你家路由器“有趣”的24小时 | 路由器真的安全吗?(含视频)

想必大家都知道最近美国东海岸地区的网站遭遇了一次大规模的DDoS攻击,此次的攻击导致大量用户无法正常访问网站的服务。

根据安全研究专家的分析结果,此次DDoS攻击主要是由受病毒感染的物联网设备所驱动的。攻击者首先使用Mirai恶意软件来感染目标设备,随后便使用由这些受感染的物联网设备所组成的大型僵尸网络来对目标发动DDoS攻击。

随着Mirai恶意软件的开源,今后将会有越来越多的物联网设备暴露于安全风险之中,我们真的准备好了吗?

概述

不知你是否担心过你家路由器的安全呢?实际上,当你按下路由器电源按钮的那一刻,危险可能就已经悄悄地来到你身边了。

在这篇文章中,我打算对目前针对路由器的网络攻击进行分析,这些内容也许可以帮助你更加深入地了解目前物联网设备所面临的安全风险到底有多么严重。

由于家庭路由器的安全问题一直都没有得到人们应有的关注,因此在这篇文章中,我打算用我自己的路由器来进行实验,以此来告诉大家目前的情况到底有多么危急。

在某些情况下,人们可能会让路由器24小时不间断地运行。在日常的使用过程中,用户通常关注的只是路由器的网速和稳定性,而路由器的安全问题对普通用户来说只是一个“WiFi密码”的问题而已。

用户根本不会意识到某些路由器的管理员控制面板中有可能存在安全漏洞,而攻击者就可以利用这些漏洞来对路由器实施攻击。

更加麻烦的是,这些路由器中往往不只存在一处漏洞,而且路由器制造商也没有及时去修复这些漏洞。

如果各位同学想要了解去年家用路由器所爆出的安全漏洞信息,或者想要获取一些安全建议的话,可以访问网站http://routersecurity.org/以获取你所需的信息。

参考资源

近几年,西班牙曾爆出过大量关于新型路由器漏洞的新闻,而这些信息也足以表明目前路由器安全形势的紧迫性。如果各位同学对此感兴趣的话,可以参阅以下链接:

1.http://www.hackplayers.com/2015/02/250k-routers-de-telefonica-mismas-claves-ssh.html 2.http://www.muycomputer.com/2015/03/20/700-000-routers-adsl-isp-vulnerables 3.http://www.redeszone.net/2015/01/06/los-routers-de-movistar-adb-pirelli-p-dga4001n-tienen-un-grave-fallo-de-seguridad/ 4.http://www.pcworld.es/seguridad/un-estudio-espanol-descubre-60-vulnerabilidades-en-22-modelos-de-routers

谁都有可能成为受害者

你可以设想一下,如果攻击者可以访问并修改你路由器的DNS设置的话,会发生什么事情呢?我可以告诉你,如果攻击者可以做到这一点,那么他们就可以对你的网络流量进行监控。

这也就意味着,不仅你的隐私将会外泄,而且你的身份信息和个人凭证也将会被犯罪分子盗取。下面这张图片较为形象地描述了整个攻击过程:

在大多数情况下,我们所受到的网络攻击都是自动化实现的。所以,如果你的路由器存在安全漏洞的话,那么你就会成为潜在的受害者。你可能会认为自己谁也不是,攻击者不会对你感兴趣。

但这种想法明显是错误的,因为攻击者通常发动的是大规模攻击,如果你处于攻击者的攻击范围内,那么你的安全就无法得到保证。

为了复现攻击场景,并且对网络攻击事件进行分析。我打算使用一个传感器将所有发送至我路由器公网IP的数据流量进行重定向,并监视所有进入路由器的TCP、UDP数据包、以及ICMP数据包。

接下来,我会将所有发送至我IP地址的数据包当作可疑流量来处理,并且追踪所有与我TCP端口有关的链接。请记住,攻击者所使用的IP地址其实并不重要,因为他们可以使用各种各样的技术来隐藏真实的IP地址。

数据采集与分析

我们的数据收集工作开始于2016年10月6日的下午六点,到2016年10月24日的下午六点结束。下图所示的信息就是我所收集到的数据分析结果:

在24小时之内,我的家用路由器总共发生了20,070次网络事件。根据我的分析,我的路由器总共遭受了4678次网络攻击。

从我所收集到的数据来看,总共有来自92个不同国家的IP地址向我的路由器发送过攻击流量,这些恶意流量通过349个不同的端口发送到了我的家用路由器中。

其中,有超过一半的攻击来自于亚洲地区。在攻击所用的端口方面,我们发现SSH、Telnet、443、2323、RDP、VNC、以及8080这几个端口是攻击者最常用的几个端口。

我们可以从上图中看到,来自越南地区的攻击活动是最为频繁的。而之所以会出现这样的情况,主要是由于Mirai僵尸网络的存在。

上图显示的是目前受Mirai僵尸网络影响最为严重的前十个国家。其中越南排在第一,紧接着的是巴西、土耳其和中国台湾。

在经过了24小时的数据收集和流量分析之后,我们得到了下面这张分析图表(攻击来源、ASN、IP地址以及端口信息):

表格中的数字表示的是由该国“肉鸡”所发动的攻击次数(包括IP地址和端口号):

我们可以看到,大多数的攻击来源于欧洲地区和亚洲地区。除此之外,我们也检测到了一小部分来自西班牙的攻击源。

当我在分析那些向我家路由器发动攻击的IP地址时,我发现这些攻击针对的都是监控摄像头和路由器设备的Web管理面板:

有的攻击活动在访问这些物联网设备的时候根本就不需要任何的凭证,而有的可以直接使用默认凭证来访问设备。

根据我的发现,他们(可能是某些黑客组织)成功地访问了我的路由器,并且成功连接到了我所设置的“诱饵端口”。

在此之后,他们还在我的设备中下载并感染了恶意软件样本,并尝试通过这样的方法将我的设备加入他们的僵尸网络中。需要注意的是,他们已经成功地使用了我的网关来进行攻击。

经过分析之后,我发现他们不仅会在目标设备中下载Mirai,而且还会使用Wget下载大量其他的恶意内容。具体如下图所示:

总结

经过上面这段分析之后,你可能也想知道你家的路由器到底有没有被攻击过吧?这个问题你不用担心,因为你家路由器被攻击是迟早的事。希望你在看完这篇文章之后,能够更加关注路由器的安全问题。

首先,我们要尽可能地关闭所有无需使用的端口。

其次,在设置登录凭证和其他安全保护信息的时候一定要保证密码的强度。也许你已经被攻击了,只是你自己不知道而已。

如果你不重视路由器的安全问题,那么下一个出现在僵尸网络列表中的很可能就是你家的IP地址。

演示视频如下:

视频内容

* 参考来源:securityaffairs,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2016-10-31

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏黑白安全

告诉你怎么样用WIFI逐步渗透至内网

这个是我帮助朋友公司做的一个渗透测试,在这之前,并没有收到任何相关信息,唯一的可用渠道就是WIFI,而对方的要求就是希望我测试一下,整个网络是否安全,是否存在漏...

1314
来自专栏FreeBuf

蓝牙协议曝 8 个严重安全漏洞,可能影响 53 亿有蓝牙功能的设备

如果你在使用具有蓝牙功能的设备,不管是智能手机、笔记本电脑,还是智能电视、智能汽车或者其他 IoT 设备,都要小心了。最近研究人员发现蓝牙协议中有 8 个 0-...

3547
来自专栏FreeBuf

Fredi的无线婴儿监控存在漏洞可被利用为间谍摄像机

近日,SEC Consult的安全研究人员发布报告称,Fredi公司的无线婴儿监控设备存在严重漏洞,该漏洞可被未经身份验证的攻击者所利用,不仅能够监控他人还能藉...

1520
来自专栏黑白安全

美权威机构:微软苹果Linux等操作系统遭受严重安全漏洞威胁

5月10日消息,美国计算机安全应急响应中心(以下简称“CERT”)今日通过公告宣称,Windows、macOS、Linux、FreeBSD、VMware和Xen...

681
来自专栏java一日一条

再也不做“肉鸡”管理员,干好这5项工作

在这个互联网信息大爆炸的时代,企业对IT管理员的要求越来越高,一不小心,各种“密码泄漏事件”、“DDOS攻击事件”就会层出不穷,严重影响企业的发展。如果你不想成...

1543
来自专栏安恒信息

FireEye:IE再曝0day漏洞,国内暂未出现攻击

近日,国外安全公司FireEye宣布发现新型IE 0day漏洞攻击,该漏洞影响Windows XP和Windows 7系统上的英文版本IE浏览器。不过FireE...

2886
来自专栏FreeBuf

安全科普:什么是中间人攻击(MITM)

你拿着刚买的咖啡,连上了咖啡店的WiFi,然后开始工作,这样的动作在之前已经重复了无数遍,一切都和谐无比。但你不知道的是有人正在监视你,他们监视着你的各种网络活...

2199
来自专栏安恒网络空间安全讲武堂

Geutebrück网络摄像头被曝多个高危漏洞,已发布固件更新

德国 Geutebrück 网络摄像头被曝多个漏洞,但研究人员怀疑其它厂商(Ganz、Cap、Visualint、THRIVE Intelligence 和 U...

3144
来自专栏安全领域

8种简单方法降低你的网络风险

随着我们的生活和工作越来越多地通过网络进行,我们的个人信息受到侵害和非法使用的风险也在相应增加。

1262
来自专栏FreeBuf

黑了记者:写个恶意软件玩玩(一)

潘多省日报(Pando Daily)的编辑Adam Penenberg最近发表了一篇文章《我让黑客来调查我,他们的发现让我不寒而栗》,讲述了我和我的小伙伴“骚扰...

20810

扫码关注云+社区

领取腾讯云代金券