⑴ 無線網路排查故障方法
無線網路排查故障方法
對於無線網路技術,我們都知道如何使用,但是遇到無線網路故障我們有多少人很了解呢?對於無線網路出現的故障,下面是我為大家匯總了一些常見的排除技巧。
一、排查連接線路,解決只發不收
查看無線網路連接狀態信息時,我們有時會看到無線網路可以對外發送信息,但無法從外部接收信息,這種單向通信的方式顯然會影響我們正常的無線訪問操作。當不幸遭遇到無線網路單向通信的麻煩時,我們可以按照如下思路進行逐一排查:
首先要保證無線網路連接線路處於通暢狀態。在查看線路是否處於連通狀態時,我們可以先打開IE瀏覽器,並在彈出的瀏覽窗口地址欄中輸入路由器默認使用的IP地址(該地址一般能夠從路由器的操作說明書中查找到),之後正確輸入路由器登錄帳號,打開路由器的後台管理界面;接著在該管理界面中執行ping命令,來ping一下本地Internet服務商提供的DNS伺服器地址,要是目標地址能夠被ping通的話,那就表明路由器設備到Internet服務商之間的線路連接處於暢通狀態,要是目標地址無法被ping通的話,那說明路由器內部的部分參數可能沒有設置正確,這時我們就必須對路由器內部的配置參數進行一下逐一檢查。
在確認路由器內部配置參數都正確的前提下,我們可以在區域網中找一台網路配置正確、上網正常的工作站,並在該工作站中執行ping命令,來來ping一下路由器使用的IP地址,要是該地址可以被正常ping通的話,那就意味著區域網內部的線路連接也處於暢通狀態,要是ping不通路由器使用的IP地址時,那我們就有必要檢查本地工作站使用的網路參數與路由器使用的網路參數是否相符合,也就是說它們的地址參數是否處於同一網段內。要是上面的各個地址都能被順利ping通,但無線網路連接仍然處於只發不收的狀態時,那我們不妨重點檢查一下本地工作站的DNS參數以及網關參數設置是否正確,在確認這些參數正確後,我們還需要再次進入到路由器後台管理界面,從中找到NAT方面的參數設置選項,並檢查該選項配置是否正確;在進行這項參數檢查操作時,我們重點要檢查一下其中的NAT地址轉換表中是否有內部網路地址的轉譯條目,要是沒有的話,那隻發不收無線網路故障多半是由於NAT配置不當引起的,這時我們只要將內部網路地址的轉譯條目正確添加到NAT地址轉換表中就可以了。
二、排查連接方式,解決間歇斷網
在本地區域網通過無線路由器接入到Internet網路中的情形下,要是區域網中的工作站經常出現一會兒能正常上網、一會兒又不能正常上網的故障現象時,我們首先需要確保工作站與無線路由器之間的上網參數一定要正確,在該基礎下就應該重點檢查無線路由器的連接方式是否設置得當。通常情況下,無線路由器設備一般能支持三種或更多種連接方式,不過默認狀態下多數無線路由器設備會使用“按需連接,在有訪問數據時自動進行連接”這種連接方式,換句話說就是每隔一定的時間無線路由器設備會自動檢測此時是否有線路空載,要是成功連接後該設備並沒有偵察到線路中有數據交互動作的話,它將會把處於連通狀態的無線連接線路自動斷開。為此,當我們在實際上網的過程中,經常遇到間歇斷網無線網路故障現象時,我們可以嘗試進入到無線路由器後台管理設置界面,找到連接方式設置選項,並查看該選項的參數是否已經被設置為了“自動連接,在開機和斷線後進行自動連接”,要是不正確的話,必須及時將連接方式修改過來,最後在後台管理界面中執行保存操作,將前面的參數修改操作保存成功,最後重新啟動一下無線路由器設備,相信這樣多半能解決無線網路間歇斷網故障。
當然,通過上面的設置仍然不能解決間歇斷網故障現象時,我們需要檢查一下本地無線區域網中是否存在網路病毒攻擊,因為一旦ARP網路受到病毒非法攻擊的話,也有可能出現間歇斷網故障;此時我們不妨在本地工作站系統中,打開本地連接屬性設置窗口,然後進入到網卡設備的屬性設置界面,在該界面中嘗試修改一下網卡使用的IP地址,看看在新的IP地址條件下,間歇斷網故障是否還能出現,要是該無線網路故障繼續出現的話,我們一定要藉助專業的抗病毒攻擊的工具軟體來保護無線區域網了。
三、排查連接位置,解決上網遲鈍
在嘗試無線訪問操作時,如果發現訪問速度非常緩慢的話,我們應該進行兩方面的排查操作。首先需要排查確認的是我們當前訪問的WEB伺服器是否正處於繁忙工作狀態,一旦目標伺服器正處於繁忙工作狀態的話,我們唯一能做的就是盡量避開上網高峰期;要是在任何時段訪問WEB伺服器時,訪問速度一直很緩慢的話,那多半是無線傳輸信號比較微弱引起的。而導致無線傳輸信號比較微弱的最主要原因,往往就是無線路由器設備的連接位置擺放不當;為了盡可能提高無線信號的強度,我們一定要將無線路由器設備擺放在一個位置相對較高的`地方,而且要確保該設備與工作站之間不能有較多的水泥牆壁,不然的話無線信號的傳輸很容易受到外界干擾,導致信號衰減幅度巨大,從而影響無線上網的訪問速度。此外,需要提醒各位的是,如果無線路由器設備是用於區域網中的話,那麼一定要確保該設備位於所有工作站的中心位置,確保每一台工作站都能快速傳輸數據
四、排查連接狀態,解決無法登錄
首先需要向各位聲明的是,這里所提到的“無法登錄故障”主要是指無法登錄進無線路由器後台管理界面,造成無線路由器無法登錄的原因有很多,我們應該先從無線路由器的連接狀態著手,來查看該設備此時是否存在硬體方面的故障。通常情況下,我們可以通過觀察無線路由器控制面板中的信號燈來快速確定該設備是否存在硬體方面的無線網路故障。例如,要是無線路由器的電源信號燈不亮的話,那很有可能是該設備輸入電壓不正常,這個時候我們必須要重新更換一台新的無線路由器設備了;要是電源信號燈始終處於長亮狀態的話,這也屬於不正常的現象,此時我們不妨檢查一下該設備所連的寬頻線路,可以考慮換用其他的網線重新連接。
在確認無線路由器連接狀態正常的情況下,我們不妨進入到區域網工作站系統中,查看一下當前所使用的網路連接,看看工作站使用的IP地址是動態地址還是靜態地址,要是以前使用的是動態地址的話,我們可以嘗試將工作站IP地址修改成使用靜態IP地址,同時將本地系統的網路防火牆功能關閉掉。通過上面的努力,如果我們仍然無法登錄無線路由器的話,可以嘗試修改一下IE的設置;修改IE設置時,可以先打開IE瀏覽器窗口,並在該窗口菜單欄中依次執行“工具”/“Internet選項”命令,在彈出的Internet選項設置窗口中,單擊“連接”標簽,並在對應的標簽頁面中將“從不進行撥號連接”選中;之後再單擊一下該標簽頁面中的“區域網設置”按鈕,並在其後的設置頁面中將所有選項全部清空,最後單擊“確定”按鈕結束IE的設置操作。完成上面的設置操作後,再嘗試在IE瀏覽器地址框中輸入路由器地址進行連接,說不定這樣就能順利登錄進無線路由器了。
要是上面的各項排查還無法解決問題的話,我們可以通過無線路由器控制面板中的恢復按鈕將該設備參數全部恢復到出廠設置值,然後重新設置,相信這樣多半能解決無法登錄無線網路故障了。
;⑵ 智能手機無卡用無線網路舉報會被查到嗎
會查到你用無線網的地址。建議到沒有監控的網吧去玩!
⑶ 手機在連接公共無線網路時無法完成認證是怎麼回事
如遇到無法正常連接CMCC\CUCC\CHINA-NET、校園網、局域WiFi、公用WiFi的情況,是需要先咨詢網路運營商開通業務,登陸帳號後才可以使用的。使用人數過多也會導致無法連接,建議避開高峰期使用。
機場、KFC等公共場所WiFi請先咨詢工作人員確認連接方式再進行連接。如果手機還無法上網,可能是該WiFi連接人數過多,數量限制的原因,建議在人少的時候再連接測試。
⑷ 需要密碼才能登陸的網路怎麼接路由器
需密碼才能登陸,屬PPPOE撥號方式,可利用網線連接路由器,進行設置。
1、用瀏覽器(或任一文件夾地址列)輸入路由器網關地址,如192.168.1.1
(或有的品牌是192.168.0.1或其他)登入路由器設置頁面。
6、點擊執行,激活路由器後。
退出瀏覽器即可。
各牌路由器機型不盡相同,請斟酌參考。
⑸ 高分求解tp-link的問題
無線網安全與防範實用手冊
(《天極網》特約作者 高飛)
如今,基於IEEE 802.11a/b/g的無線區域網(WLAN)和CDMA/GPRS/WAP的無線電話網路已被廣泛應用。不過,在無線網路發展的同時,它的安全問題也慢慢顯現出來。本文將分析無線網路中存在的安全問題,並提出相應的防範措施,最大程度保證無線網路的使用安全。
一、無線網路的安全機制
雖然無線網路存在眾多的安全隱患、安全漏洞,但其本身還是採取了眾多安全機制,例如,WLAN使用的WEP加密、WPA加密、IEEE 802.1x驗證等,以及未來將要應用和可能應用的IEEE 802.11i標准、WPAI等。下面,我們將著重介紹基於無線區域網的安全機制。
1.傳統安全機制——SSID、MAC
傳統意義上,無線區域網使用的安全機制主要包括SSID和MAC兩種:
(1)SSID機制
SSID(Service Set Identifier)即服務設置標識,也稱ESSID,表示的是無線AP(Access Point)或無線路由器的標識字元,無線客戶端只有輸入正確的SSID值(一般最多有32個字元組成,例如,wireless)才能訪問該無線AP或無線路由器。通過SSID技術可以區分不同的無線區域網。它相當於一個簡單的口令,保證無線區域網的安全。
(2)MAC機制
MAC(Media Access Control)即媒體訪問控制,一般稱為物理地址過濾。因為每一個無線網卡都有唯一的物理地址,通過MAC技術可以在無線區域網中為無線AP或無線路由器設置一個許可接入的用戶的MAC地址列表,如果接入的無線網卡的MAC地址不在該列表中,無線AP或無線路由器將拒絕其接入,以實現物理地址過濾,並保證無線區域網的安全。在無線區域網中,MAC地址過濾屬於硬體認證,而不是用戶認證。
2.老當益壯——IEEE 802.11中的安全技術
隨著無線區域網IEEE 802.11b/g標準的風行,IEEE 802.11系列標准採用的安全技術也慢慢被大家所熟知,其中主要包括用戶認證、加密等幾種技術。
(1)用戶認證技術
在無線網路環境中,要保證網路的安全,必須對用戶的身份進行驗證。在IEEE 802.11系列標准中,對用戶進行認證的技術包括3種:
開放系統認證(Open System Authentication)。該認證是IEEE 802.11默認認證,允許任何用戶接入到無線網路中去,實際上根本沒有提供對數據的保護。
封閉系統認證(Closed System Authentication)。該認證與開放系統認證相反,通過網路設置可以保證無線網路的安全,例如,關閉SSID廣播等。
共享密鑰認證(Shared Key Authentication)。該認證是基於WEP的共享密鑰認證,它事先假定一個站點通過一個獨立於802.11網路的安全信道,已經接收到目標站點的一個WEP加密的認證幀,然後該站點將該幀通過WEP加密向目標站點發送。目標站點在接收到之後,利用相同的WEP密鑰進行解密,然後進行認證。
(2)加密技術
在IEEE 802.11b/g標准中,主要使用的加密技術就是WEP。WEP(Wired Equivalent Protocol,有線等效協議)屬於IEEE 802.11b標準的一個部分,它是一種對稱加密,加密和解密的密鑰以及演算法相同,採用RC4加密演算法,24位初始化向量。通過WEP加密可以保證在無線網路環境中傳輸的數據的安全性,以防止第三者竊取數據內容。
提示:RC4是1987年提出的加密演算法,作為一種分組密碼體系,被廣泛使用於計算機保密通信領域。
從網路上更新此圖片
WEP加密示意
理論上,WEP協議標准只建議進行40位加密。不過,目前市場上的無線區域網產品一般都支持64/128位WEP加密,部分產品支持256位WEP加密。
3.新一代安全標准——IEEE 802.11i
為了彌補無線區域網自身存在的缺陷,在2004年6月24日,IEEE標准委員會正式批准了新一代的Wi-Fi安全標准——IEEE 802.11i。IEEE 802.11i標准規定使用了IEEE 802.1x認證和密鑰管理方式,在數據加密方面,定義了TKIP、CCMP和WRAP三種加密機制。
(1)IEEE 802.1x標准
IEEE 802.1x是基於埠的網路訪問控制的標准,它可以提供對IEEE 802.11無線網路和對有線區域網驗證的網路訪問許可權。例如,當無線客戶端(要求安裝IEEE 802.1x客戶端軟體)與無線AP連接後,無線AP會使用標準的安全協議(例如,Radius等)對無線客戶端進行認證,通過認證後將打開邏輯埠,允許使用AP的服務,例如,共享上網。如果驗證沒有通過,將不允許享受AP服務。
目前,Windows 2000/XP等操作系統都已經提供了IEEE 802.1x的客戶端功能。
(2)TKIP技術
TKIP(Temporal Key Integrity Protocol,臨時密鑰完整性協議)是一種過渡的加密技術,與WEP一樣,採用RC4加密演算法。不同的是,TKIP將WEP密鑰的長度從40位加長到128位,初始化向量(Initialization Vector,IV)的長度從24位加長到48位,這樣就提高了密碼破解難度。
(3)CCMP技術
CCMP(Counter-Mode/CBC-MAC Protocol,計數模式/密碼塊鏈接消息鑒別編碼協議)是基於AES(Advanced Encryption Standard,高級加密標准)加密演算法和CCM(Counter-Mode/CBC-MAC,計數模式/密碼塊鏈接消息鑒別編碼)認證方式的一種加密技術,具有分組序號的初始向量,採用128位加密演算法,使得WLAN的安全程度大大提高。
(4)WRAP技術
WRAP(Wireless Robust Authenticated Protocol,無線鑒別協議)是基於AES加密演算法和OCB(Offset Codebook,偏移電報密碼本)認證方式的一種可選的加密機制,和CCMP一樣採用128位加密演算法。
(5)WPA、WPA2協議
WPA(Wi-Fi Protected Access,Wi-Fi保護訪問)是一種基於標準的可互操作的無線區域網安全性協議,可以保證無線區域網數據的安全,只有授權用戶才可以訪問該網路。其核心使用IEEE 802.1x和TKIP來實現對無線區域網的訪問控制、密鑰管理與數據加密。
從網路上更新此圖片
WPA加密示意
WPA與WEP一樣採用基於RC4加密演算法,不過它引入了擴展的48位初始化向量和順序規則、每包密鑰構建機制、Michael消息完整性代碼、密鑰重新獲取和分發機制等新演算法。
為了進一步提高無線區域網的安全性,Wi-Fi聯盟還進行了WPA2的認證,WPA2認證的目的在於支持IEEE 802.11i標准,以此代替WEP、IEEE 802.11標準的其他安全功能、WPA產品尚不包括的安全功能。該認證引入了AES加密演算法,首次將128位高級加密標准應用於無線區域網,同時也支持RC4加密演算法。目前,包括有3Com、思科等公司的產品提供了對WPA2的支持。
4.國產WLAN安全標准——WAPI
除了國際上的IEEE 802.11i和WPA安全標准外,我國在2003年5月也發布了無線區域網國家標准GB15629.11,該標准中提出了全新的WAPI安全機制。WAPI即WLAN Authentic
ation and Privacy Infrastructure,WLAN鑒別與保密基礎架構。
WAPI由WAI和WPI兩個部分組成:WAI(WLAN Authenti
-cation Infrastructure,WLAN鑒別基礎架構)可以實現對用戶身份的鑒別,採用公開密鑰體制,利用證書來對無線區域網中的用戶進行驗證;WPI(WLAN Privacy Infrastructure,WLAN保密基礎架構)可以採用對稱密碼演算法實現對MAC層MSDU進行加、解密操作,以保證傳輸數據的安全。
但是,WAPI標准不能與Wi-Fi聯盟制訂的主流WEP及WPA兼容,該標准自發布以來就被爭議所包圍。目前,WAPI標准還處在與美國的IEEE 802.11i標準的調解階段,未來兩種針對無線區域網的安全標准可能會「合並」,但是談判之路較曲折。
二、信號干擾與設備擺放
眾所周知,無線區域網信號的傳輸介質是空氣,所以無線信號很容易受到大氣噪音、環境和其他發射設備的信號干擾,尤其是附近的無線網路設備、無線電波設備的干擾,例如,家用微波爐、無繩電話等。那麼,在使用無線區域網時具體會受到那些信號干擾呢?我們該如何避免呢?
1.信號干擾
無線區域網所受到的信號干擾主要表現在兩個方面:
(1)附近設備干擾
目前,我們使用的無線區域網採用的是ISM(工業、科學、醫學)無線頻段,其中常用的IEEE 802.11b/g標准使用的是2.4GHz工作頻率(IEEE 802.11a標准使用5.8GHz工作頻率),與微波爐、藍牙設備、無繩電話等設備使用相同工作頻率。
因此,在使用無線區域網時容易受到這些無線設備的射頻干擾,例如,在靠近無線網路設備的地方使用微波爐,使用的是S段(頻率為2.4~2.5GHz),那麼無線區域網的信號將受到嚴重干擾,而出現信號延遲、信號時斷時續或者乾脆中斷等情況。
除了微波爐外,無繩電話、藍牙手機、復印機、防盜裝置、等離子燈泡等也會產生干擾。
(2)同類設備干擾
同類設備的干擾主要來自於附近,例如,同樓層、相鄰建築物的無線AP或無線路由器的干擾。
隨著,無線區域網的發展,目前很多家庭、公司等都安裝了無線基站,如果在無線信號覆蓋范圍內的無線AP或無線路由器使用相同的信道,例如,一個是IEEE 802.11b無線網路(使用6信道)、另一個是IEEE 802.11g無線網路(同樣使用6信道),那麼可能會產生網路速度下降、信號不穩定等情況。
2.設備擺放
為了避免無線電波、網路設備對無線區域網的信號干擾,以及為了獲得更好的無線網路信號。在擺放無線AP或無線路由器、調整無線網卡天線方向以及無線天線時需遵循如下原則:
(1)居中原則
在無線區域網中,無線AP或無線路由器處在各無線客戶端居中的位置是獲得最佳信號覆蓋效果的位置。即以無線AP或無線路由器為中心,進行無線信號的發射。例如,在家居中,建議將無線AP或無線路由器放置在幾個房間的交匯口處,最好是高處,並將無線網卡的天線調整到最佳位置。這樣,還可以避免無線信號的「死角」。
(2)避讓原則
前文中我們介紹了,微波爐、無繩電話、藍牙手機等設備會對無線區域網的信號產生干擾,那麼在擺放無線AP或無線路由器時一定要注意避開這些設備。例如,5米范圍內避免有微波爐、無繩電話等。
另外,室內的牆壁、門(尤其是金屬門)、金屬障礙物等,對無線信號的影響非常大。因為無線區域網採用的是無線微波頻段,微波是近乎直線的傳播,繞射能力非常弱(也就是我們常說的「穿牆」能力),因此在障礙物後面的無線接收設備只能接收到微弱的信號。
因此,在放置無線設備時,要盡量避免無線接收設備之間的障礙物。另外,在放置無線AP或無線路由器時,最好放置在天花板、牆壁等高處,這樣便於信號向下輻射,減少障礙物的阻攔。
(3)可視原則
在擺放無線網路設備時,無線AP(或無線路由器)與無線客戶端之間最好可見,而且盡量少地穿越牆壁、障礙物以及其他無線設備,這樣可以保證獲得最強的信號。
3.信道沖突對策
前文中我們介紹了,如果相鄰的或同樓層的無線區域網使用了相同或相近的信道,那麼在無線AP覆蓋范圍內可能會出現信道沖突。
我們知道,IEEE 802.11b/g標准規定工作頻率在2.4~2.4835GHz,傳輸速率分別為11Mbps、54Mbps,這些頻率又被分成11或13個信道。IEEE 802.11b/g標准只支持3個不重疊的傳輸信道,只有信道1、6、11或13是不沖突的。不過,使用信道3的設備會干擾信道1和信道6的設備,使用信道9的設備會干擾信道6和信道13的設備。
提示:IEEE 802.11a標准工作頻率為5GHz,有12個不重疊的傳輸信道,傳輸速率范圍為6~54Mbps,不過,IEEE 802.11a標准與IEEE 802.11b/g標准不兼容。
要解決信道沖突的問題,可以手工來修改信道值,以避免信道沖突。以TP-LINK TL-WR245 1.0無線路由器為例(下面的所有操作均以該產品為例),具體的設置步驟如下:
首先,使用網頁瀏覽器輸入無線路由器管理頁面的地址,例如,192.168.1.1,輸入用戶名(默認為空)和密碼(默認為admin)。在打開的管理頁面右側的頁面中可以看到「頻道」設置選項,可以將其修改成1、6、11或13。最後單擊「應用」按鈕即可。
三、非法接入與防範措施
由於無線區域網自身的特點,它的無線信號很容易被發現。入侵者只需要給電腦安裝無線網卡以及無線天線就可以搜索到附近的無線區域網,獲取SSID、信道、是否加密等信息,例如,常用的Windows XP就可以自動搜索附近的無線網路。很多家用無線區域網一般不會進行相應的安全設置,很容易接入他人的無線網路。如果被非法入侵者利用,將會對搜索到的網路發起攻擊。
為了避免來自附近的非法入侵,我們可採取如下防範措施:
1.更改管理密碼
不管是無線AP、無線路由器還是其他可管理的網路設備,在出廠時都預設了管理密碼和用戶名,例如,用戶名為「admin」或空等,管理密碼為「admin」、「administrator」等,這些密碼都可以在產品說明書中找到。為了防止非法入侵者使用預設的用戶名和密碼登錄,建議更改無線AP或無線路由器的管理密碼。
首先,打開管理頁面,輸入預設的用戶名和密碼。在打開的管理頁面左側單擊「管理設置」區域中的「設備管理」選項。然後在右側的窗口中,在「管理員密碼」框中輸入新密碼和確認密碼(建議使用至少8位的密碼並夾雜特殊字元)。最後單擊「應用」按鈕即可。
技巧:如果忘記了無線AP或無線路由器的管理密碼,可以使用鉛筆等工具頂住設備面板上的「Reset」按鈕大約5秒鍾,這樣將恢復設備的默認用戶名、密碼設置。
2.更改SSID值
通常情況下 ,無線AP和無線路由器在出廠時為了使用方便,預設狀態為開放系統認證,也就是說任何使用者只要安裝了無線網卡就可以搜索到附近的無線網路並建立連接。而且,各廠家給無線AP和無線路由器都預設了SSID值。例如,Cisco的產品為「tsunami」、TP-Link的為「Wireless」、D-Link的為「Default」、Linksys的為「linksys」等。
為了防止他人連接你的無線網路,建議修改預設的SSID值。打開無線路由器的管理頁面,在左側單擊「基本設置」選項,然後在右側頁面的「SSID」區域中更改名稱。例如「officewlan」。最後單擊「應用」按鈕即可。
3.關閉SSID廣播
除了更改SSID值以外,建議將無線網路的認證方式改為不廣播SSID的封閉系統認證方式。
打開無線路由器的管理頁面,同樣是在「基本設置」頁面中,在「SSID廣播」中選擇「禁止」選項,單擊「應用」按鈕即可。這樣,無線網路覆蓋范圍內的用戶都不能看到該網路的SSID值,從而提高無線網路的安全性。
4.更改無線AP的IP地址
通常,在無線AP和無線路由器的產品說明書中會標明LAN口的IP地址,這也是管理頁面的地址,例如,TP-LINK TL-WR245 1.0無線路由器默認的IP地址為192.168.1.1,子網掩碼為255.255.255.0。為了防止其他用戶使用該IP地址登錄管理頁面,可以事先打開管理頁面,在「基本設置」頁面的LAN口IP地址區域修改IP地址。
5.啟用IEEE 802.1x驗證
IEEE 802.1x認證作為彌補WEP部分缺陷的過渡性安全機制,得到了Windows XP的支持。所以,如果使用的是Windows XP系統,同時無線AP(無線路由器)和無線網卡支持IEEE 802.1x,可以打開無線網卡的屬性窗口,單擊「身份驗證」選項卡,選中「啟用使用IEEE 802.1x的網路訪問控制」選項,單擊「確定」按鈕即可。
四、MAC地址欺騙和會話攔截
通常情況下,IEEE 802.11系列的無線區域網對數據幀是不進行認證操作的。雖然它提供了MAC(介質訪問控制),但是因為它不能防止欺騙所以常常被忽略。這樣給無線區域網的安全帶來不利的影響,下面我們將介紹入侵者進行MAC地址欺騙和會話攔截的手段,並給出相應的防範措施。
1.欺騙、攔截手段
因為無線區域網不對數據幀進行認證操作,這樣,入侵者可以通過欺騙幀去重新定向數據流,攪亂ARP緩存表(表裡的IP地址與MAC地址是一一對應的)。入侵者可以輕易獲得網路中站點的MAC地址,例如,通過Network Stumbler軟體就可以獲取信號接收范圍內無線網路中的無線網卡的MAC地址,而且可以通過MAC地址修改工具來將本機的MAC地址改為無線區域網合法的MAC地址,或者通過修改注冊表來修改MAC地址。
除了MAC地址欺騙手段外,入侵者還可以攔截會話幀來發現無線AP中存在的認證漏洞,通過監測AP發出的廣播幀發現AP的存在。可是,由於IEEE 802.11無線網路並沒有要求AP必須證明自己是一個AP,所以入侵者可能會冒充一個AP進入網路,然後進一步獲取認證身份信息。
2.防範措施
在IEEE 802.11i標准沒有廣泛應用之前,我們只有藉助於一些常規的手段來防範這些攻擊。例如,設置MAC地址訪問控制、並定期進行更新,關閉DHCP伺服器等。
(1)MAC地址過濾
每一塊無線網卡在出廠之前都設定了MAC地址,該地址跟IP地址一樣是唯一的,一般是無法更改的。在無線區域網中,無線AP或無線路由器內部可以建立一張MAC地址控製表,只有在控製表中列出的MAC地址才是合法可以連接的無線網卡,否則會拒絕連接到該無線網路。具體設置方法如下:
從網路上更新此圖片
MAC地址過濾示意
打開管理頁面,在左側單擊「無線設置」,在右側的「終端MAC過濾」區域選中「允許」選項,單擊「應用」按鈕啟用MAC地址過濾功能。然後回到該頁面單擊「終端MAC過濾」區域下方的「有效MAC地址表」按鈕,打開的窗口會顯示有效的MAC地址,選中這些地址,單擊「更新過濾列表」按鈕,在打開的窗口中可以添加其他的MAC地址,添加到該過濾列表中的MAC地址對應的計算機將不能連接到該無線網路。
從網路上更新此圖片
MAC地址過濾設置
此外,除了MAC地址過濾功能外,有的無線AP或無線路由器提供了MAC地址訪問控制功能,通過該功能可以控制訪問Internet的計算機。在下面的內容中我們將介紹這方面的內容。
提示:MAC地址過濾功能一般適用於規模不大的無線網路,對於規模比較大的企業來說,所組建的無線網路包括多個無線AP,無線客戶端並可以進行漫遊,就需要通過Radius(遠程驗證撥入用戶服務)伺服器來提供更加復雜的過濾功能。
(2)關閉DHCP伺服器
在無線區域網中,通過DHCP伺服器可以自動給網路內部的計算機分配IP地址,如果是非法入侵者同樣可以分配到合法的IP地址,而且可以獲得網關地址、伺服器名稱等信息,這樣給網路安全帶來了不利的影響。
所以,對於規模不大的網路,可以考慮使用靜態的IP地址配置,關閉無線AP或無線路由器的DHCP伺服器。關閉的方法比較簡單:以無線路由器為例,打開的管理頁面,在左側的頁面中單擊「DHCP設置」,在右側頁面的「DHCP伺服器」中,將「起始IP地址」設為「禁止」,單擊「應用」按鈕即可。
五、流量監聽與數據加密
1.流量監聽
因為IEEE 802.11無線網路自身的特點,容易被暴露在大庭廣眾之下,任何無線網路分析儀都可以不受任何阻礙地截獲未經加密的無線網路流量,例如,AiroPeek NX、Airomp等。AiroPeek NX可以利用WildPackets的WLAN分析技術來進行如延時和流量分析、主機圖和會話圖以及幾十種常見的故障診斷等,可以對無線網路進行精確的全面的分析。
除了無線網路分析軟體外,還有的無線網路掃描工具也可以進行流量的監聽,例如,Network Stumbler,該軟體不僅可以搜索到無線網卡附近的所有無線網路,還可以顯示包括MAC地址、速度、頻道、是否加密、信號、連接類型等信息,通過這些信息,入侵者可以很容易地進行非法接入並試圖進行攻擊。
2.WEP加密
為了防止入侵者通過對監聽的無線網路流量分析來進行攻擊,網路的加密還是必須的。目前,無線網路常見的加密方式就是WEP。
(1)無線AP端
要啟用WEP加密,首先需要在無線AP或無線路由器端開啟該功能,並設置密鑰。
以無線路由器為例,打開管理頁面,單擊左側的「基本設置」,然後在右側的「WEP」區域選擇「開啟」選項,並單擊右邊的「WEP密鑰設置」按鈕,在打開的窗口中可以選擇創建64位或128位的密鑰,例如,選擇64bit,輸入密碼短語(由字元和數字組成),單擊「創建」按鈕將自動創建4組密鑰(128位只能創建一組密碼),記下其中的一組密鑰。單擊兩次「應用」按鈕使無線路由器的WEP密鑰生效。
(2)無線客戶端
在系統中打開「無線網路連接屬性」對話框,單擊「無線網路配置」選項卡,在「首選網路」中選擇設置加密的無線網路名稱,單擊「屬性」按鈕。接著在打開的對話框中選中「數據加密(WEP啟用)」選項,取消「自動為我提供此密鑰」選項,在「網路密鑰」框中輸入在無線路由器中創建的一組密鑰。連續單擊「確定」按鈕即可。
提示:如果在無線客戶端沒有設置WEP密鑰,那麼在連接加密的無線網路時,將無法連接,有的系統可能會提示輸入網路密鑰,例如,Windows XP。
3.WPA/WPA2加密
(1)破解WEP基本原理
雖然通過WEP加密可以保護無線網路的安全,但就目前來說,WEP加密因為採用的24位的初始化向量,而且採用對稱加密原理,所以WEP本身容易被破解。
早期WEP非常容易被Airsnort、WEPcrack等工具解密。如今,要破解WEP,入侵者一般採用多個工具組合進行破解,例如,使用Kismet掃描整個區域的WLAN,並收集SSID、頻道、MAC地址等信息;使用Airomp來對目標WLAN進行掃描並捕獲數據包;使用Void11可以從目標AP中驗證某台計算機,並強制這個客戶端計算機重新連接到目標AP,並申請一個ARP請求;使用Aireplay可以接受這些ARP請求,並回送到目標AP,以一個合法的客戶端身份來截獲這個ARP請求;最後,使用Aircrack接受Airomp生成的捕獲文件並從中提取WEP密鑰。
(2)啟用WPA/WPA2加密
在安全性方面,WPA/WPA2要強於WEP,在Windows XP中就提供了對WPA的支持(不支持WPA2),不過這需要獲取WPA客戶端。而在Windows XP SP2中提供了對WPA/WPA2的支持,並不需要獲取WPA客戶端。下面以Windows XP SP2為例,介紹如何啟用WPA/WPA2加密。
首先,打開「無線網路連接屬性」對話框,單擊「無線網路配置」選項卡。接著在「首選網路」選項組中選擇要加密的網路名稱,單擊「屬性」按鈕。然後在打開的對話框中,在「網路驗證」選項組中選擇WPA(WPA適用於企業網路,WPA-PSK適用於個人網路),在「數據加密」選項組中選擇加密方式,例如,AES或TKIP。
提示:WPA2的設置與WPA相同,不過無線網路使用的必須是支持WPA2的無線AP、無線網卡以及Windows XP SP2系統。
六、網路攻擊與訪問控制
除了非法入侵、MAC地址欺騙、流量監聽外,無線區域網與傳統的有線區域網一樣,如果連接到Internet,也會遇到網路病毒、拒絕服務(DoS)的攻擊。針對這些網路攻擊,我們可以採取設置防火牆、設置訪問控制等措施。
1.啟用防火牆
因為Windows XP SP2在安全性方面做了很大的改進,而且提供對WLAN強大的支持,所以下面介紹在Windows XP SP2系統中啟用防火牆:
首先,打開「無線網路連接屬性」對話框,單擊「高級」選項卡,在「Windows防火牆」選項組中單擊「設置」按鈕打開「Windows防火牆」對話框,在「常規」選項卡中選擇「啟用」選項。
為了保證無線網路的安全,可以在「例外」選項卡中添加允許訪問網路的例外程序和服務,例如,QQ、MSN Messenger等。單擊「添加程序」按鈕還可以添加其他需要訪問網路的程序。單擊「添加埠」按鈕可以添加要訪問網路的埠號,例如,FTP服務的21埠。在「高級」選項卡中,為了保證無線網路連接的安全,建議選中「無線網路連接」選項。
最後,單擊「確定」按鈕即可啟用無線網路的防火牆。
2.網路訪問控制
通常情況下,無線AP或無線路由器都提供了網路訪問控制功能,常見的包括有IP訪問控制、URL訪問控制和MAC訪問控制。
(1)IP訪問控制
通過IP訪問控制可以對網路內部計算機服務埠發送的協議數據包進行過濾,來控制區域網內部計算機對網路服務的使用許可權。例如,要禁止無線區域網內部192.168.1.101~192.168.1.110的所有計算機使用QQ、FTP,可以進行如下設置:
以無線路由器為例,打開管理頁面,在左側單擊「訪問控制」,在右側的頁面中單擊「IP訪問設置」,在協議中選擇「UDP」,輸入192.168.1.101~192.168.1.110,在埠范圍中分別輸入4000、8000(設置QQ訪問控制);然後在協議中選擇TCP,輸入192.168.1.101~192.168.1.110,在埠范圍分別輸入21、21(設置FTP訪問控制)。單擊「應用」按鈕即可。
從網路上更新此圖片
訪問控制設置
(2)URL訪問控制
通過URL訪問控制功能可以限制無線區域網內部計算機允許或禁止訪問的網站。例如,要指定允許訪問的網站,可以打開「訪問控制」頁面,在右側的頁面中單擊「URL訪問設置」。接著,在「URL訪問限制」 選擇「允許」,表示啟用URL訪問控制。然後在站點中添加允許訪問的網站,一共可以添加20個站點。單擊「應用」按鈕完成設置。
(3)MAC訪問控制
在前文中,我們已經介紹了無線AP的MAC地址過濾功能,除此之外,通過MAC訪問控制功能可以對無線區域網中的某一台或多台計算機進行控制,限制他們訪問Internet。首先,打開「訪問控制」頁面,單擊「MAC訪問設置」。接著,輸入MAC地址,該無線路由器提供50組的MAC地址過濾,在1~10地址中,輸入最多10個MAC地址。單擊「應用」按鈕完成設置。
除了上面介紹的安全防範措施之外,我們還可以選擇VPN(虛擬專用網)、支持IEEE 802.11i標準的無線網路設備來保證無線網路的安全。