|
不知你是否擔(dān)心過你家路由器的安全呢��?
由于家庭路由器的安全問題一直都沒有得到人們應(yīng)有的關(guān)注��,因此在這篇文章中���,我打算用我自己的路由器來進(jìn)行實(shí)驗(yàn),以此來告訴大家目前的情況到底有多么危急���。
在某些情況下,人們可能會(huì)讓路由器24小時(shí)不間斷地運(yùn)行���。在日常的使用過程中�,用戶通常關(guān)注的只是路由器的網(wǎng)速和穩(wěn)定性��,而路由器的安全問題對普通用戶來說只是一個(gè)“WiFi密碼”的問題而已���。
用戶根本不會(huì)意識(shí)到某些路由器的管理員控制面板中有可能存在安全漏洞�,而攻擊者就可以利用這些漏洞來對路由器實(shí)施攻擊�。更加麻煩的是��,這些路由器中往往不只存在一處漏洞��,而且路由器制造商也沒有及時(shí)去修復(fù)這些漏洞���。
如果各位同學(xué)想要了解去年家用路由器所爆出的安全漏洞信息,或者想要獲取一些安全建議的話����,可以訪問網(wǎng)站http:///以獲取你所需的信息。
參考資源
近幾年���,西班牙曾爆出過大量關(guān)于新型路由器漏洞的新聞�����,而這些信息也足以表明目前路由器安全形勢的緊迫性��。如果各位同學(xué)對此感興趣的話�,可以參閱以下鏈接: 1.http://www./2015/02/250k-routers-de-telefonica-mismas-claves-ssh.html 2.http://www./2015/03/20/700-000-routers-adsl-isp-vulnerables 3.http://www./2015/01/06/los-routers-de-movistar-adb-pirelli-p-dga4001n-tienen-un-grave-fallo-de-seguridad/ 4.http://www./seguridad/un-estudio-espanol-descubre-60-vulnerabilidades-en-22-modelos-de-routers
誰都有可能成為受害者
你可以設(shè)想一下��,如果攻擊者可以訪問并修改你路由器的DNS設(shè)置的話��,會(huì)發(fā)生什么事情呢��?我可以告訴你,如果攻擊者可以做到這一點(diǎn)�����,那么他們就可以對你的網(wǎng)絡(luò)流量進(jìn)行監(jiān)控����。
這也就意味著,不僅你的隱私將會(huì)外泄��,而且你的身份信息和個(gè)人憑證也將會(huì)被犯罪分子盜取���。下面這張圖片較為形象地描述了整個(gè)攻擊過程:
在大多數(shù)情況下���,我們所受到的網(wǎng)絡(luò)攻擊都是自動(dòng)化實(shí)現(xiàn)的��。所以�����,如果你的路由器存在安全漏洞的話�,那么你就會(huì)成為潛在的受害者。
你可能會(huì)認(rèn)為自己誰也不是���,攻擊者不會(huì)對你感興趣�。但這種想法明顯是錯(cuò)誤的,因?yàn)楣粽咄ǔ0l(fā)動(dòng)的是大規(guī)模攻擊���,如果你處于攻擊者的攻擊范圍內(nèi)��,那么你的安全就無法得到保證��。
為了復(fù)現(xiàn)攻擊場景��,并且對網(wǎng)絡(luò)攻擊事件進(jìn)行分析��。我打算使用一個(gè)傳感器將所有發(fā)送至我路由器公網(wǎng)IP的數(shù)據(jù)流量進(jìn)行重定向�,并監(jiān)視所有進(jìn)入路由器的TCP��、UDP數(shù)據(jù)包����、以及ICMP數(shù)據(jù)包。
接下來��,我會(huì)將所有發(fā)送至我IP地址的數(shù)據(jù)包當(dāng)作可疑流量來處理�����,并且追蹤所有與我TCP端口有關(guān)的鏈接。請記住�,攻擊者所使用的IP地址其實(shí)并不重要,因?yàn)樗麄兛梢允褂酶鞣N各樣的技術(shù)來隱藏真實(shí)的IP地址�����。 數(shù)據(jù)采集與分析
我們的數(shù)據(jù)收集工作開始于2016年10月6日的下午六點(diǎn)�����,到2016年10月24日的下午六點(diǎn)結(jié)束�。下圖所示的信息就是我所收集到的數(shù)據(jù)分析結(jié)果:
在24小時(shí)之內(nèi),我的家用路由器總共發(fā)生了20,070次網(wǎng)絡(luò)事件���。根據(jù)我的分析�����,我的路由器總共遭受了4678次網(wǎng)絡(luò)攻擊�。從我所收集到的數(shù)據(jù)來看���,總共有來自92個(gè)不同國家的IP地址向我的路由器發(fā)送過攻擊流量,這些惡意流量通過349個(gè)不同的端口發(fā)送到了我的家用路由器中。
其中�,有超過一半的攻擊來自于亞洲地區(qū)。在攻擊所用的端口方面���,我們發(fā)現(xiàn)SSH��、Telnet����、443���、2323�、RDP��、VNC��、以及8080這幾個(gè)端口是攻擊者最常用的幾個(gè)端口���。
我們可以從上圖中看到���,來自越南地區(qū)的攻擊活動(dòng)是最為頻繁的。而之所以會(huì)出現(xiàn)這樣的情況��,主要是由于Mirai僵尸網(wǎng)絡(luò)的存在。關(guān)于Mirai僵尸網(wǎng)絡(luò)的內(nèi)容��,感興趣的同學(xué)可以點(diǎn)擊這里獲取�����。
 
上圖顯示的是目前受Mirai僵尸網(wǎng)絡(luò)影響最為嚴(yán)重的前十個(gè)國家�����。其中越南排在第一��,緊接著的是巴西�、土耳其和中國臺(tái)灣。在經(jīng)過了24小時(shí)的數(shù)據(jù)收集和流量分析之后���,我們得到了下面這張分析圖表(攻擊來源��、ASN��、IP地址以及端口信息):
表格中的數(shù)字表示的是由該國“肉雞”所發(fā)動(dòng)的攻擊次數(shù)(包括IP地址和端口號(hào)):
我們可以看到��,大多數(shù)的攻擊來源于歐洲地區(qū)和亞洲地區(qū)��。除此之外�,我們也檢測到了一小部分來自西班牙的攻擊源�����。
當(dāng)我在分析那些向我家路由器發(fā)動(dòng)攻擊的IP地址時(shí)���,我發(fā)現(xiàn)這些攻擊針對的都是監(jiān)控?cái)z像頭和路由器設(shè)備的Web管理面板:
有的攻擊活動(dòng)在訪問這些物聯(lián)網(wǎng)設(shè)備的時(shí)候根本就不需要任何的憑證���,而有的可以直接使用默認(rèn)憑證來訪問設(shè)備。根據(jù)發(fā)現(xiàn)�,他們(可能是某些黑客組織)成功地訪問了我的路由器,并且成功連接到了我所設(shè)置的“誘餌端口”����。
在此之后,他們還在我的設(shè)備中下載并感染了惡意軟件樣本�����,并嘗試通過這樣的方法將我的設(shè)備加入他們的僵尸網(wǎng)絡(luò)中�。需要注意的是,他們已經(jīng)成功地使用了我的網(wǎng)關(guān)來進(jìn)行攻擊�。
經(jīng)過分析之后,我發(fā)現(xiàn)他們不僅會(huì)在目標(biāo)設(shè)備中下載Mirai�����,而且還會(huì)使用Wget下載大量其他的惡意內(nèi)容。具體如下圖所示:
總結(jié)
經(jīng)過上面這段分析之后�,你肯定也想知道你家的路由器到底有沒有被攻擊過?
這個(gè)問題你不用擔(dān)心�����,因?yàn)槟慵衣酚善鞅还羰沁t早的事���。希望你在看完這篇文章之后���,能夠更加關(guān)注路由器的安全問題。
首先���,我們要盡可能地關(guān)閉所有無需使用的端口��。
其次���,在設(shè)置登錄憑證和其他安全保護(hù)信息的時(shí)候一定要保證密碼的強(qiáng)度。也許你已經(jīng)被攻擊了��,只是你自己不知道而已�。
如果你不重視路由器的安全問題�,那么下一個(gè)出現(xiàn)在僵尸網(wǎng)絡(luò)列表中的很可能就是你家的IP地址����。
長按 識(shí)別 關(guān)注安司密信 了解更多信息安全最新資訊
|
