家用路由器会遭受攻击吗?
关注者
5,303被浏览
349,01051 个回答
网络安全、黑客 (Hacker)、信息安全 话题的优秀回答者
收录于 编辑推荐知乎圆桌知乎周刊 ·
-------------------------------------
2014/2/28最新更新:
由于央视的受众面之大,微博上的「路由器被劫持」专题已经热门TOP3了!
同时需要注意下:最新的家用路由器攻击已经开始盯上网银了!!
能够通过这个央视与知乎等渠道,让大家意识到我们上网的关键出口安全性,我们觉得非常欣慰,谢谢各位知友的支持!!
-------------------------------------
下面是回答正文:
家用路由器很悲剧的是:已经被黑产同学们盯上了。
路由器如:TP-Link、D-Link、一堆国产的、开源固件打造或改改用的,都存在各类安全问题。
比如老外做了个汇总页面,大家可以去围观下:http://routerpwn.com/,如下图:
这些漏洞的攻击方式大概两类:
我们知道一个攻击要风靡,不仅是在「学院」或「实验室」里进行概念验证,一旦工业化就会流行,今年有个非常重要的趋势:黑产盯上了家庭/公司路由器,通过漏洞技巧去篡改这些路由器的DNS服务器。这意味这:
下面特别八卦八卦TP-Link与D-Link这两款国内最普遍的家用路由器。
1. TP-Link路由器DNS劫持事件
这是近一年都在流行的攻击事件,危害很广。
百度搜索上线了一个非常重要的策略,如果发现有网站被植入恶意篡改用户路由DNS的代码时,就会拦截页面,打出提示!据安全联盟的统计发现过万的网站被黑,植入了路由DNS劫持代码,这个数量非常之大。居然我身边的几位同学都来和我说自己被劫持了!我是安全圈的,我的同学根本不是这个圈子,只是普通的网民!这说明路由DNS劫持攻击已经在风靡。
过去一段时间,我们团队就捕获了至少5个变种。这类攻击的模式一般是:
2. D-Link路由器后门
除了TP-Link被以这样的方式攻击外,D-Link的攻击一般是D-Link后门:只要你的路由器有公网IP,通过互联网可以访问到,黑客就可以直接进入你的路由器,并完全控制。
关于D-Link后门的科普图,大家可以看这:http://weibo.com/1652595727/AfFkAegd3?mod=weibotime,了解个大概,非常有趣。
ZoomEye团队前段时间绘制出了全球存在D-Link后门的受影响路由分布:http://www.zoomeye.org/lab/dlink,如下图:
注:针对家用路由器的攻击还在不断升级,我随时更新该回答。
-------------------------------------
解决方案:
2014/2/28最新更新:
我们团队联合央视做了关于家用路由器安全的专题「路由器暗埋网络安全地雷」:
http://news.cntv.cn/special/cctvjzdc/luyouqi/index.shtml
非常科普,还有模拟实验,由我们知道创宇安全研究团队完成,欢迎强势围观!!由于央视的受众面之大,微博上的「路由器被劫持」专题已经热门TOP3了!
同时需要注意下:最新的家用路由器攻击已经开始盯上网银了!!
能够通过这个央视与知乎等渠道,让大家意识到我们上网的关键出口安全性,我们觉得非常欣慰,谢谢各位知友的支持!!
-------------------------------------
下面是回答正文:
家用路由器很悲剧的是:已经被黑产同学们盯上了。
路由器如:TP-Link、D-Link、一堆国产的、开源固件打造或改改用的,都存在各类安全问题。
比如老外做了个汇总页面,大家可以去围观下:http://routerpwn.com/,如下图:
这些漏洞的攻击方式大概两类:
- 用户上网过程中,访问一个恶意链接,路由器即被黑;
- 路由器公网IP暴露,黑客通过远程就能直接黑掉路由器;
我们知道一个攻击要风靡,不仅是在「学院」或「实验室」里进行概念验证,一旦工业化就会流行,今年有个非常重要的趋势:黑产盯上了家庭/公司路由器,通过漏洞技巧去篡改这些路由器的DNS服务器。这意味这:
- 用这个路由器上网的一批用户都被「劫持」了;
- 上网流量被劫持,意味着上网隐私没了,密码、证书等都可能泄露;
- 返回的页面可能被篡改植入广告、挂马之类的;
下面特别八卦八卦TP-Link与D-Link这两款国内最普遍的家用路由器。
1. TP-Link路由器DNS劫持事件
这是近一年都在流行的攻击事件,危害很广。
百度搜索上线了一个非常重要的策略,如果发现有网站被植入恶意篡改用户路由DNS的代码时,就会拦截页面,打出提示!据安全联盟的统计发现过万的网站被黑,植入了路由DNS劫持代码,这个数量非常之大。居然我身边的几位同学都来和我说自己被劫持了!我是安全圈的,我的同学根本不是这个圈子,只是普通的网民!这说明路由DNS劫持攻击已经在风靡。
过去一段时间,我们团队就捕获了至少5个变种。这类攻击的模式一般是:
虽然这次攻击主要针对TP-Link路由器,不过中招的路由不仅TP-Link!我们捕获的样本还发现其他的。
- 攻击者黑下一批网站;
- 攻击者往这批网站里植入路由DNS劫持代码(各种变形);
- 攻击者传播或坐等目标用户访问这批网站;
- 用户访问这些网站后,浏览器就会执行「路由DNS劫持代码」;
- 用户的家庭/公司路由器如果存在漏洞就会中招;
- 用户上网流量被「假DNS服务器」劫持,并出现奇怪的广告等现象;
2. D-Link路由器后门
除了TP-Link被以这样的方式攻击外,D-Link的攻击一般是D-Link后门:只要你的路由器有公网IP,通过互联网可以访问到,黑客就可以直接进入你的路由器,并完全控制。
关于D-Link后门的科普图,大家可以看这:http://weibo.com/1652595727/AfFkAegd3?mod=weibotime,了解个大概,非常有趣。
ZoomEye团队前段时间绘制出了全球存在D-Link后门的受影响路由分布:http://www.zoomeye.org/lab/dlink,如下图:
注:针对家用路由器的攻击还在不断升级,我随时更新该回答。
-------------------------------------
解决方案:
针对广大用户,最靠谱的解决方案在这:
个人如何防御近一年流行的路由器DNS劫持攻击 - 懒人在思考 - 知乎专栏
然后补充个:路由器该更新换代就换代吧……
针对站长用户,如果你的网站被黑,被植入了「路由DNS劫持代码」,那可以看我们特别给站长准备的在线工具:DNS劫持恶意代码检测,好好检查下吧!
2014/2/24补充:
最近波兰cert发现家庭路由器攻击升级,特此写了两篇文章说明下:
个人如何防御近一年流行的路由器DNS劫持攻击 - 懒人在思考 - 知乎专栏
2014/2/28补充:
我们团队联合央视做了关于路由器安全的专题「路由器暗埋网络安全地雷」:
http://news.cntv.cn/special/cctvjzdc/luyouqi/index.shtml
非常科普,还有模拟实验,由我们知道创宇安全研究团队完成,欢迎强势围观!!
-------------------------------------
本回答随时更新,欢迎关注。
知乎用户
收录于 编辑推荐知乎圆桌 ·
会,而且攻击者也不需要精通路由器的软硬件知识。一个出于好奇心的 scriptkid 下载一段 Javascript 代码放在自己主页上,其他用户访问这个网页后他/她的路由器设置就有可能被篡改(或者无线网络密码被窃取)。不仅仅是路由器,打印机、电子相册、可视电话,所有连接到家庭局域网的可以通过 Web 配置的设备都有可能有类似的问题。
学术界之前对这些嵌入式设备的 Web 安全问题研究不多,直到 2011 年几位研究人员在 Usenix Security 上发表了一篇名为《Toward Secure Embedded Web Interfaces》的论文。攻击方式都是传统 Web 常见的 XSS、CSRF 等手段,然而作者拿来了 Buffalo、D-Link、Linksys、Samsung 等著名厂商的设备,测试后发现里面不少设备都有 Web 安全问题。
论文不难懂,但是比较冗长,对它有兴趣的朋友可以去看作者演讲时用的 slides,基本上把问题说得很清楚了。
论文链接:Toward Secure Embedded Web Interfaces
slides:http://www.usenix.org/events/sec11/tech/slides/gourdin.pdf
学术界之前对这些嵌入式设备的 Web 安全问题研究不多,直到 2011 年几位研究人员在 Usenix Security 上发表了一篇名为《Toward Secure Embedded Web Interfaces》的论文。攻击方式都是传统 Web 常见的 XSS、CSRF 等手段,然而作者拿来了 Buffalo、D-Link、Linksys、Samsung 等著名厂商的设备,测试后发现里面不少设备都有 Web 安全问题。
论文不难懂,但是比较冗长,对它有兴趣的朋友可以去看作者演讲时用的 slides,基本上把问题说得很清楚了。
论文链接:Toward Secure Embedded Web Interfaces
slides:http://www.usenix.org/events/sec11/tech/slides/gourdin.pdf