免费视频|新人指南|投诉删帖|广告合作|地信网APP下载

查看: 1711|回复: 3
收起左侧

[技巧] 从路由器入手改善网络的安全性

[复制链接]

7711

主题

31万

铜板

892

好友

超级版主

地信网论坛贵宾

Rank: 17Rank: 17Rank: 17Rank: 17Rank: 17

积分
128758

宣传勋章优秀斑主灌水勋章活跃勋章贡献勋章童话节勋章

QQ
发表于 2011-1-2 17:07 | 显示全部楼层 |阅读模式
从路由器入手改善网络的安全性




      路由器往往有不同的角色。例如,一般情况下,一个以太网端口连接到外部网络,四个端口提供到达局域网有线设备的互联网连接,无线发射装置向无线客户端提供访问。无线接口甚至可能提供多种SSID。
  路由器通常都将其特性的诸多方面分离来,但在今年的黑帽大会上,黑客展示了攻击大量路由器的方法及破解路由器的可能性。要理解这个问题,就得从IP地址说起。
  多数IP地址都位于公网,但是有些IP地址仅保留给内部网络使用。即,任何人都可在其局域网上使用且仅能用于内部的IP地址。这些特定的IP地址是不允许用在公网上的。
  最常用的内部IP地址以192.168或10开头。例如,一台连接到路由器内部端口的计算机会将路由器的IP地址看成是192.168.0.1。如今,局域网上的大量路由器都可以使用这个IP地址,因为它可以保证这个地址不会通过路由器传到互联网上。路由器都有一个默认的内部IP地址,路由器的管理员可以将这个地址改为仅能用于内部的任何IP地址。
  在将路由器用于互联网上的通信时,它还使用另外一个不同的IP地址,即公网IP地址。路由器的管理员无法控制公网IP地址,它是由把路由器连接到互联网的ISP提供的。
  局域网上的所有计算机看似都拥有同一个IP地址。可以认为路由器是所有局域网计算机的“公共发言人”。
  这样就出现了安全问题,即路由器无法将公网和私有的特性完全地分离开并保持其独特性。
  公网IP地址仅能被互联网上的计算机“看见”,而私有IP地址仅能被局域网上的计算机看到,无论是有线网,还是无线网都应当如此。
  如果这道屏障无法得以维持,那么,互联网上的黑手就有可能登录进入路由器,从而导致整个局域网中的全部设备都遭殃。
  为修改路由器的配置,局域网的计算机可以通过IP地址来访问。例如,可以键入“http:// 192.168.0.1”,然后键入用户名和口令来访问路由器的配置界面。
  通常情况下,仅能根据内部IP地址才能访问路由器。这就确保了仅有局域网上的计算机才能更改其配置。
  用户访问的每个网站都知道用户路由器的公网IP地址。当然,用户的ISP也知道。但是,有很多措施可以阻止外部人员登录进入到路由器。
  首先,路由器中有一个防火墙,它通常会阻止未经请求的进入通信。此外,路由器有一个远程管理选项,当然,此选项一般是禁用的。
  现在,我们就可以理解克雷格.黑夫纳在黑帽大会上所公布的问题了。简言之,他所发现的漏洞准许恶意网页通过公网IP地址访问路由器。
  应当对基于局域网的计算机进行限制,使其仅能根据内部地址才能访问路由器。由于远程网站可以轻松地知道你的公网IP地址,这个漏洞准许恶意的黑客登录到你的路由器。
  更糟的是,许多人并没有修改其路由器的默认口令。有不少人甚至并不知道路由器还有口令。恶意的黑客随时准备访问路由器的默认口令,并还可以在一定程度上检测你使用的路由器的类型等信息。
  在对最初的30台路由器的测试中,克雷格.黑夫纳发现有17台路由器易遭受这种攻击。
判断自己是否易受攻击
  测试自己的路由器是否易受攻击并不麻烦。在此,笔者向您介绍两个网站,用户可以通过ipchicken.com 或 checkip.dyndns.com知道自己的IP地址。在打开这两个网站后,就会得到一个IP地址。如2.3.4.5,然后再用浏览器打开它,看看有什么发生。如果你得到提示,要求输入用户名和口令,就说明你的路由器易受攻击。如果你得到出现错误的网页,则表明你不易受到这种攻击。
  在技术层面上,这种攻击是DNS重新绑定问题的新伎俩。它依赖于这样一个事实,即单个网站可以拥有多个IP地址。在你第一次访问一个恶意网站时,你的计算机得到了此恶意网站的两个IP地址。第一个是合法的,而第二个是非法的,它就是你的公网IP地址。此后,通过高速缓存伎俩和恶意生成的错误,恶意网页会欺骗你的计算机访问恶意网站的可选IP地址,实际上就是你的路由器的公网地址。
  黑夫纳通过试验进一步得出结论,他认为要让这种攻击成功,并不需要启用远程管理。只要目标网络中的某个用户访问了被恶意控制的网站,这种攻击即可获得成功。这种攻击的发生不依赖于受害者的操作系统,它是针对路由器的。
  这种攻击还牵涉到JavaScript,这种脚本语言通常仅能与其来源网站进行交互。但是,由于有了DNS重新绑定伎俩,浏览器会认为用户的路由器是恶意网站的一部分。因而,JavaScript也就可以操纵路由器了。
  捍卫路由器的安全
  最简单的防御就是不要使用路由器的默认密码。应当将路由器的密码改为一种难以猜测的序列。
  如果用户的路由器易受攻击,应当上网检查,看看制作商是否有了新的固件可以修复这个问题。
  任何刚买的新路由器都应当测试一下是否易受攻击,特别是在退货期限内时。
  虽然远程管理与此无关,不过,还是建议用户关闭自己路由器上的这个功能。
  如果你使用无线网络,不妨检查一下,看看路由器能否限制对有线连接的管理性访问。这条措施可以防止无线用户登录进入路由器。


该会员没有填写今日想说内容.
头像被屏蔽

0

主题

1849

铜板

1

好友

禁止发言

积分
1405
发表于 2019-4-18 10:10 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

使用道具 举报

0

主题

5148

铜板

1

好友

地信院士

Rank: 15Rank: 15Rank: 15Rank: 15Rank: 15

积分
2100
发表于 2022-7-26 20:26 | 显示全部楼层
感谢分享
回复

使用道具 举报

30

主题

2万

铜板

59

好友

钻石会员

Rank: 26Rank: 26Rank: 26Rank: 26Rank: 26Rank: 26Rank: 26

积分
6283
QQ
发表于 2023-3-28 19:32 | 显示全部楼层
:mg:mg:mg:mg
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

在线客服
快速回复 返回顶部 返回列表