家已经回答的很好了。
    关掉wps 防止 pin破解。
    使用wpa2 aes 高强度密码 大小写字母加数字。 如果嫌不好输入。可以打印个二维码。
    再安全点,就mac 白名单。
    20150517
        57
    20150517  
       2014-10-13 21:49:32 +08:00 via Android
    @alsotang 8位密码要跑多久?
    20150517
        58
    20150517  
       2014-10-13 21:51:03 +08:00 via Android
    @jasontse 怎么爪?什么工具啊?
    anheiyouxia
        59
    anheiyouxia  
       2014-10-13 22:07:20 +08:00
    @alsotang 一楼的答案并不是完全正确的,WPS是可以开启的,但是WPS内的pin码认证要关闭,只要关闭pin码认证就不怕wps破解
    另外就是,wps的pin码认证其实认真来说并不是8位的,只要前面四位猜出来,第五六七位再单独跑一次,第八位是校验码,所以破解wps的pin漏洞,实际上最多最多只要跑1.1万位就够了
    另外关闭SSID,只要不是有pin漏洞,你还是没办法获取SSID的,SSID还是比较有效的防破解手段,普通方法最多获取个mac地址而已。

    上面的方法是针对目前市面上大家能获取到的破解工具说的


    另外楼主@baskice,只要采用WPS2/WPA,密码在八位数以上的,随便加一个字母,不要用字典密码,WPS关闭pin码认证基本上就是安全的了
    隐藏SSID是进一步有效的安全防御手段

    而抓包破解WPA2/WPA的,如同一楼说的,只要一个握手包就够了。但是实际上破解起来要一个个密码去跑,普通计算机的速度,没个一年半载,基本上破解不了

    最后一个关于买个更高级的路由,这个其实不用,因为所有路由基本上是一样的,再高级的路由破解方法还是一样的,上面做足了,就够了
    xiaoz
        60
    xiaoz  
       2014-10-13 22:48:38 +08:00
    @simapple 你这个方法不错,值得一试。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1040 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 22:24 · PVG 06:24 · LAX 14:24 · JFK 17:24
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.