MAC 過濾在 2 線 2701HG-T 數據機上不起作用

如果我面前沒有實際的 2701（而且我很難找到模擬器），我無法說太多配置中可能存在的問題。我推測您可能在 MAC 過濾器設定方面勾選了錯誤的內容。通常，SOHO路由器在白名單模式下進行MAC過濾或者黑名單模式 - 將兩者結合確實沒有意義。確保您已針對您希望路由器的行為方式設定了正確的模式。設定白名單選項，但僅填入黑名單（反之亦然），將不會產生任何效果。 （嗯，它實際上應該阻止所有設備連接，而反過來則允許所有設備連接。關鍵是，沒有安全優勢。）

黑名單：允許所有設備，除了那些在「禁止」清單中指定的內容。 （更容易管理，但更難阻止攻擊者。）

白名單：允許僅有的“允許”清單中指定的設備。 （兩者之間更可取，因為它默認阻止未經授權的設備，但更難管理，特別是如果您通常允許訪問者訪問您的網路。）

無論哪種情況，您都應該不是依靠 MAC 過濾作為主要防禦！

這兩種 MAC 過濾模式都很容易繞過，因為 MAC 位址不是永久標識符，而且它們總是以明文形式透過空中傳輸。因此，任何人都可以將其 MAC 位址變更為他們想要的任何內容，並查看範圍內任何裝置的 MAC 位址。

然後，攻擊者只需將其地址更改為您尚未列入黑名單的地址即可輕鬆繞過黑名單。

白名單只是稍微困難一些，但仍然相當簡單。攻擊者只需等待查看正在與您的存取點通訊的裝置的 MAC 位址，然後變更其 MAC 以進行比對。

MAC 過濾能否防止某些偷渡式攻擊？當然。但如果你面對的是一個專注的攻擊者（看起來你就是這樣），這並不能真正阻止他們。

儘管您沒有提到，「SSID 隱藏」或「停用信標」或「停用 SSID 廣播」是另一種薄弱的安全措施，不僅不值得，而且應該避免。它所做的只是阻止您的 AP 在空閒時自行廣播。然而，每當主動通訊時，SSID 仍然以明文形式發送，因此攻擊者仍然能夠捕獲並使用它。更糟的是，由於您的 AP 沒有廣播其存在，因此您的用戶端設備必須配置為尋找 AP，即使它們可能不在 AP 附近。然後，攻擊者可以使用您的用戶端裝置產生的信標來設定自己的假 AP 並欺騙您的用戶端進行連線。

你什麼應該相反，我們依賴的是強大的加密和身份驗證協議，例如當前的 WPA2-PSK（使用 AES-CCMP）。最重要的是，您應該確保您的預共享金鑰（PSK，或簡稱為您的 Wi-Fi 網路密碼）相當長且複雜，以便不易被猜測或破解。只要您有一個相當強大的PSK（我建議至少15 個字符，具有3 種不同的字符類型- 但WPA2 支持最多63 個字符，而且我個人確實使用所有字符完全隨機化）您的Wi-Fi 加密/身份驗證在可預見的將來應該不會輕易破裂。哦，甚至不用擔心 WEP（嚴重損壞）或 WPA-TKIP（也損壞，但仍然比 WEP 更好）。如果您出於某種原因確實無法使用 WPA2，那麼在您購買新路由器之前，WPA-AES 是一個不錯的後備方案。

然而，有一個重要的警告：WPS。 Wi-Fi 保護設定是一種可愛、方便的一鍵連線模式，目前大多數存取點都提供此模式。 WPS 的問題在於 PIN 驗證模式存在弱點，在目前使用的許多（如果不是大多數）SOHO 路由器上，這種模式允許攻擊者輕鬆破解 PIN，然後透過 WPS 進行身份驗證。一旦 WPS 授予某人存取權限，它就會向他們提供您的 PSK，以便他們的裝置可以正常連接到網路。改變你的 PSK 並不能緩解這個問題！攻擊者只需再次破解 WPS（不需要很長時間）並獲得新的 PSK。緩解這種情況的唯一方法（完全在您的控制範圍內）是完全停用 WPS。 （一些較新的路由器添加了抑制此類攻擊的功能，但這並不是最終用戶可以輕鬆確定地驗證的功能，除非他們準備好自己測試漏洞。）不幸的是，許多路由器製造商（尤其是舊型號的路由器）已經製作了這很難或不可能做到。如果您的路由器發生這種情況，我強烈建議您購買新路由器或考慮使用第三方映像（例如 Tomato、DD-WRT 或 OpenWRT）刷新韌體。

總之：

• 停止依賴 MAC 過濾。這是一個很好的安全附加元件，但很容易被繞過。
• 甚至不必隱藏您的 SSID。任何人仍然可以看到它，並且當它不廣播時，您的客戶最終會變得不那麼安全。
• 將 WPA2-PSK 與強 PSK 結合使用。 這應該是您抵禦 Wi-Fi 頻寬和資料竊賊的主要防禦措施。
• 禁用 WPS。無論您的身份驗證和加密有多出色，這都是一個易於利用的後門。
• 如果需要，請取得新設備或韌體。如果您目前的路由器不支援 WPA2-PSK，和/或不允許您停用 WPS，則需要升級。如果所述路由器是由您的 ISP 提供的，您可以隨時購買自己的路由器並將其放置在 ISP 路由器後面的網路上。然後，請確保您的路由器的 Wi-Fi 已按上述安全配置，並在 ISP 路由器上停用 Wi-Fi。