论文部分内容阅读
为了节省银子以及获取较快的上网速度,陌生用户往往会想尽一切办法蹭用附近的无线网络。如果我们心地善良,不想让这些蹭用网络者白费心机时,不妨授权它们能够正常接入单位无线路由器,不过需要将它们可用的出口带宽设置得比较小,以避免它们影响单位网络的稳定运行。
最近从网上下载电影时,笔者感觉到无线上网速度明显不正常。借助专业工具扫描单位内网时,看到有几台陌生客户机正在偷偷蹭用单位的无线局域网,消耗了不少的带宽资源。很明显,肯定有陌生用户成功破解了单位无线局域网的登录密码,才得以搭上免费上网快车的。笔者想,尽管使用密码机制能有效保护无线上网的登录安全,不过任何事情都有两面性,一方面密码要是遭遇破解或发生丢失,那么无线网络就会失去安全保护,另外一方面加密功能也会影响无线上网的速度。那么能否找到有效的办法,在不对网络进行加密的情况下,严正拒绝他人偷偷蹭用单位无线网络呢?经过反复研究与实践,笔者终于总结出一些行之有效的措施,来禁止别人蹭用无线网络。现在,本文就以用户经常用到的MW150R型水星路由器为操作蓝本,将笔者总结的措施付诸于实践!
控制陌生用户的带宽
为了节省银子以及获取较快的上网速度,陌生用户往往会想尽一切办法蹭用附近的无线网络。如果我们心地善良,不想让这些蹭用网络者白费心机时,不妨授权它们能够正常接入单位无线路由器,不过需要将它们可用的出口带宽设置得比较小,以避免它们影响单位网络的稳定运行,比方说,可以考虑为陌生用户分配5KB/S到10KB/S大小的出口带宽,这样陌生用户将由于无法容忍蜗牛爬行般的龟速,而最终放弃偷偷蹭用网络的做法。我们可以利用无线路由器自带的IP地址绑定功能,将单位局域网中所有员工合法计算机的IP地址和对应的网卡物理地址绑定起来,从而生成一个地址绑定列表,对于该列表中的所有客户机不进行上网限速,而对该列表之外的所有客户机进行集中限速,为它们统一设置较低的出口带宽,这样蹭网用户日后即使蹭网成功,也不会影响本地无线网络的正常工作。
比方说,笔者所在办公室只有两台笔记本电脑,为了让这两台笔记本可以正常上网,其他计算机只能使用龟速上网,可以按照下面的操作步骤设置办公室的无线路由器:
首先以系统管理员权限登录无线路由器后台系统,在后台管理界面的左侧任务列表区域中,用鼠标逐一单击“IP与MAC绑定”|“静态ARP绑定设置”选项,切换到右侧的绑定设置区域,将位于该区域“ARP绑定”位置处的“启用”选项选中,这样无线路由器自带的MAC地址绑定功能会被自动激活成功。
其次按下“增加单个条目”按钮,在其后弹出的设置页面中,逐一输入笔者办公室中两台笔记本的网卡物理地址,使其与它们各自的IP地址绑定在一起,如此一来就自动生成了一个网卡物理地址列表。如果不知道笔记本的MAC地址时,可以依次单击该电脑系统中的“开始”|“运行”命令,弹出系统运行对话框,输入“cmd”命令并回车,切换到DOS命令行工作窗口,在该窗口命令行提示符下执行“ipconfig /all”命令,从返回的结果信息中就能获取对应网卡设备的物理地址了,如图1所示。
接着返回到无线路由器后台管理主页面,单击左侧任务栏区域中的“IP带宽控制”选项,在对应选项设置区域选中“开启IP带宽控制”复选框,同时设置好本地宽带上网线路类型。
下面在“请配置IP带宽控制规则”位置处定义好上网地址池范围,为特定范围内的地址指定好较“窄”的上网带宽。比方说,笔者所在办公室两台笔记本电脑的IP地址假设为10.176.6.9、10.176.6.10,而本地上网地址池范围假设为10.176.6.1到10.176.6.10,那么我们就能将10.176.6.1到10.176.6.8地址段的上网带宽分配为5KB/S或10KB/S,执行设置保存操作后,陌生用户的上网速度就会被成功控制在一个较低的水平。
日后陌生用户即使偷偷接入了办公室的无线局域网,也只能以5KB/S或10KB/ S左右的低速上网运行,虽然处于有网可用的状态,但是由于数据传输速度太慢,根本没有多大实际意义,尝试几次后,多数用户会放弃蹭网的做法,显然这种拒绝他人蹭网的做法比较文明、礼貌,不容易得罪周围的邻居。
禁止为陌生用户留位
大家知道,通过无线路由器自带的DHCP服务器功能,能够为接入该设备的所有客户机自动分配IP地址以及其他上网参数,而客户端用户只要在客户端系统中打开无线连接属性对话框,在其中将TCP/IP协议选项设置成自动获取IP地址,就能让客户端系统顺利从无线路由器那里申请获得有效上网参数,并能正常进行上网访问了。这样操作尽管很简单,不过容易给陌生连接提供可趁之机。
其实,我们完全可以依照实际情况,适当缩小无线局域网的地址池范围,禁止为陌生用户保留空闲IP地址,这样陌生用户将会由于无法获得有效上网参数,而被挡在单位无线网络大门之外。比方说,单位办公室中只有两台笔记本电脑上网,那么该网络中只要保留两个有效的IP地址即可。要做到这一点,可以先用特权账号登录进入无线路由器后台系统,在后台管理界面的左侧任务列表区域中,用鼠标逐一单击“DHCP服务器”|“DHCP服务”子项,在对应该子项的右侧显示区域,将“DHCP服务器”位置处的“启用”选项选中,如图2所示。
接着在“地址池开始地址”、“地址池结束地址”等位置处,有针对性地输入单位无线网络实际要用到的IP地址。例如,假设我们现在想将10.176.6.9、10.176.6.10这两个IP地址,自动分配给办公室中的两台笔记本电脑,那么就可以在“地址池开始地址”位置处正确填入“10.176.6.9”,在“地址池结束地址”位置处正确填入“10.176.6.10”,之后按下“保存”按钮将上述设置参数保存起来。如此一来,单位无线网络中的宽带路由器日后只能为接入网络的客户机自动分配10.176.6.9、10.176.6.10这两个IP地址了。
当我们尝试将办公室中的两台笔记本电脑全部启动成功并接入网络后,DHCP服务器地址池中的两个IP地址将全部被占用,其他客户机系统就不能接入无线网络了,陌生用户只有坐在一旁进行漫长等待,才有可能达到蹭网目的。而实际上,如果经常碰到需要长时间等待才能蹭网的现象时,多数陌生用户肯定会知难而退的,毕竟用如此漫长的等待时间去做一些其他事情,或许早已挣足了无线上网的费用了。倘若在家中只有一台客户机需要上网时,完全可以为DHCP服务器地址池仅配置一个上网地址,从而不给陌生用户任何一点机会。
过滤陌生网卡MAC地址
要是对单位无线网络的上网参数不熟悉,或者认为上述设置方法比较复杂时,也可以利用网卡物理地址过滤的方法,来拒绝陌生用户偷偷使用单位无线局域网。现在,多数品牌的无线路由器都支持网卡MAC地址过滤功能,巧妙使用这项功能,可以智能地将陌生用户的客户机阻挡在无线局域网大门之外。
大家知道,MAC地址属于一种硬件地址,它是专门用来定义网络设备位置的,由48比特长,12位的16进制数字组成,0到23位是厂商向IETF等机构申请用来标识厂商的代码,也称为“编制上唯一的标识符”,是识别局域网结点的标志,地址的24到47位由厂商自行分派,是各个厂商制造的所有网卡的一个唯一编号。在OSI模型中,第三层网络层负责IP地址,第二层数据链路层则负责MAC位址。所以,一个网卡设备通常会有一个全球唯一固定的MAC地址,将单位无线局域网中合法客户机的网卡物理地址,手工添加到无线路由器自带的MAC地址过滤表中,那么日后只有客户端系统的MAC地址与MAC地址过滤表中的内容一致,它才会被无线路由器识别为合法客户端系统,从而才有权限接入无线网络进行上网访问,而其他客户端系统在连接无线路由器时,会被识别为非法连接,从而会被自动拦截不能上网访问。
在开启无线路由器自带的MAC地址过滤功能时,首先按照同样的操作,登录进入无线路由器后台系统(如图3所示),在后台管理页面的左侧列表区域,用鼠标逐一展开“安全设置”|“防火墙设置”子项,在对应该子项的右侧显示区域中选中“开启MAC地址过滤”选项,同时在“缺省过滤规则”位置处,将“仅允许已设MAC地址列表中已启用的MAC地址访问Internet”选项选中,单击“保存”按钮执行设置保存操作。
下面返回到无线路由器后台管理主页面,在该页面的左侧列表区域中逐一展开“安全设置”|“MAC地址过滤”分支,在目标分支下面按下“添加新条目”按钮,切换到新条目添加对话框,正确输入合法客户端系统的网卡物理地址,并单击“保存”按钮,将对应的MAC地址加入到无线路由器的MAC地址过滤列表中。同样地,可以将单位局域网中其他合法的客户机网卡物理地址依次添加进来,最后不要忘了保存操作。
经过上述设置操作后,日后只有合法的客户机才能通过无线路由器,正确上网访问内容,而陌生用户在尝试进行无线连接时,无线路由器由于不能正确识别它们的MAC地址,于是会认为它们是非法连接,从而坚决地将他们拒之门外,这样陌生用户一点蹭网的机会都没有了。
分配虚假地址给外人
很多时候,陌生用户之所以屡次蹭网成功,主要得益于无线路由器自带的DHCP服务器功能,因为该功能可以自动为它们配置好上网参数,让其坐享其成。现在,我们可以反其道而行之,为无线路由器自带的DHCP服务器配置虚假的无线上网参数,以此来迷惑陌生用户,让其弄不清无法上网的原因。
众所周知,为了更合理地使用IP地址资源,国际互联网信息中心将IP地址分为A、B、C、D、E五大类,其中A类网络的IP地址最前面的一组数字应该处于0到127之间,B类网络的IP地址最前面的一组数字应该处于128到192之间,C类网络的IP地址最前面的一组数字应该处于192到256之间,而无线路由器默认使用的IP地址往往是192.168.1.1或192.168.0.1,DHCP服务器默认使用的地址池范围相应的是192.168.1.2到192.168.1.254,或者是192.168.0.2到192.168.0.254,这就让很多陌生用户形成了思维定势,要接入宽带路由器肯定会使用这类地址,如果我们偷懒没有修改无线路由器默认设置时,陌生用户尝试利用上述IP地址就能轻松实现蹭网目的。
假设现在我们采用逆向思维,为无线路由器自带的DHCP服务器配置虚假的无线上网参数,以躲避陌生用户的视线,比方说使用10.172.1.0网段的地址,来配置DHCP服务器参数。在配置时,首先在无线路由器后台管理页面逐一展开“DHCP服务器”|“DHCP服务”子项,在对应该子项的右侧显示区域,将“地址池开始地址”输入为“10.172.1.1”,将“地址池结束地址”输入为“10.172.1.200”。
其次修改默认的网关地址,来欺骗陌生用户。通常情况下,局域网的网关地址一般都是一个网段中的第一个IP地址,比方说这里应该为10.172.1.1,现在我们可以将其调整为10.172.1.254,之后执行设置保存操作,这样陌生用户会由此摸不着头脑。
下面选中“DHCP服务器”位置处的“不启用”选项,将无线局域网的自动分配地址功能暂时停用,这样陌生用户就不能坐享其成了。紧接着,合法用户可以在自己的客户端系统中,依次单击“开始”|“设置”|“网络连接”命令,打开系统网络连接列表界面,用鼠标右键单击该界面中的无线上网连接图标,执行右键菜单中的“属性”命令,切换到无线网络连接属性对话框。选择其中的TCP/ IP协议选项,按下“属性”按钮,展开TCP/IP协议属性对话框,在这里手工设置好客户机的合法静态IP地址和网关地址(如图4所示),再单击“确定”按钮保存设置,这样合法客户机就能成功进行上网冲浪了。而陌生用户由于不清楚无线网络的配置参数,他们自然也就被挡在单位无线网络大门之外了。
上面的巧招虽然可以在不加密的情形下,拒绝陌生用户偷偷蹭用本地无线网络,不过有一个前提条件,那就是我们一定要及时调整无线路由器使用的缺省密码,禁止陌生用户企图通过缺省密码登录无线路由器后台管理页面,破坏本地网络的一些安全设置。
1
2
3
4
最近从网上下载电影时,笔者感觉到无线上网速度明显不正常。借助专业工具扫描单位内网时,看到有几台陌生客户机正在偷偷蹭用单位的无线局域网,消耗了不少的带宽资源。很明显,肯定有陌生用户成功破解了单位无线局域网的登录密码,才得以搭上免费上网快车的。笔者想,尽管使用密码机制能有效保护无线上网的登录安全,不过任何事情都有两面性,一方面密码要是遭遇破解或发生丢失,那么无线网络就会失去安全保护,另外一方面加密功能也会影响无线上网的速度。那么能否找到有效的办法,在不对网络进行加密的情况下,严正拒绝他人偷偷蹭用单位无线网络呢?经过反复研究与实践,笔者终于总结出一些行之有效的措施,来禁止别人蹭用无线网络。现在,本文就以用户经常用到的MW150R型水星路由器为操作蓝本,将笔者总结的措施付诸于实践!
控制陌生用户的带宽
为了节省银子以及获取较快的上网速度,陌生用户往往会想尽一切办法蹭用附近的无线网络。如果我们心地善良,不想让这些蹭用网络者白费心机时,不妨授权它们能够正常接入单位无线路由器,不过需要将它们可用的出口带宽设置得比较小,以避免它们影响单位网络的稳定运行,比方说,可以考虑为陌生用户分配5KB/S到10KB/S大小的出口带宽,这样陌生用户将由于无法容忍蜗牛爬行般的龟速,而最终放弃偷偷蹭用网络的做法。我们可以利用无线路由器自带的IP地址绑定功能,将单位局域网中所有员工合法计算机的IP地址和对应的网卡物理地址绑定起来,从而生成一个地址绑定列表,对于该列表中的所有客户机不进行上网限速,而对该列表之外的所有客户机进行集中限速,为它们统一设置较低的出口带宽,这样蹭网用户日后即使蹭网成功,也不会影响本地无线网络的正常工作。
比方说,笔者所在办公室只有两台笔记本电脑,为了让这两台笔记本可以正常上网,其他计算机只能使用龟速上网,可以按照下面的操作步骤设置办公室的无线路由器:
首先以系统管理员权限登录无线路由器后台系统,在后台管理界面的左侧任务列表区域中,用鼠标逐一单击“IP与MAC绑定”|“静态ARP绑定设置”选项,切换到右侧的绑定设置区域,将位于该区域“ARP绑定”位置处的“启用”选项选中,这样无线路由器自带的MAC地址绑定功能会被自动激活成功。
其次按下“增加单个条目”按钮,在其后弹出的设置页面中,逐一输入笔者办公室中两台笔记本的网卡物理地址,使其与它们各自的IP地址绑定在一起,如此一来就自动生成了一个网卡物理地址列表。如果不知道笔记本的MAC地址时,可以依次单击该电脑系统中的“开始”|“运行”命令,弹出系统运行对话框,输入“cmd”命令并回车,切换到DOS命令行工作窗口,在该窗口命令行提示符下执行“ipconfig /all”命令,从返回的结果信息中就能获取对应网卡设备的物理地址了,如图1所示。
接着返回到无线路由器后台管理主页面,单击左侧任务栏区域中的“IP带宽控制”选项,在对应选项设置区域选中“开启IP带宽控制”复选框,同时设置好本地宽带上网线路类型。
下面在“请配置IP带宽控制规则”位置处定义好上网地址池范围,为特定范围内的地址指定好较“窄”的上网带宽。比方说,笔者所在办公室两台笔记本电脑的IP地址假设为10.176.6.9、10.176.6.10,而本地上网地址池范围假设为10.176.6.1到10.176.6.10,那么我们就能将10.176.6.1到10.176.6.8地址段的上网带宽分配为5KB/S或10KB/S,执行设置保存操作后,陌生用户的上网速度就会被成功控制在一个较低的水平。
日后陌生用户即使偷偷接入了办公室的无线局域网,也只能以5KB/S或10KB/ S左右的低速上网运行,虽然处于有网可用的状态,但是由于数据传输速度太慢,根本没有多大实际意义,尝试几次后,多数用户会放弃蹭网的做法,显然这种拒绝他人蹭网的做法比较文明、礼貌,不容易得罪周围的邻居。
禁止为陌生用户留位
大家知道,通过无线路由器自带的DHCP服务器功能,能够为接入该设备的所有客户机自动分配IP地址以及其他上网参数,而客户端用户只要在客户端系统中打开无线连接属性对话框,在其中将TCP/IP协议选项设置成自动获取IP地址,就能让客户端系统顺利从无线路由器那里申请获得有效上网参数,并能正常进行上网访问了。这样操作尽管很简单,不过容易给陌生连接提供可趁之机。
其实,我们完全可以依照实际情况,适当缩小无线局域网的地址池范围,禁止为陌生用户保留空闲IP地址,这样陌生用户将会由于无法获得有效上网参数,而被挡在单位无线网络大门之外。比方说,单位办公室中只有两台笔记本电脑上网,那么该网络中只要保留两个有效的IP地址即可。要做到这一点,可以先用特权账号登录进入无线路由器后台系统,在后台管理界面的左侧任务列表区域中,用鼠标逐一单击“DHCP服务器”|“DHCP服务”子项,在对应该子项的右侧显示区域,将“DHCP服务器”位置处的“启用”选项选中,如图2所示。
接着在“地址池开始地址”、“地址池结束地址”等位置处,有针对性地输入单位无线网络实际要用到的IP地址。例如,假设我们现在想将10.176.6.9、10.176.6.10这两个IP地址,自动分配给办公室中的两台笔记本电脑,那么就可以在“地址池开始地址”位置处正确填入“10.176.6.9”,在“地址池结束地址”位置处正确填入“10.176.6.10”,之后按下“保存”按钮将上述设置参数保存起来。如此一来,单位无线网络中的宽带路由器日后只能为接入网络的客户机自动分配10.176.6.9、10.176.6.10这两个IP地址了。
当我们尝试将办公室中的两台笔记本电脑全部启动成功并接入网络后,DHCP服务器地址池中的两个IP地址将全部被占用,其他客户机系统就不能接入无线网络了,陌生用户只有坐在一旁进行漫长等待,才有可能达到蹭网目的。而实际上,如果经常碰到需要长时间等待才能蹭网的现象时,多数陌生用户肯定会知难而退的,毕竟用如此漫长的等待时间去做一些其他事情,或许早已挣足了无线上网的费用了。倘若在家中只有一台客户机需要上网时,完全可以为DHCP服务器地址池仅配置一个上网地址,从而不给陌生用户任何一点机会。
过滤陌生网卡MAC地址
要是对单位无线网络的上网参数不熟悉,或者认为上述设置方法比较复杂时,也可以利用网卡物理地址过滤的方法,来拒绝陌生用户偷偷使用单位无线局域网。现在,多数品牌的无线路由器都支持网卡MAC地址过滤功能,巧妙使用这项功能,可以智能地将陌生用户的客户机阻挡在无线局域网大门之外。
大家知道,MAC地址属于一种硬件地址,它是专门用来定义网络设备位置的,由48比特长,12位的16进制数字组成,0到23位是厂商向IETF等机构申请用来标识厂商的代码,也称为“编制上唯一的标识符”,是识别局域网结点的标志,地址的24到47位由厂商自行分派,是各个厂商制造的所有网卡的一个唯一编号。在OSI模型中,第三层网络层负责IP地址,第二层数据链路层则负责MAC位址。所以,一个网卡设备通常会有一个全球唯一固定的MAC地址,将单位无线局域网中合法客户机的网卡物理地址,手工添加到无线路由器自带的MAC地址过滤表中,那么日后只有客户端系统的MAC地址与MAC地址过滤表中的内容一致,它才会被无线路由器识别为合法客户端系统,从而才有权限接入无线网络进行上网访问,而其他客户端系统在连接无线路由器时,会被识别为非法连接,从而会被自动拦截不能上网访问。
在开启无线路由器自带的MAC地址过滤功能时,首先按照同样的操作,登录进入无线路由器后台系统(如图3所示),在后台管理页面的左侧列表区域,用鼠标逐一展开“安全设置”|“防火墙设置”子项,在对应该子项的右侧显示区域中选中“开启MAC地址过滤”选项,同时在“缺省过滤规则”位置处,将“仅允许已设MAC地址列表中已启用的MAC地址访问Internet”选项选中,单击“保存”按钮执行设置保存操作。
下面返回到无线路由器后台管理主页面,在该页面的左侧列表区域中逐一展开“安全设置”|“MAC地址过滤”分支,在目标分支下面按下“添加新条目”按钮,切换到新条目添加对话框,正确输入合法客户端系统的网卡物理地址,并单击“保存”按钮,将对应的MAC地址加入到无线路由器的MAC地址过滤列表中。同样地,可以将单位局域网中其他合法的客户机网卡物理地址依次添加进来,最后不要忘了保存操作。
经过上述设置操作后,日后只有合法的客户机才能通过无线路由器,正确上网访问内容,而陌生用户在尝试进行无线连接时,无线路由器由于不能正确识别它们的MAC地址,于是会认为它们是非法连接,从而坚决地将他们拒之门外,这样陌生用户一点蹭网的机会都没有了。
分配虚假地址给外人
很多时候,陌生用户之所以屡次蹭网成功,主要得益于无线路由器自带的DHCP服务器功能,因为该功能可以自动为它们配置好上网参数,让其坐享其成。现在,我们可以反其道而行之,为无线路由器自带的DHCP服务器配置虚假的无线上网参数,以此来迷惑陌生用户,让其弄不清无法上网的原因。
众所周知,为了更合理地使用IP地址资源,国际互联网信息中心将IP地址分为A、B、C、D、E五大类,其中A类网络的IP地址最前面的一组数字应该处于0到127之间,B类网络的IP地址最前面的一组数字应该处于128到192之间,C类网络的IP地址最前面的一组数字应该处于192到256之间,而无线路由器默认使用的IP地址往往是192.168.1.1或192.168.0.1,DHCP服务器默认使用的地址池范围相应的是192.168.1.2到192.168.1.254,或者是192.168.0.2到192.168.0.254,这就让很多陌生用户形成了思维定势,要接入宽带路由器肯定会使用这类地址,如果我们偷懒没有修改无线路由器默认设置时,陌生用户尝试利用上述IP地址就能轻松实现蹭网目的。
假设现在我们采用逆向思维,为无线路由器自带的DHCP服务器配置虚假的无线上网参数,以躲避陌生用户的视线,比方说使用10.172.1.0网段的地址,来配置DHCP服务器参数。在配置时,首先在无线路由器后台管理页面逐一展开“DHCP服务器”|“DHCP服务”子项,在对应该子项的右侧显示区域,将“地址池开始地址”输入为“10.172.1.1”,将“地址池结束地址”输入为“10.172.1.200”。
其次修改默认的网关地址,来欺骗陌生用户。通常情况下,局域网的网关地址一般都是一个网段中的第一个IP地址,比方说这里应该为10.172.1.1,现在我们可以将其调整为10.172.1.254,之后执行设置保存操作,这样陌生用户会由此摸不着头脑。
下面选中“DHCP服务器”位置处的“不启用”选项,将无线局域网的自动分配地址功能暂时停用,这样陌生用户就不能坐享其成了。紧接着,合法用户可以在自己的客户端系统中,依次单击“开始”|“设置”|“网络连接”命令,打开系统网络连接列表界面,用鼠标右键单击该界面中的无线上网连接图标,执行右键菜单中的“属性”命令,切换到无线网络连接属性对话框。选择其中的TCP/ IP协议选项,按下“属性”按钮,展开TCP/IP协议属性对话框,在这里手工设置好客户机的合法静态IP地址和网关地址(如图4所示),再单击“确定”按钮保存设置,这样合法客户机就能成功进行上网冲浪了。而陌生用户由于不清楚无线网络的配置参数,他们自然也就被挡在单位无线网络大门之外了。
上面的巧招虽然可以在不加密的情形下,拒绝陌生用户偷偷蹭用本地无线网络,不过有一个前提条件,那就是我们一定要及时调整无线路由器使用的缺省密码,禁止陌生用户企图通过缺省密码登录无线路由器后台管理页面,破坏本地网络的一些安全设置。
1
2
3
4