从30万台路由被攻击说起：想被黑其实也不容易

最近路由器的安全问题又成为了热点，主要源于安全公司Team Cymru的统计报告显示，全球有多达30万台路由器遭受黑客攻击，涉及多个知名品牌。

路由器被黑最大风险就是破财

据介绍，这次被黑的路由器产品涉及到了D-Link、Micronet、腾达、TP-Link等知名品牌的多个型号产品，同时在相关的报告中还指出了受攻击的路由器主要处于东南亚的发展中国家。这次攻击的共同特征是将路由器DNS解析劫持到了5.45.75.11和 5.45.76.36等IP地址，也就是说用户无论访问哪里，都会首先访问上面两个地址所在的服务器，再由他们对数据进行中转。

通过DNS劫持，黑客可以将用户随时重定向到任何地方，比如正在访问某银行的用户，很有可能被虚假的DNS服务器将连接重定向到钓鱼网站，造成财产损失。虚假DNS服务器也可以用来做其他用途，比如将网络请求重定向到指定的服务器，形成大规模DDoS攻击；哪怕是引导这些用户点击广告，也足够让黑客赚翻了。另外，由于通过第三方服务器中转，因此也为数据包抓取、分析等常规的窃密行为也提供了机会。

我们的网络从诞生起就存在一些不完善的地方，比如ARP攻击所采用的漏洞就是贯穿着网络发展始终的，然而对应的攻击是到了一个特定时间之后才越来越频繁，因为此前网络上的数据并没有包含太多价值，攻击很难获得什么实际利益。随着互联网深入生活，我们越来越多的行为“上网”，因此传输在网络上的数据价值在不断提升，同时黑客的攻击行为也越来越受到利益驱使，如何通过互联网非法谋利，自然会格外招惹黑客的注意。

2FDD8EC49392ACDDC11F39362D75B0EA.jpg (39.59 KB, 下载次数: 11)

下载附件  保存到相册

2014-3-10 13:41 上传

路由被黑从“点击不明网页”开始

与传统的黑客行为有所不同，这次黑客的攻击目标并非计算机，而是路由器（包括无线路由器）。在长期的黑客攻防战中，我们的计算机已经几乎是一台武装到牙齿的设备，想要发动有效攻击是极其困难的。相反，作为网络出口的路由器设备不但要处理大量数据，而且几乎没什么有效的安全防护手段，不难看出这样的设备将会成为未来黑客研究的重点。根据图示，在具体的攻击行为方面，首先黑客要引诱用户通过浏览器访问特定的页面，下载恶意代码到本地，恶意代码会获取root权限并且自动修改DNS地址，这样攻击就在神不知鬼不觉的情况下完成了。

604658B019CFDBE8E1A9307DA06649CE.jpg (47.15 KB, 下载次数: 3)

下载附件  保存到相册

2014-3-10 13:41 上传

这次黑客攻击中出现了两个特点，首先是黑客攻击行为并没有依赖于密码破解。在传统的各种攻击行为中，密码是一个重要屏障，大部分成功入侵的案例都因为用户没有设置密码、采用默认密码或者设置弱密码。而这次攻击中，黑客的攻击行为直接绕过了密码取得root权限并修改DNS服务器，这种现象是很少见的。

其次，报告中被点名了的有大量的知名品牌，比如D-Link、Micronet、腾达、TP-Link等等，这些产品在国内市场非常常见，市场占有率非常高。虽然报告中没有指出在中国国内有类似的路由器被黑的现象，但用户难免推己及人，从路由器被黑事件引发关于“我的路由器安全吗”这样的思考。

从整个攻击行为来看，黑客虽然绕过了密码，但并不代表攻击行为100%成功，甚至可以说这种攻击路由器的行为失败率是非常非常高的。黑客能够实现攻击的第一个前提就是能够引诱用户点击连接访问指定的网址，而对于中国很多用户而言，“不防问来源不明的网址”已经成为上网习惯，并且在PC端有大量的安全工具和管理工具对点击行为进行拦截或者提醒，甚至许多浏览器和聊天工具也整合了相关的功能。

同样，即使点击了，也不代表路由器被黑是听天由命的事情。黑客是通过远端WEB管理界面访问路由器获取root权限，在成功引诱用户点击连接之后，攻击是否成功就要看远端WEB管理IP地址选项是否开启，那么接下来的问题就是路由器有没有开启对应的功能以及如何进行设置的。因此在不确定自己的路由器是否会被黑之前不妨先考虑一个问题，你知道什么是“远端WEB管理IP地址”吗？

EFD92D25D139390E8B788238F64F31B0.jpg (29.84 KB, 下载次数: 10)

下载附件  保存到相册

2014-3-10 13:41 上传

另一方面，国内外安全组织也正在对黑客所指定的DNS服务器进行解析，将逐步了解黑客通过该服务器做了哪些进一步攻击的行为，甚至追查黑客攻击的始作俑者。

其实报告中黑客所使用的并不是什么新技术，早在一年多以前，我国的国家信息安全漏洞共享平台（CNVD）就收录了一条编号为CNVD-2013-20783的路由器安全漏洞，这个漏洞由波兰网络安全专家Sajdak发现，最早发现存在于TP-Link的产品中，后来Sajdak又陆续发现其他一些型号的路由器产品中也存在同样的漏洞，因此公布了相关信息，当时除了国家信息安全漏洞共享平台之外，各地的公安部门和网络安全机构也都同步发布了信息，以提醒广大网友注意检查和预防攻击行为。

B430592C9BA7CBB56A17C058A968C8B6.jpg (73.55 KB, 下载次数: 5)

下载附件  保存到相册

2014-3-10 13:41 上传

在漏洞信息发布不久，以TP-Link为首的厂商也积极进行了回应，立即给出了最直接的解决办法，即彻底关闭“远端WEB管理IP地址”，或者将IP地址设置为0.0.0.0。同时，厂商承诺将尽快升级路由器产品的固件封堵漏洞。在中国，这已经都是去年春天的事情了。

总结：路由被黑影响范围其实有限，应保持高安全意识

由于这次攻击要同时满足路由器固件没升级、用户点击指定链接以及用户开启特定选项三个条件，因此本身就是一种成功率非常低的攻击行为。也正是因为如此，在这次路由器被黑的事件中，网民数量称霸全球的中国并未受到什么影响，至少在报告中并没有被提及，可见不论是网络安全部门、企业还是网络设备制造商，遇到安全问题时的响应都是十分迅速的，并且可以看出中国网民的网络安全知识普及程度也明显高于周边国家。

不过对于用户来说，躲过一次攻击并不意味永久的安全，其中暴露的问题还是要引人深思的。比如为什么多个品牌的路由器产品会有相同的漏洞存在，比如为什么有些路由器的相关选项默认是开启状态等等。同时，目前路由器的架构相对老旧、无法承载基于硬件的安全模块等问题也亟待解决，也许黑客发现的下一个漏洞就会造成更大危害，但令我们欣喜的是，路由器和无线路由器的改革正在缓慢推进，一些智能化的产品已经逐步在市场上露面，并且获得了高通这样的上游芯片厂商支持，未来的路由器产品不但能够承载更加繁重的网络任务，并且安全性也会得到大大增强，我们的上网环境也将变得更高速和安全。