當(dāng)心！路由器出賣你

dongtao · 發(fā)表于 2014-4-3 10:34

近日，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)出了預(yù)警，“D-LINK、Cisco、Linksys、Netgear、Tenda等多家廠商的路由器產(chǎn)品存在后門，黑客可由此直接控制路由器，進(jìn)一步發(fā)起 DNS 劫持、竊取信息、網(wǎng)絡(luò)釣魚等攻擊，直接威脅用戶網(wǎng)上交易和數(shù)據(jù)存儲(chǔ)安全，使得相關(guān)產(chǎn)品變成隨時(shí)可被引爆的安全‘地雷’。”
預(yù)警發(fā)出后不久，已經(jīng)有“好奇”的網(wǎng)友開始試驗(yàn)。一網(wǎng)友通過微信公眾號(hào)曬出了自己成功破解隔壁“女神”的WiFi密碼。該網(wǎng)友還黑進(jìn)了“女神”的電腦、手機(jī)，控制了“女神”的微博等個(gè)人社交賬號(hào)。而這一切的一切用時(shí)還不到5分鐘！由此也誕生了一句經(jīng)典名句：用路由器容易，設(shè)密碼不易，路由器且用且當(dāng)心！
很顯然，在整個(gè)過程中，路由器扮演了一個(gè)十分“脆弱而尷尬”的角色。為了降低寬帶的使用成本，增加寬帶的實(shí)際使用效率，不少朋友都選擇使用路由器，像以往那種一根網(wǎng)線一臺(tái)電腦獨(dú)霸的情況早已一去不復(fù)返。取而代之的是，在住宅中幾個(gè)人或幾臺(tái)設(shè)備使用一個(gè)網(wǎng)絡(luò)；在公司里幾十號(hào)人或者幾百號(hào)人共用一個(gè)寬帶。上網(wǎng)方便、連接簡(jiǎn)單也成為路由器全面普及的重要原因。
雖然大家都在使用路由器，但是對(duì)于路由器的原理和設(shè)置卻知之甚少，更別提什么安全防護(hù)措施了。而最新爆出的“路由器后門漏洞”和“網(wǎng)友秒破路由密碼”等新聞，才引發(fā)大家更多的關(guān)注。尤其是那些喜歡在電腦和手機(jī)中放些小電影的宅男們；喜歡自拍美顏大秀恩愛的女神們更加需要密切了解和重視。那么，作為普通用戶到底可以做點(diǎn)什么，才能不讓路由器成為下一輪艷照門的始作俑者？
筆者結(jié)合自身的使用習(xí)慣和經(jīng)驗(yàn)，為大家提供以下建議，請(qǐng)宅男和女神們且行且參考。
1、針對(duì)路由器自身的后門和漏洞問題，最好的辦法就是升級(jí)固件。這個(gè)和給電腦系統(tǒng)安裝補(bǔ)丁的道理如出一轍。因?yàn)槿魏萎a(chǎn)品都不是最完善的，即使像Windows這樣成熟的產(chǎn)品，每年也會(huì)推出N多系統(tǒng)漏洞補(bǔ)丁，這些補(bǔ)丁大多數(shù)都能幫助系統(tǒng)提高安全性和穩(wěn)定性。所以，路由器也是一樣，檢查自己的路由器型號(hào)，選擇對(duì)應(yīng)的漏洞補(bǔ)丁或者固件進(jìn)行升級(jí)顯得十分必要。
2、密碼盡量設(shè)置的越復(fù)雜越好。簡(jiǎn)單的數(shù)字和字母的組合已經(jīng)完全不能抵擋黑客們高超的技法和掃碼軟件的攻擊。此前有文章曾專門對(duì)設(shè)置密碼進(jìn)行過詳盡的研究，筆者的建議是在情況允許的情況下，將鍵盤上每個(gè)按鍵都充分利用上。比如如果密碼設(shè)置為“123asd”就不如設(shè)置為“123*_￥asd”更安全。所以，大家可以根據(jù)自己的密碼設(shè)定習(xí)慣來強(qiáng)化和復(fù)雜路由器的密碼。
3、雖然說加強(qiáng)密碼是個(gè)好辦法，但我認(rèn)為這個(gè)辦法始終是治標(biāo)不治本。因?yàn)椤澳Ц咭怀?，道高一丈”。再?gòu)?qiáng)的密碼，也難逃出掃碼軟件的瞬時(shí)計(jì)算，只不過是延緩了黑客破解的時(shí)間罷了。既然加密這種正面策略不行，那不妨試試不加密這種反面措施。你可能會(huì)問了，加強(qiáng)密碼還防不住呢，不加密不就等于裸奔了嗎？當(dāng)然，既然不加密，肯定是有了更好的辦法。那就是綁定MAC地址！無(wú)論電腦還是手機(jī)或是iPad，任何設(shè)備都有一個(gè)屬于自己的唯一MAC地址，現(xiàn)在大多數(shù)路由器都提供了綁定MAC地址這個(gè)功能。用戶只需要將自己被認(rèn)可設(shè)備的MAC地址填入到路由器之中，即可起到“唯一保護(hù)的作用”。簡(jiǎn)而言之，就是被允許的MAC地址可以連接到路由器進(jìn)而上網(wǎng)，所有未在允許列表范圍之內(nèi)的MAC地址(設(shè)備)都將被忽略或者提示“無(wú)法連接”。此舉對(duì)于防止黑客入侵和蹭網(wǎng)起到了絕佳的防范效果。
4、在路由器中設(shè)置“禁止廣播”，與上面綁定MAC地址相對(duì)應(yīng)的就是這個(gè)“禁止廣播”。很多路由器設(shè)置好之后，會(huì)自動(dòng)生成無(wú)線網(wǎng)絡(luò)的名稱。這也就是大家到了一個(gè)地方之后，打開無(wú)線WiFi開關(guān)后看到的那一大串無(wú)線網(wǎng)絡(luò)的名字?，F(xiàn)在，我們要做的是讓自家的無(wú)線網(wǎng)絡(luò)不要出現(xiàn)在這一大串的公共列表范圍之內(nèi)。使用路由器中的“禁止廣播”功能，可以隱藏自己的無(wú)線網(wǎng)絡(luò)名稱。也就是說除了你自己之外，別人是無(wú)法知道你這個(gè)無(wú)線網(wǎng)絡(luò)的存在。
5、盡量不要修改DNS，使用運(yùn)營(yíng)商提供的標(biāo)準(zhǔn)DNS。有時(shí)候因?yàn)榫W(wǎng)絡(luò)的原因，如果用戶修改了DNS可以提升網(wǎng)頁(yè)打開速度，減少網(wǎng)絡(luò)識(shí)別時(shí)間。而因此可能要付出的代價(jià)就是犧牲安全性。所以，在非必要時(shí)刻盡量不要修改路由器的初始DNS，即使需要修改也盡可能的使用可信的和網(wǎng)絡(luò)運(yùn)營(yíng)商提供的DNS地址。從而，減小因?yàn)镈NS攻擊而導(dǎo)致的路由器安全問題。
說了這么多其實(shí)只是“拋磚”，相信很多高手自有“引玉”之道。除了上文提到的，像固定內(nèi)網(wǎng)IP地址，合理簡(jiǎn)化設(shè)置路由器內(nèi)部功能等，對(duì)于提升無(wú)線網(wǎng)速和加強(qiáng)安全性都會(huì)有幫助。如果有朋友在刷新固件時(shí)遇到問題，或者不會(huì)查看和綁定MAC地址，忘記如何設(shè)置禁止廣播等功能，或者與路由器相關(guān)的問題，歡迎大家關(guān)注微信：ksms2046，共同交流和探討。
保護(hù)隱私，有你有我。別讓路由器成為下一個(gè)艷照門的始作俑者！
當(dāng)心！路由器出賣你

脖子很長(zhǎng)的鹿 · 發(fā)表于 2014-4-3 11:02

嚴(yán)重缺少安全感

tzlhc · 發(fā)表于 2014-4-7 13:18

現(xiàn)在威脅無(wú)處不在啊

bailin · 發(fā)表于 2014-4-8 21:02

wq0072 · 發(fā)表于 2014-4-18 07:34

現(xiàn)在威脅無(wú)處不在,算了還是不上網(wǎng)了斷線拉倒

wangqqqwww · 發(fā)表于 2014-4-19 10:44

反正我的電腦又沒有什么重要的東西，好多對(duì)自己有用的資料都用U盤保留

› 智能家居 / NAS / 路由 / 開發(fā) / 音響 › 智能路由器論壇