MAC地址过滤允许您定义设备列表，并且仅允许Wi-Fi网络上的这些设备。不管怎样，这就是理论。实际上，这种保护设置起来很繁琐，很容易被破坏。

这是一个Wi-Fi路由器的功能，将给你一个错误的安全感。仅仅使用WPA2加密就足够了。有些人喜欢使用MAC地址过滤，但这不是一个安全功能。

mac地址过滤的工作原理

相关：不要有错误的安全感：5种不安全的方式来保护你的Wi-Fi

您拥有的每个设备都有一个唯一的媒体访问控制地址（MAC地址），用于在网络上标识它。通常，路由器允许任何设备连接-只要它知道适当的密码短语。通过MAC地址过滤，路由器将首先将设备的MAC地址与已批准的MAC地址列表进行比较，并且仅允许设备在其MAC地址已被特别批准的情况下进入Wi-Fi网络。

您的路由器可能允许您在其web界面中配置允许的MAC地址列表，从而允许您选择哪些设备可以连接到您的网络。

mac地址过滤不提供安全性

到目前为止，这听起来不错。但在许多操作系统中，MAC地址很容易被欺骗，因此任何设备都可以假装拥有其中一个允许的、唯一的MAC地址。

MAC地址也很容易获得。它们通过空中发送，每个数据包进出设备，因为MAC地址用于确保每个数据包到达正确的设备。

相关：攻击者如何破解您的无线网络安全

攻击者只需监视Wi-Fi流量一两秒钟，检查数据包以找到允许设备的MAC地址，将其设备的MAC地址更改为允许的MAC地址，然后连接到该设备所在的位置。您可能会认为这是不可能的，因为设备已经连接，但是“deauth”或“deassoc”攻击会强制断开设备与Wi-Fi网络的连接，从而允许攻击者在其位置重新连接。

我们不是在夸张。具有类似Kali Linux的工具集的攻击者可以使用Wireshark窃听数据包，运行快速命令更改其MAC地址，使用aireplay ng将解除关联的数据包发送到该客户端，然后在其位置进行连接。整个过程可能不到30秒。这只是手动的方法，涉及到手工完成每一步-更不用说自动化工具或shell脚本，可以使这更快。

wpa2加密就足够了

相关：你的Wi-Fi的WPA2加密可以脱***：以下是方法

在这一点上，你可能认为MAC地址过滤不是万无一失的，但提供了一些额外的保护，而不仅仅是使用加密。是的，但不是真的。

基本上，只要您有一个带有WPA2加密的强密码短语，该加密将是最难破解的。如果攻击者能够破解您的WPA2加密，那么他们欺骗MAC地址过滤将是微不足道的。如果攻击者会被MAC地址过滤难住，他们肯定无法在第一时间破解你的加密。

把它想象成在银行金库门上加一把自行车锁。任何银行劫匪只要能通过银行保险库的门就可以轻而易举地撬开自行车锁。你没有增加任何额外的安全措施，但每次银行员工需要进入保险库时，他们都要花时间处理自行车锁。

这既乏味又费时

相关：10个有用的选项，您可以配置在您的路由器的网络界面

花在管理这件事上的时间是你不应该费心的主要原因。当你首先设置MAC地址过滤时，你需要从你家里的每个设备上获取MAC地址，并允许它进入路由器的web界面。这将需要一些时间，如果你有很多Wi-Fi功能的设备，因为大多数人这样做。

每当你得到一个新的设备-或客人过来，需要在他们的设备上使用你的Wi-Fi-你必须进入你的路由器的网络接口，并添加新的MAC地址。这是在通常的设置过程之上的，您必须在每个设备中**Wi-Fi密码。

这只会给你的生活增加额外的工作。这种努力应该会得到更好的安全性的回报，但是你所得到的安全性的微小提升却不值得你花时间去做。

这是网络管理功能

正确使用MAC地址过滤，与其说是安全功能，不如说是网络管理功能。它不会保护您不受试图主动破解您的加密并进入您的网络的外部人员的攻击。但是，它允许您选择允许哪些设备联机。

例如，如果你有孩子，你可以使用MAC地址过滤来禁止他们的笔记本电脑或**artphpone访问Wi-FI网络，如果你需要将他们接地并取消互联网访问。孩子们可以用一些简单的工具绕过父母的控制，但他们不知道这一点。

这就是为什么许多路由器还具有依赖于设备MAC地址的其他功能。例如，它们可能允许您在特定的MAC地址上启用web过滤。或者，您可以阻止具有特定MAC地址的设备在上课时间访问web。这些并不是真正的安全特性，因为它们不是为了阻止知道自己在做什么的攻击者。

如果您真的想使用MAC地址过滤来定义设备及其MAC地址的列表，并管理网络上允许的设备列表，请随意。有些人实际上在某种程度上喜欢这种管理方式。但是MAC地址过滤并不能真正提高Wi-Fi的安全性，所以你不应该觉得有必要使用它。大多数人不应该为MAC地址过滤而烦恼，如果他们这么做了，他们应该知道这并不是一个真正的安全功能。

图片来源：Flickr上的nseika