谁在我的WI-Fi上?

如果你想知道谁在使用你的无线网络， 你不是一个人。到目前为止，大多数人都了解需要通过路由器接入点（AP）提供的Wi-Fi网络。In most cases, this process is about countering determined attackers — unless what you do online is sensitive, you probably don’t have to worry too much about this — but focuses on fending off the opportunistic, low-complexity threat posed by neighbors trying to squat on your network and get free access.

为什么监控你的Wi-Fi很重要

但是，为了保护你的网络，你的Wi-Fi网络安全措施不能仅仅是为入侵者设置障碍。它必须更深入，包括监控网络的内部状态，以确保只有那些被授权访问的人才能真正访问。深入了解网络状态(包括网络上的设备)也有助于诊断。例如，如果你的无线打印机脱机了，你就能看到网络上的设备。

本指南将教你如何实现这种类型的监控，首先通过提供一个关于寻找什么的速成课程，然后通过引导你通过识别这些指标的选项。

如何查看谁在使用你的Wi-Fi

有两种主要的方法来识别连接到您的网络的任何设备，这是由其各自IP地址和MAC地址。您将处理的IP地址不是一个公共(即互联网范围内唯一的)IP地址，而是您的内部网络上的IP地址(也称为局域网)，你的路由器为它上的每个设备分配。

局域网

每个设备都必须有一个在局域网中唯一的地址来与路由器通信，无论你是使用该设备上网还是与局域网中的其他设备通信。在大多数情况下，路由器动态分配LAN IP地址，不同的设备在不同的时间获得不同的IP地址，而不是静态分配(即每次给同一设备相同的地址)。通常，路由器会保留一段地址范围，并将范围内的第一个地址分配给连接它的第一个设备，然后将第二个地址分配给连接它的第二个设备，以此类推。

媒体访问控制

如前所述,MAC地址是路由器用来区分连接设备的另一个主要指示符，通常与ip一起使用。MAC与苹果产品无关，而是指设备的媒体访问控制地址。这是一个内置在无线网卡中的硬件序列号(或者，更严格地说，网络接口控制器或NIC）每个设备。因此，它几乎永远不会改变。

主机名

根据您的路由器，您也可以获取有关设备的主机名或其他一些识别信息的信息。主机名是计算机对自己的称呼。这可能是用户故意选择的，也可能是由设备操作系统自动设置的。

设备制造及型号

路由器有时区分设备的另一种方法是猜测并显示设备的制造和(在某些情况下)模型。它是如何决定的呢?制造商通常为他们的公司保留MAC地址的前三段(六段)，甚至为他们生产的特定型号的网卡，这样他们的网卡在公司内部和公共场合都可以很容易地识别。这个三个单元的指示符被称为OUI，当检测到MAC时，一些路由器会查找一个已知OUI块的表，并将相应的条目分配给设备的描述。

如何扫描使用Wi-Fi的设备

您可以扫描连接到网络的设备有几种方式。第一个方法（以及本指南将在阻止可疑设备方面采用本指南）是通过咨询路由器的基于Web的基于Web图形用户界面。几乎所有的消费者路由器都有一个基于web的用户界面，你可以通过在浏览器中输入自己的局域网IP地址来访问(在局域网中)——这通常可以在路由器的用户手册中找到，如果没有的话，可以在在线支持论坛中找到。

有些路由器固件可以让你看到登录到网络上的MAC地址的历史列表，但几乎所有的固件都会给你一种检查MAC地址的方法目前连接的设备。如果您的路由器具有安全性/封锁功能，则实际上保证您的路由器具有其中一个或另一个选项，否则，否则很难知道要进入哪些MAC。

历史日志

用于创建连接设备库存的第二大道是路由器的历史日志。并非所有路由器都使管理员访问完整日志，但如果可以打开一些日志子集，则可能有可能查看已连接的Mac的历史记录。

这些绝不是创建网络上设备基本目录的唯一方法，但它们是在本教程的范围内的直接和符合的方法。

阻止流氓设备

如果您的网络设备的Tally揭示了一个流氓设备，则下一步将阻止它。这样做的最佳手段是通过建立安全或阻碍列表政策，通常称为白名单或黑名单（尽管这些术语用于SafeList和Blocklist的时尚）。

过滤清单

那么你应该采用哪种策略让人们远离你的无线网络？如果你的话，封锁表是好的网络地形（通常连接到它的设备）按照相当规则的方式更改，或者如果您使用的是您不确定的MAC地址的设备。检测到未经授权的用户后，您只需将其MAC地址输入到BoltBlist策略中，并且将匹配MAC地址（仅应该是一个）的所有设备都将被拒绝连接。

Safelisting

然而，安全列表是一个更安全的策略，因为它阻止所有设备不匹配给定的授权MAC地址列表。如果您的流氓用户有些复杂，这也很好，并且使用MAC欺骗。MAC欺骗是一种基于软件的技术，允许人们向他们选择的假MAC地址发送，而不是内置于其设备的NIC中的假MAC地址。

而MAC欺骗可以很容易地绕过屏蔽列表，因为攻击者只需要数十亿不在列表上的MAC地址中的任何一个，要绕过安全列表，攻击者必须猜测你的少数设备之一有明确授权，这是非常不可能的，除非他们已经竭尽全力监视您(这远远超出了本指南的范围)。

为了做到这一点，您必须输入您和其他网络授权用户希望在网络上使用的所有设备的MAC地址。你不必在第一次尝试时就把这个弄对，所以只要至少有一个你可以控制的设备在安全列表中，你就可以重新登录到路由器的UI，并从安全列表中添加(或删除)mac。

如何让人们远离你的Wi-FI

来自不同制造商的路由器，甚至来自同一制造商的不同代或不同产品线的路由器，其UI可能有很大差异，因此不存在适用于所有事情的单一方向集。为了展示如何实现安全列表策略的基本概念，下面是一个使用安装了最新固件版本的普通Netgear消费者路由器(N系列)的示例。

由于此模型只允许安全列表，而且这是防止入侵者进入您的网络的推荐策略，下面的步骤将演示该方法。

1. 确定授权设备的MAC地址已经连接了。它最好从这些开始，然后添加更多要能够在稍后连接的设备，而不是等待目录到您要连接的每个设备。关闭一些合法的用户，现在所有的非法用户都比让每一个合法和非法的用户在追捕每一个设备时都会继续访问您的网络。

2. 导航到路由器web GUI的安全列表策略页面。这可能被称为其他东西，而不是“安全列表”，如“访问列表”，所以检查任何页面的同义词标题，如果您有困难找到它。

   

3. 选择以下选项编辑安全主义政策表，但还不打开它。

   

4. 在每一行中，添加一个您想要授权的MAC地址，以及任何其他相关或有用的信息，如设备名称或描述。对每一个你想授权的MAC重复这一步骤。

   

5. 当你完成添加所有你想包含的设备时，激活安全列表策略。

   请记住，您可以返回并编辑此策略，以便在网络上的用户发生变化时添加或删除设备。