如何防止用户扫描网络

Question

在完全开放的 Wi-Fi 网络上，不可能阻止 MAC 地址欺骗攻击。不过，探测攻击：攻击者和 MAC 地址被伪造的受害者都会在使用网络时遇到麻烦，因为每台计算机都会为对方发起的连接发送 TCP 重置。因此，MAC 地址被克隆的人开始遇到神秘的“互联网问题”，要么致电技术支持，要么放弃并稍后重试。后者正是攻击者想要的，因为这样他就可以自由使用网络，一旦对方离开。

再次强调，你无法在开放网络上阻止这种攻击，尽管你可以尝试通过让合法用户每半小时左右重新登录一次来限制它，但这对合法用户来说非常不方便，而对攻击者来说却没有太大的不便，攻击者只需等待合法用户再次登录，或者克隆其他人的 MAC 地址即可。所以这是不切实际的。

我有搭建付费Wi-Fi网络，我采用的是双网络设计：

一个 SSID 是一个开放网络，可以仅有的连接到（安全的）网络服务器，用户可以在其中创建新帐户并进行付款。
另一个 SSID 采用 WPA2-Enterprise 保护，用户使用自己选择的用户名和密码登录该网络即可访问互联网。

这需要一台 RADIUS 服务器，设置起来并不太难，而且设计完全可以防止人们嗅探网络。还可以将 RADIUS 服务器配置为一次只允许一台设备使用任何给定的帐户凭据，从而阻止帐户共享。在 WPA2-Enterprise 网络上，所有内容都经过加密，攻击者无法解密其他用户的任何内容，而如果攻击者知道共享密码，他就可以像使用 WPA2-Personal 一样解密。而在开放网络上，只能访问一个 https 网站，该网站也无法被嗅探，MAC 欺骗在该网络上毫无意义。

这种设计的唯一缺点是，对于运行 Windows 7 或更早版本操作系统的旧计算机，它需要提前进行一次性配置，但这只需一分钟即可完成。

Answer 1

在完全开放的 Wi-Fi 网络上，不可能阻止 MAC 地址欺骗攻击。不过，探测攻击：攻击者和 MAC 地址被伪造的受害者都会在使用网络时遇到麻烦，因为每台计算机都会为对方发起的连接发送 TCP 重置。因此，MAC 地址被克隆的人开始遇到神秘的“互联网问题”，要么致电技术支持，要么放弃并稍后重试。后者正是攻击者想要的，因为这样他就可以自由使用网络，一旦对方离开。

再次强调，你无法在开放网络上阻止这种攻击，尽管你可以尝试通过让合法用户每半小时左右重新登录一次来限制它，但这对合法用户来说非常不方便，而对攻击者来说却没有太大的不便，攻击者只需等待合法用户再次登录，或者克隆其他人的 MAC 地址即可。所以这是不切实际的。

我有搭建付费Wi-Fi网络，我采用的是双网络设计：

一个 SSID 是一个开放网络，可以仅有的连接到（安全的）网络服务器，用户可以在其中创建新帐户并进行付款。
另一个 SSID 采用 WPA2-Enterprise 保护，用户使用自己选择的用户名和密码登录该网络即可访问互联网。

这需要一台 RADIUS 服务器，设置起来并不太难，而且设计完全可以防止人们嗅探网络。还可以将 RADIUS 服务器配置为一次只允许一台设备使用任何给定的帐户凭据，从而阻止帐户共享。在 WPA2-Enterprise 网络上，所有内容都经过加密，攻击者无法解密其他用户的任何内容，而如果攻击者知道共享密码，他就可以像使用 WPA2-Personal 一样解密。而在开放网络上，只能访问一个 https 网站，该网站也无法被嗅探，MAC 欺骗在该网络上毫无意义。

这种设计的唯一缺点是，对于运行 Windows 7 或更早版本操作系统的旧计算机，它需要提前进行一次性配置，但这只需一分钟即可完成。

如何防止用户扫描网络

答案1

相关内容