MAC地址过滤允许您定义设备列表，并仅允许Wi-Fi网络上的这些设备。不管怎么说，这就是理论。在实践中，这一保护设置起来非常繁琐，而且容易被攻破。

这是Wi-Fi路由器的功能之一，会给你一种错误的安全感。仅仅使用WPA2加密就足够了。“有些人喜欢使用MAC地址过滤，但它不是安全功能。

MAC地址过滤的工作原理

相关：不要有错误的安全感：保护Wi-Fi安全的5种不安全方法

您拥有的每台设备都有唯一的媒体访问控制地址(MAC地址)，用于在网络上标识它。通常，路由器允许任何设备连接-只要它知道适当的密码。通过MAC地址过滤，路由器将首先将设备的MAC地址与批准的MAC地址列表进行比较，并且仅在设备的MAC地址已明确批准的情况下才允许其进入Wi-Fi网络。

您的路由器可能允许您在其Web接口中配置允许的MAC地址列表，从而允许您选择哪些设备可以连接到您的网络。

MAC地址过滤不提供安全性

到目前为止，这听起来还不错。但是，在许多操作系统中，MAC地址很容易被欺骗，因此任何设备都可以假装拥有这些允许的唯一MAC地址之一。

MAC地址也很容易获得。它们通过空中发送，每个数据包都往返于设备，因为MAC地址用于确保每个数据包到达正确的设备。

相关：攻击者如何破解您的无线网络安全

攻击者所要做的就是监控Wi-Fi流量一两秒，检查数据包以找到允许的设备的MAC地址，将其设备的MAC地址更改为该允许的MAC地址，然后在该设备的位置进行连接。您可能认为这是不可能的，因为设备已经连接，但是强制断开设备与Wi-Fi网络连接的“deauth”或“deassoc”攻击将允许攻击者在其位置重新连接。

我们不是在讨价还价。拥有像Kali Linux这样的工具集的攻击者可以使用Wireshark来窃听数据包，运行快速命令来更改他们的MAC地址，使用aireplay-ng将解除关联的数据包发送到该客户端，然后在其位置进行连接。整个过程很容易在30秒内完成。这只是手动完成每一步的方法--更不用说可以加快速度的自动化工具或shell脚本了。

WPA2加密就足够了

相关：你的Wi-Fi的WPA2加密可以离线破解：方法如下

此时，您可能会认为MAC地址过滤并不是万无一失的，但与仅使用加密相比提供了一些额外的保护。这在某种程度上是真的，但不是真的。

基本上，只要您拥有WPA2加密的强密码，该加密就是最难破解的。如果攻击者可以破解您的WPA2加密，那么他们欺骗MAC地址过滤将是微不足道的。如果攻击者被MAC地址过滤难住了，他们肯定一开始就无法破解您的加密。

可以把它想象成在银行保险库门上加一把自行车锁。任何能通过银行保险库门的银行抢劫犯都会毫不费力地撬开自行车锁。您没有增加真正的额外安全性，但每次银行员工需要打开保险库时，他们都必须花时间处理自行车锁。

这既繁琐又耗时

相关：您可以在路由器的Web界面中配置的10个有用选项

花在管理这件事上的时间是您不应该费心的主要原因。当您首先设置MAC地址过滤时，您需要从您家庭中的每一台设备获取MAC地址，并允许它进入您的路由器的Web接口。如果你有很多支持Wi-Fi的设备，这将需要一些时间，就像大多数人一样。

无论何时你买了一台新设备，或者客人过来需要在他们的设备上使用你的Wi-Fi，你都必须进入你的路由器的网络界面，并添加新的MAC地址。这是在通常的设置过程之上，您必须将Wi-Fi密码插入每台设备。

这只会给你的生活增加额外的工作。这一努力应该会得到更好的安全性的回报，但你在安全性方面得到的微不足道的提升使你的时间不值得。

这是一项网络管理功能

MAC地址过滤如果使用得当，与其说是一项安全功能，不如说是一项网络管理功能。它不会保护您免受试图主动破解您的加密并进入您的网络的外来者的攻击。但是，它将允许您选择允许哪些设备在线。

例如，如果您有孩子，您可以使用MAC地址过滤来禁止他们的笔记本电脑或智能手机访问Wi-Fi网络(如果您需要让他们停飞并取消互联网访问)。孩子们可以用一些简单的工具绕过这些家长控制，但他们不知道这一点。

这就是为什么许多路由器还具有其他依赖于设备MAC地址的功能。例如，它们可能允许您在特定MAC地址上启用Web过滤。或者，您可以阻止具有特定MAC地址的设备在上课时间访问Web。这些并不是真正的安全功能，因为它们不是用来阻止知道自己在做什么的攻击者。

如果您真的想使用MAC地址过滤来定义设备及其MAC地址列表，并管理您的网络上允许的设备列表，请随意使用。在某种程度上，有些人实际上很享受这种管理。但是MAC地址过滤并不能真正提高你的Wi-Fi网络安全性，所以你不应该觉得有必要使用它。大多数人不应该为MAC地址过滤而烦恼，如果他们这样做了，他们应该知道这不是一个真正的安全功能。

图片来源：Flickr上的Nnseika