求生在脆弱网络时代.docVIP

求生在脆弱网络时代 　　现如今，路由器、数码盒子、NAS以及类似的网络设备正逐步走进易受攻击的家庭网络。但你能想像到这些网络设备被入侵的最坏情况吗？陌生人访问你的私人文件、恶意软件入侵网络并通过摄像头来监视用户一举一动。所有这些操作均不需借助用户的电脑，拿下你的路由器，一切就不由你来控制了。今天我们就带你体验一下这个网络时代的底层架构有多脆弱。 　　我们测试了一些老的路由器，如Linksys E-Series 、Wireless-N以及AP，惊人地发现它们的脆弱远超出我们的想象。这些网络设备其实很容易受到一些恶意软件，如某些蠕虫（/linksysworm）的攻击。此外，我们还发现，华硕路由器的默认设置也令其USB存储设备很容易受到攻击（/routerflaw）。 　　如果Asus路由器的USB存储驱动器受到了攻击， 用户可以去Asus官网（）下载最新软件来解决这一问题。但需要提醒你的是，不要单纯依赖路由器界面来获取此类更新信息， 因为有时它可能无法及时获取到最新版本。 　　说到Linksys路由器， 该公司发言人Karen Sohl曾在电子邮件中写道“已启用远程管理功能的消费者要想修补路由器的安全漏洞，其实也很简单。只要禁用远程管理功能，然后重启路由器，就可以剔除入侵的恶意软件了。”另外，他还表示“Linksy正在研究一种致力于解决产品漏洞的修复程序，并计划在未来几周发布到公司网站上”。 　　无独有偶，除了Asus和Linksys之外，最新报告指出Netgear的ReadyNAS（/netgearflaw）也存在类似问题。 　　攻击者的入侵方式 　　用户的IP地址就类似于现实生活中的街道地址。多数情况下， 这个地址是直接指向用户路由器的。如果有人控制了你的路由器， 那么这个人就可以打开任意链接并更改数据流向。不单单是你，其他连接到这台路由器的人也都可能会因此受到影响，当然这取决于入侵者的具体操作。 　　路由器控制着成千上万端口的数据流。例如，端口80负责处理HTTP流量，也就是我们平常所谓的上网浏览。21端口主要通过FTP（文件传输协议）来发送和接收文件。端口443侧重于HTTPS（加密网络流量，如银行或购物交易）。端口3369负责远程桌面。 　　如果一个端口是打开的（事实上，正常情况下，所有端口都是打开的），路由器并不会区分经由该端口的数据是来自哪个IP设备的。因此，不仅仅是路由器，任何一个与网络连接的设备，哪怕仅仅是一个智能冰箱，都需要密码保护，以防止入侵者通过该端口进入其内置系统。 　　大多数路由器和部分NAS设备（网络附加存储）都有默认的登录ID和密码，如“admin”和“password”。多数情况下，其安装向导会提醒用户来更改这些默认值。但是如果你不幸忽略了这一点，你的网络就很容易受到攻击。请注意，即使你重设了一个安全系数相对较高的密码，在日后的故障诊断过程中，任何一个硬重置都可能在不经意间恢复默认值。 　　你必须时时更新路由器的配置固件并保证其可安全运行所有服务。例如，在旧固件上启用UPnP（大多数制造商建议的一种可简化配置的操作）很容易暴露路由器上所运行的FTP和SMB服务器，这就让网络入侵者有机可乘。借助这个漏洞，入侵者可通过互联网随意访问NAS上的文件。 　　解决方案 　　想要评估你的网络安全性吗？你可以遵循以下步骤。首先，打开What’s My IP Address （）界面。接下来，在界面上方找到你的IP地址，并选择左方的端口扫描选项以检测哪些端口是打开的。如果某些互联网网关不允许本地进行此类测试，你需要记住IP地址，然后到网吧或朋友家去进行该测试。 　　我们收集了（/ports）常用端口列表，但记住，关键端口是那些允许远程访问文件或远程控制网络设备的端口，如FTP、HTTP、RDP等。 　　检查网络是否有密码保护也很简单。打开浏览器，输入路由器的IP地址（一般情况下，就是你本机IP属性中网关的地址，比如）并在其前加上适当前缀，如ftp：//、http：//等。如果你可看到一个密码输入界面，这就说明该网络是受密码保护的。相反，如果直接进入了路由器、NAS或IP相机的主页，这就说明网络不没有设置密保，也就是说任何人都可以通过互联网访问这些资源。那就赶紧给它加把锁吧！ 　　此外，你还需确认你的网络是否开启了路由器、电视盒或NAS的FTP服务，以及其是否允许匿名访问。除非你是想与全世界共享文件，否则应尽量禁用匿名访问。要找到FTP服务，你需要进入路由器的HTML配置页面，一般在你的浏览器中输入或54之类的地址即可。如果还是不行，你也可以检查用户手册，从中找到路由器的默认地址。 　　如果你还不放心，想要追求最大安全。你可以把路由器或调制解调器调节到销孔（pin-hole）模式。该模式下，每一个端口都是默认关闭