计算机网络中的 MAC 过滤
有两种网络适配器。有线适配器允许我们通过计算机中的以太网建立与调制解调器或路由器的连接,而无线适配器可识别并连接到远程热点。每个适配器都有一个独特的标签,称为 MAC 地址,用于识别和验证计算机。 Mac 地址以 00:00:00:00:00:00 或 00-00-00-00-00-00 的格式显示。
关于和工作——
MAC 过滤是一种基于访问控制的安全方法。在这种情况下,每个地址都分配了一个 48 位地址,用于确定我们是否可以访问网络。它有助于列出您在 Wi-Fi 上需要的一组允许设备以及在 Wi-Fi 上不想要的被拒绝设备列表。它有助于防止对网络的不必要访问。在某种程度上,我们可以根据 MAC 地址拒绝或允许列出某些计算机。我们可以将过滤器配置为仅允许连接到白名单中包含的那些设备。白名单比拒绝名单提供更高的安全性,因为路由器仅授予对选定设备的访问权限。
它用于具有多个接入点的企业无线网络,以防止客户端相互通信。可以将接入点配置为只允许客户端与默认网关通信,而不允许其他无线客户端通信。它提高了访问网络的效率
路由器允许在其 Web 界面中配置允许的 MAC 地址列表,允许您选择哪些设备可以连接到您的网络。路由器具有许多旨在提高网络安全性的功能,但并非所有功能都有用。媒体访问控制看似有利,但也存在某些缺陷。
在无线网络上,具有正确凭据(如 SSID 和密码)的设备可以通过路由器进行身份验证并加入网络,该网络获得 IP 地址并访问互联网和任何共享资源。
MAC 地址过滤增加了额外的安全层,可根据商定地址列表检查设备的 MAC 地址。如果客户端的地址与路由器列表中的一个匹配,则授予访问权限,否则它不会加入网络。
Mac 过滤步骤 –
- 设置允许的设备列表。只有列表中的 MAC 地址才会由 DHCP 提供服务。
- 设置拒绝设备列表。拒绝列表中的 MAC 地址不会被 DHCP 授予服务器。
- 如果 MAC 地址在允许列表和拒绝列表中,则该服务将被拒绝。
要启用允许、拒绝或同时使用这两种设备的列表,请按照以下步骤操作。
- 转到 DHCP 控制台,右键单击 IPv4 节点并单击属性。
- 使用过滤器选项卡上的当前过滤器配置详细信息,并通过选择启用允许列表来使用允许列表,并通过选择启用拒绝列表来使用拒绝列表。
- 单击确定并保存更改。
更新 Mac 过滤 –
请注意,如果在无线路由器上启用了 MAC 过滤并且未输入 MAC 地址,则连接到路由器的无线设备将无法连接
如果出于故障排除目的已禁用 MAC 过滤,我们不需要启用 MAC 过滤。路由器制造商在这方面的知识更丰富。
该怎么办 -
- 转到您的路由器设置。
在路由器的设置中找到选项卡或设置“MAC 过滤”。这可以在路由器的“无线”或“无线安全”选项中找到。在某些路由器中,MAC 过滤也可以称为“MAC 地址控制”、“地址保留”或“无线 MAC 身份验证”。 - 需要将 Nintendo 系统的 MAC 地址添加到允许的设备列表中,如果 MAC 过滤已打开或启用,则保存或应用此更改。如果您不想为您的网络启用 MAC 过滤,请将其关闭或禁用。
注 –您可以通过无线 > 无线 MAC 过滤器页面在 Linksys Wireless-N 路由器上启用 MAC 过滤器。我们可以通过 ADVANCED > Security > Access Control 在 NETGEAR 路由器上执行此操作,并通过 ADVANCED > NETWORK FILTER.S 在 D-Link 路由器上执行此操作
缺点 -
- 这既费时又乏味,特别是如果您有很多启用 Wi-Fi 的设备,因为您需要获取 MAC 来为每个设备寻址。每当我们想要购买新的计算机或移动设备或想要授予新设备的权限时,都应该修改允许的设备列表。
- 应为 PC 添加两个 MAC 地址,一个是有线适配器,一个是无线适配器。
- 它不能防止知道自己在做什么的黑客。但是你可以用它来让孩子们拒绝访问,因为他们没有足够的知识。
- 它可以降低网络的安全性,因为现在黑客根本不必破解您的 WPA2 加密密码。
安全 -
通过使用 Wireshark 和 Kali Linux 之类的工具集检查数据包,黑客可以访问网络,因为他们可以获得允许的设备的 MAC 地址,然后他们可以将设备的 MAC 地址更改为允许的 MAC 地址并冒充该设备进行连接。他们可以使用“deauth”或“deassoc”攻击来强制断开设备与 Wi-Fi 网络的连接,或者使用 aireplay-ng 向客户端发送解除关联数据包,然后在设备的位置进行连接。然而,无线客户端的 MAC 地址并不能真正改变,因为它们是在硬件中编码的。但一些批评者发现 MAC 地址可以伪造。攻击者需要做的就是知道其中一个有效地址。他们不必破坏加密来访问您的网络或破解您的 WPA2 加密密码。他们只需要假装自己是一台受信任的计算机。
MAC 过滤将阻止普通黑客获得网络访问权限。大多数计算机用户不知道如何欺骗他们的 MAC 地址,更不用说找到路由器的批准地址列表了。与域过滤器不同,它们不会阻止流量流经网络。
一个普遍的疑问是,如果黑客无法连接到网络,他们如何获得我们的 MAC 地址。 Wi-Fi 的一个弱点是即使有 WPA2 加密网络,这些数据包上的 MAC 地址也没有加密。这意味着任何安装了网络嗅探软件且网络范围内的无线网卡的任何人都可以轻松获取与路由器通信的所有 MAC 地址。
该问题的其他解决方案——
- 控制想要连接到您网络的外部人员的更好解决方案是使用访客 Wi-Fi 网络。这将允许他们让其他人连接到您的网络,但不允许他们看到您家庭网络上的任何内容。您可以购买便宜的路由器,然后使用单独的密码和单独的 IP 地址范围将其连接到您的网络。
- WPA2 加密就足够了,因为它很难破解。但关键是要有一个强而长的密码。如果有人破解了您的 WPA2 加密,他们不必努力欺骗 MAC 过滤。如果攻击者对 MAC 地址过滤感到困惑,他们将无法破解您的加密。