從30萬臺路由被攻擊說起：想被黑其實也不容易

最近路由器的安全問題又成為了熱點，主要源于安全公司Team Cymru的統(tǒng)計報告顯示，全球有多達30萬臺路由器遭受黑客攻擊，涉及多個知名品牌。

路由器被黑最大風險就是破財

據(jù)介紹，這次被黑的路由器產(chǎn)品涉及到了D-Link、Micronet、騰達、TP-Link等知名品牌的多個型號產(chǎn)品，同時在相關的報告中還指出了受攻擊的路由器主要處于東南亞的發(fā)展中國家。這次攻擊的共同特征是將路由器DNS解析劫持到了5.45.75.11和 5.45.76.36等IP地址，也就是說用戶無論訪問哪里，都會首先訪問上面兩個地址所在的服務器，再由他們對數(shù)據(jù)進行中轉。

通過DNS劫持，黑客可以將用戶隨時重定向到任何地方，比如正在訪問某銀行的用戶，很有可能被虛假的DNS服務器將連接重定向到釣魚網(wǎng)站，造成財產(chǎn)損失。虛假DNS服務器也可以用來做其他用途，比如將網(wǎng)絡請求重定向到指定的服務器，形成大規(guī)模DDoS攻擊；哪怕是引導這些用戶點擊廣告，也足夠讓黑客賺翻了。另外，由于通過第三方服務器中轉，因此也為數(shù)據(jù)包抓取、分析等常規(guī)的竊密行為也提供了機會。

我們的網(wǎng)絡從誕生起就存在一些不完善的地方，比如ARP攻擊所采用的漏洞就是貫穿著網(wǎng)絡發(fā)展始終的，然而對應的攻擊是到了一個特定時間之后才越來越頻繁，因為此前網(wǎng)絡上的數(shù)據(jù)并沒有包含太多價值，攻擊很難獲得什么實際利益。隨著互聯(lián)網(wǎng)深入生活，我們越來越多的行為“上網(wǎng)”，因此傳輸在網(wǎng)絡上的數(shù)據(jù)價值在不斷提升，同時黑客的攻擊行為也越來越受到利益驅使，如何通過互聯(lián)網(wǎng)非法謀利，自然會格外招惹黑客的注意。

2FDD8EC49392ACDDC11F39362D75B0EA.jpg (39.59 KB, 下載次數(shù): 5)

下載附件  保存到相冊

2014-3-10 13:41 上傳

路由被黑從“點擊不明網(wǎng)頁”開始

與傳統(tǒng)的黑客行為有所不同，這次黑客的攻擊目標并非計算機，而是路由器（包括無線路由器）。在長期的黑客攻防戰(zhàn)中，我們的計算機已經(jīng)幾乎是一臺武裝到牙齒的設備，想要發(fā)動有效攻擊是極其困難的。相反，作為網(wǎng)絡出口的路由器設備不但要處理大量數(shù)據(jù)，而且?guī)缀鯖]什么有效的安全防護手段，不難看出這樣的設備將會成為未來黑客研究的重點。根據(jù)圖示，在具體的攻擊行為方面，首先黑客要引誘用戶通過瀏覽器訪問特定的頁面，下載惡意代碼到本地，惡意代碼會獲取root權限并且自動修改DNS地址，這樣攻擊就在神不知鬼不覺的情況下完成了。

604658B019CFDBE8E1A9307DA06649CE.jpg (47.15 KB, 下載次數(shù): 1)

下載附件  保存到相冊

2014-3-10 13:41 上傳

這次黑客攻擊中出現(xiàn)了兩個特點，首先是黑客攻擊行為并沒有依賴于密碼破解。在傳統(tǒng)的各種攻擊行為中，密碼是一個重要屏障，大部分成功入侵的案例都因為用戶沒有設置密碼、采用默認密碼或者設置弱密碼。而這次攻擊中，黑客的攻擊行為直接繞過了密碼取得root權限并修改DNS服務器，這種現(xiàn)象是很少見的。

其次，報告中被點名了的有大量的知名品牌，比如D-Link、Micronet、騰達、TP-Link等等，這些產(chǎn)品在國內市場非常常見，市場占有率非常高。雖然報告中沒有指出在中國國內有類似的路由器被黑的現(xiàn)象，但用戶難免推己及人，從路由器被黑事件引發(fā)關于“我的路由器安全嗎”這樣的思考。

從整個攻擊行為來看，黑客雖然繞過了密碼，但并不代表攻擊行為100%成功，甚至可以說這種攻擊路由器的行為失敗率是非常非常高的。黑客能夠實現(xiàn)攻擊的第一個前提就是能夠引誘用戶點擊連接訪問指定的網(wǎng)址，而對于中國很多用戶而言，“不防問來源不明的網(wǎng)址”已經(jīng)成為上網(wǎng)習慣，并且在PC端有大量的安全工具和管理工具對點擊行為進行攔截或者提醒，甚至許多瀏覽器和聊天工具也整合了相關的功能。

同樣，即使點擊了，也不代表路由器被黑是聽天由命的事情。黑客是通過遠端WEB管理界面訪問路由器獲取root權限，在成功引誘用戶點擊連接之后，攻擊是否成功就要看遠端WEB管理IP地址選項是否開啟，那么接下來的問題就是路由器有沒有開啟對應的功能以及如何進行設置的。因此在不確定自己的路由器是否會被黑之前不妨先考慮一個問題，你知道什么是“遠端WEB管理IP地址”嗎？

EFD92D25D139390E8B788238F64F31B0.jpg (29.84 KB, 下載次數(shù): 3)

下載附件  保存到相冊

2014-3-10 13:41 上傳

另一方面，國內外安全組織也正在對黑客所指定的DNS服務器進行解析，將逐步了解黑客通過該服務器做了哪些進一步攻擊的行為，甚至追查黑客攻擊的始作俑者。

其實報告中黑客所使用的并不是什么新技術，早在一年多以前，我國的國家信息安全漏洞共享平臺（CNVD）就收錄了一條編號為CNVD-2013-20783的路由器安全漏洞，這個漏洞由波蘭網(wǎng)絡安全專家Sajdak發(fā)現(xiàn)，最早發(fā)現(xiàn)存在于TP-Link的產(chǎn)品中，后來Sajdak又陸續(xù)發(fā)現(xiàn)其他一些型號的路由器產(chǎn)品中也存在同樣的漏洞，因此公布了相關信息，當時除了國家信息安全漏洞共享平臺之外，各地的公安部門和網(wǎng)絡安全機構也都同步發(fā)布了信息，以提醒廣大網(wǎng)友注意檢查和預防攻擊行為。

B430592C9BA7CBB56A17C058A968C8B6.jpg (73.55 KB, 下載次數(shù): 1)

下載附件  保存到相冊

2014-3-10 13:41 上傳

在漏洞信息發(fā)布不久，以TP-Link為首的廠商也積極進行了回應，立即給出了最直接的解決辦法，即徹底關閉“遠端WEB管理IP地址”，或者將IP地址設置為0.0.0.0。同時，廠商承諾將盡快升級路由器產(chǎn)品的固件封堵漏洞。在中國，這已經(jīng)都是去年春天的事情了。

總結：路由被黑影響范圍其實有限，應保持高安全意識

由于這次攻擊要同時滿足路由器固件沒升級、用戶點擊指定鏈接以及用戶開啟特定選項三個條件，因此本身就是一種成功率非常低的攻擊行為。也正是因為如此，在這次路由器被黑的事件中，網(wǎng)民數(shù)量稱霸全球的中國并未受到什么影響，至少在報告中并沒有被提及，可見不論是網(wǎng)絡安全部門、企業(yè)還是網(wǎng)絡設備制造商，遇到安全問題時的響應都是十分迅速的，并且可以看出中國網(wǎng)民的網(wǎng)絡安全知識普及程度也明顯高于周邊國家。

不過對于用戶來說，躲過一次攻擊并不意味永久的安全，其中暴露的問題還是要引人深思的。比如為什么多個品牌的路由器產(chǎn)品會有相同的漏洞存在，比如為什么有些路由器的相關選項默認是開啟狀態(tài)等等。同時，目前路由器的架構相對老舊、無法承載基于硬件的安全模塊等問題也亟待解決，也許黑客發(fā)現(xiàn)的下一個漏洞就會造成更大危害，但令我們欣喜的是，路由器和無線路由器的改革正在緩慢推進，一些智能化的產(chǎn)品已經(jīng)逐步在市場上露面，并且獲得了高通這樣的上游芯片廠商支持，未來的路由器產(chǎn)品不但能夠承載更加繁重的網(wǎng)絡任務，并且安全性也會得到大大增強，我們的上網(wǎng)環(huán)境也將變得更高速和安全。