你家路由器“有趣”的24小时 | 路由器真的安全吗？（含视频）

想必大家都知道最近美国东海岸地区的网站遭遇了一次大规模的DDoS攻击，此次的攻击导致大量用户无法正常访问网站的服务。

根据安全研究专家的分析结果，此次DDoS攻击主要是由受病毒感染的物联网设备所驱动的。攻击者首先使用Mirai恶意软件来感染目标设备，随后便使用由这些受感染的物联网设备所组成的大型僵尸网络来对目标发动DDoS攻击。

随着Mirai恶意软件的开源，今后将会有越来越多的物联网设备暴露于安全风险之中，我们真的准备好了吗？

概述

不知你是否担心过你家路由器的安全呢？实际上，当你按下路由器电源按钮的那一刻，危险可能就已经悄悄地来到你身边了。

在这篇文章中，我打算对目前针对路由器的网络攻击进行分析，这些内容也许可以帮助你更加深入地了解目前物联网设备所面临的安全风险到底有多么严重。

由于家庭路由器的安全问题一直都没有得到人们应有的关注，因此在这篇文章中，我打算用我自己的路由器来进行实验，以此来告诉大家目前的情况到底有多么危急。

在某些情况下，人们可能会让路由器24小时不间断地运行。在日常的使用过程中，用户通常关注的只是路由器的网速和稳定性，而路由器的安全问题对普通用户来说只是一个“WiFi密码”的问题而已。

用户根本不会意识到某些路由器的管理员控制面板中有可能存在安全漏洞，而攻击者就可以利用这些漏洞来对路由器实施攻击。

更加麻烦的是，这些路由器中往往不只存在一处漏洞，而且路由器制造商也没有及时去修复这些漏洞。

如果各位同学想要了解去年家用路由器所爆出的安全漏洞信息，或者想要获取一些安全建议的话，可以访问网站http://routersecurity.org/以获取你所需的信息。

参考资源

近几年，西班牙曾爆出过大量关于新型路由器漏洞的新闻，而这些信息也足以表明目前路由器安全形势的紧迫性。如果各位同学对此感兴趣的话，可以参阅以下链接：

1.http://www.hackplayers.com/2015/02/250k-routers-de-telefonica-mismas-claves-ssh.html 2.http://www.muycomputer.com/2015/03/20/700-000-routers-adsl-isp-vulnerables 3.http://www.redeszone.net/2015/01/06/los-routers-de-movistar-adb-pirelli-p-dga4001n-tienen-un-grave-fallo-de-seguridad/ 4.http://www.pcworld.es/seguridad/un-estudio-espanol-descubre-60-vulnerabilidades-en-22-modelos-de-routers

谁都有可能成为受害者

你可以设想一下，如果攻击者可以访问并修改你路由器的DNS设置的话，会发生什么事情呢？我可以告诉你，如果攻击者可以做到这一点，那么他们就可以对你的网络流量进行监控。

这也就意味着，不仅你的隐私将会外泄，而且你的身份信息和个人凭证也将会被犯罪分子盗取。下面这张图片较为形象地描述了整个攻击过程：

在大多数情况下，我们所受到的网络攻击都是自动化实现的。所以，如果你的路由器存在安全漏洞的话，那么你就会成为潜在的受害者。你可能会认为自己谁也不是，攻击者不会对你感兴趣。

但这种想法明显是错误的，因为攻击者通常发动的是大规模攻击，如果你处于攻击者的攻击范围内，那么你的安全就无法得到保证。

为了复现攻击场景，并且对网络攻击事件进行分析。我打算使用一个传感器将所有发送至我路由器公网IP的数据流量进行重定向，并监视所有进入路由器的TCP、UDP数据包、以及ICMP数据包。

接下来，我会将所有发送至我IP地址的数据包当作可疑流量来处理，并且追踪所有与我TCP端口有关的链接。请记住，攻击者所使用的IP地址其实并不重要，因为他们可以使用各种各样的技术来隐藏真实的IP地址。

数据采集与分析

我们的数据收集工作开始于2016年10月6日的下午六点，到2016年10月24日的下午六点结束。下图所示的信息就是我所收集到的数据分析结果：

在24小时之内，我的家用路由器总共发生了20,070次网络事件。根据我的分析，我的路由器总共遭受了4678次网络攻击。

从我所收集到的数据来看，总共有来自92个不同国家的IP地址向我的路由器发送过攻击流量，这些恶意流量通过349个不同的端口发送到了我的家用路由器中。

其中，有超过一半的攻击来自于亚洲地区。在攻击所用的端口方面，我们发现SSH、Telnet、443、2323、RDP、VNC、以及8080这几个端口是攻击者最常用的几个端口。

我们可以从上图中看到，来自越南地区的攻击活动是最为频繁的。而之所以会出现这样的情况，主要是由于Mirai僵尸网络的存在。

上图显示的是目前受Mirai僵尸网络影响最为严重的前十个国家。其中越南排在第一，紧接着的是巴西、土耳其和中国台湾。

在经过了24小时的数据收集和流量分析之后，我们得到了下面这张分析图表（攻击来源、ASN、IP地址以及端口信息）：

表格中的数字表示的是由该国“肉鸡”所发动的攻击次数（包括IP地址和端口号）：

我们可以看到，大多数的攻击来源于欧洲地区和亚洲地区。除此之外，我们也检测到了一小部分来自西班牙的攻击源。

当我在分析那些向我家路由器发动攻击的IP地址时，我发现这些攻击针对的都是监控摄像头和路由器设备的Web管理面板：

有的攻击活动在访问这些物联网设备的时候根本就不需要任何的凭证，而有的可以直接使用默认凭证来访问设备。

根据我的发现，他们（可能是某些黑客组织）成功地访问了我的路由器，并且成功连接到了我所设置的“诱饵端口”。

在此之后，他们还在我的设备中下载并感染了恶意软件样本，并尝试通过这样的方法将我的设备加入他们的僵尸网络中。需要注意的是，他们已经成功地使用了我的网关来进行攻击。

经过分析之后，我发现他们不仅会在目标设备中下载Mirai，而且还会使用Wget下载大量其他的恶意内容。具体如下图所示：

总结

经过上面这段分析之后，你可能也想知道你家的路由器到底有没有被攻击过吧？这个问题你不用担心，因为你家路由器被攻击是迟早的事。希望你在看完这篇文章之后，能够更加关注路由器的安全问题。

首先，我们要尽可能地关闭所有无需使用的端口。

其次，在设置登录凭证和其他安全保护信息的时候一定要保证密码的强度。也许你已经被攻击了，只是你自己不知道而已。

如果你不重视路由器的安全问题，那么下一个出现在僵尸网络列表中的很可能就是你家的IP地址。

演示视频如下：

* 参考来源：securityaffairs，FB小编Alpha_h4ck编译，转载请注明来自FreeBuf.COM