您可以愉快地浏览网络,访问网站,进行一些网上银行业务,甚至可以玩一些游戏。一切都很完美,您的计算机配有防火墙和防病毒软件,甚至还有VPN。
没有黑客会破坏您的一天,对吗?
那么,所有这些取决于路由器的安全性。这是黑客和偷渡式无线劫机者利用路由器的10种方法。
1。默认管理员密码和SSID
Millions of routers ship every year, all with an admin password preconfigured, and printed on the side of the device. It doesn’t take a genius to work out that every single password can’t possibly be unique. As such, it’s possible to use a relatively small number of passwords to gain access to routers from a single manufacturer.
虽然可以轻松更改路由器的默认密码,但这并不是大多数人所要做的。没有自动“强制"重置密码。基本上,您需要登录到路由器的管理控制台才能执行此操作。绝大多数路由器所有者通常不会靠近此控制台……如果您是其中的一员,则很有可能遭到黑客攻击。
检查路由器的文档以进行登录并有机会路由器密码至关重要。我们的路由器密码设置指南应在此处提供帮助。
在您使用它的同时,请了解如何更改路由器的广播名称(SSID)。特别要注意您的ISP提供的路由器。这些通常使用地址或电话号码来创建SSID名称,这可以帮助黑客(“ wardrivers")驾驶以识别您的财产。
您不希望那样。
2。明显的管理界面地址
路由器的另一个问题是,它们的访问方式几乎完全相同。使用默认密码,SSID和容易猜到的IP地址,可以劫持路由器。
例如,路由器管理界面的默认IP地址为192.168.1.1或192.168.0.1。这不是秘密-任何人都可以通过在线搜索或使用网络工具找到此信息。您可能已经意识到,这意味着任何人都可以登录路由器的管理控制台,从而访问您的家庭网络。
再次,更改默认IP地址是您可以在管理屏幕中执行的操作,可通过网络浏览器访问。与密码和SSID一样,这是设置路由器后应首先更改的内容之一。
3。基于云的路由器管理
在过去几年中,路由器制造商提供了一种有点荒谬的新工具:基于云的管理。这是一个基于云的服务层,可提供与路由器的接口。
是的:您仅在支持的路由器连接到互联网时才能访问基于云的管理工具。好主意...不是。然后是网状路由器系统,例如Google Wi-Fi,它们完全基于云,只能从移动应用程序访问。网状路由器在固件更新方面确实具有优势,但是如果它们还提供本地管理员访问权限,则只应查看此类设备。
毕竟,您真的要放弃对您的管理吗?路由器到未知的第三方?您如何看待路由器与路由器之间的信任关系?多年来,如此多的“受信任"服务遭到黑客攻击,以至于接受基于云的路由器管理似乎很疯狂。
4。默认情况下启用UPnP
浏览路由器的管理控制台,您会发现默认情况下已启用通用即插即用(UPnP)。此网络协议在面向Internet的端口上启用,使您容易受到外部攻击,因为它是为局域网(LAN)而不是Internet设计的。结果,它没有安全性。
因此,启用UPnP的风险很大。您的路由器基本上可以吸引基于Internet的恶意软件,并且您不希望对标有“ UPnP"的数据敞开大门。花一些时间在路由器的文档或在线帮助文件中,了解如何禁用UPnP。
虽然您希望默认情况下禁用UPnP,但并非总是如此,尤其是在较旧的路由器型号上
5。 HNAP管理错误
您可能不熟悉HNAP。家庭网络管理协议(HNAP)旨在使ISP能够管理它们发送给客户的路由器。虽然最终用户可以访问它,但它对ISP尤其有用。
不幸的是,它具有很大的缺陷。
使用HNAP,可以在以下位置广播路由器的设备名称和其他信息:纯文本,没有任何形式的加密。仅出于这个原因,您需要禁用HNAP。问题是,通常在指示时它不会关闭。您已经猜到了:HNAP的唯一解决方案是购买新调制解调器,或者至少与您的ISP联系并表达您的不满。希望他们会提供替代产品。
要检查路由器上的HNAP漏洞,请转到以下URL:
http://[YOUR.ROUTER.IP.ADDRESS]/HNAP1
如果您可以得到肯定的答复在路由器上出现问题。
6。 WPS是一场安全噩梦
允许访客在不共享您的Wi-Fi密码的情况下访问您的网络确实非常容易。他们只需要在路由器底座上打印的Wi-Fi保护设置(WPS)代码即可。
这是一个八位PIN码,即使路由器名称和密码为改变了。但是,正如您已经意识到的那样,这也存在安全风险。
首先,代码保持不变(除非您在管理控制台中强行更改),因此您的访问者家可以一次又一次地访问。没有任何设施可以强制访客用户每次访问您的家时都要重新进行身份验证。那不是很好。
Second, and perhaps more worrying, is the PIN itself. While it appears to be an eight-figure PIN, it isn’t. Instead, the first seven figures are split into two groups, one of four, and another of three. These are validated as too sequences, while the eighth number is a checksum, to complete access to the router. But while an eight-digital number has 10 million combinations, this type of PIN has just 11,000. WPS makes it simple to hack a Wi-Fi network .
这是一个可能会被猜到的代码-蛮力攻击肯定会使它轻而易举。您的解决方案是从路由器的网络控制台禁用WPS。
7。固件不稳定
Updates downloaded from your router manufacturer or ISP should increase your device security. It follows that your network will become more secure in turn. But sometimes that doesn’t happen. For instance, following a firmware update, your previous changes to the router configuration (such as your own admin password and SSID, etc.) could be overwritten. Typically, the router is updated, but back to the factory settings, requiring you to reconfigure it. This often happens with updates from your ISP, and is a good reason to use any profile saving facility on offer in the router’s admin screen.
可能会发生其他问题。
如果错误地应用了数据或将更新映像部署到不兼容的设备,则可能会导致固件安装不稳定。无论如何,路由器上的固件不稳定或重置都会为黑客打开方便之门。
您可以为此做很多工作。当涉及到ISP时,他们将发布固件而不会发出警告。有些制造商会让您知道,但并非全部。在这里将DD-WRT固件刷新到路由器是一个可能的答案,但是它并不与所有设备兼容。
真正的答案是定期登录到管理控制台并检查您的状态。路由器。
8。 USB端口
越来越多的路由器带有用户可访问的USB端口。此功能越来越受欢迎,并且很容易理解原因。使用USB端口,可以将USB闪存驱动器和硬盘驱动器连接到路由器。这实际上将您的路由器转换为NAS盒,即数据的中央存储库。结果,可以从家庭网络中的任何位置访问驱动器上的数据。
在许多方面,这非常方便。但是,如果路由器已经不安全,入侵者可能会访问USB驱动器上的数据。更糟糕的是,入侵者可能会对USB端口进行物理攻击。
此图:有人冒充商人,甚至是您认识的人,将紧凑的USB驱动器滑入您的背面路由器。保存到驱动器中的是旨在劫持路由器的恶意软件。
您的路由器现在是僵尸网络的一部分。
防止这种情况发生:禁用USB端口。如果您以前喜欢像NAS盒那样使用路由器,那么也许该买一个了。如果有问题,可以将Raspberry Pi用作NAS。
9。莫名其妙地打开端口
除了前面提到的端口以外,发现路由器还打开了其他端口并不少见。其中一些是必需的,例如HTTP。大多数其他人不是。例如,除非您在家中运行某些专业设备或项目,否则可能不需要打开POP3(110)或VNC(5900)端口。
检查路由器是否有某些端口打开您认为应该关闭的位置,则需要使用端口检查工具。几个可以在线获得;我们在yougetsignal.com上使用了该工具。
Use these results to configure your router. If you’re not using a particular service or protocol, then there is no need for the corresponding port to be open.
10。当心不幸的曲奇
听起来好像是您从中餐馆买到的东西,但是不幸的曲奇却远不能食用。确实,这很可能会引起您的消化不良。
在大约1200万路由器中发现了一个特定于软件的漏洞,Misfortune Cookie之所以如此命名,是因为受影响设备的HTTP Cookie管理中存在错误。此错误使攻击者可以制作HTTP cookie来利用此漏洞,破坏路由器并更改设备的状态。例如,这可能涉及到僵尸网络。当然,它可以使攻击者远程访问您的路由器…以及网络上的其他设备。
此外,可以劫持路由器以进行中间人攻击,并绕过设备的硬件防火墙。您网络上的任何计算机,平板电脑,电话,娱乐系统或IoT设备都可能受到影响。
您该怎么办?好吧,首先检查您是否受到影响。您将知道自己是否拥有:无法使用常规凭据访问路由器的Web控制台。
要解决此漏洞,请与路由器的制造商联系。该错误应已在更新中修复。如果还没有,那么要么寻找新路由器,要么查看您的设备是否与DD-WRT兼容。
立即修复路由器!
希望您现在已经我们已采取步骤解决路由器的这些问题。必须这样做,以防止黑客访问您的网络,并阻止机器人劫持您的路由器或PC。
由于路由器之间的差异非常大,因此您需要花一些时间来处理您的路由器。设备的文档。上面的所有问题都是可以解决的,只是在基于浏览器的管理屏幕中找到正确屏幕的情况。
您是否遇到过路由器安全问题?以上漏洞是否需要修复?在下面告诉我们,分享您的路由器型号,以鼓励其他读者检查他们自己的路由器。
图片来源:dedMazay / Depositphotos