??? 前些日子,安全研究人員發(fā)現(xiàn)了一種稱之為psyb0t的僵尸網(wǎng)絡(luò)蠕蟲�,它可以攻擊DSL調(diào)制解調(diào)器和路由器。這種蠕蟲可以搜索并利用開放端口的特定設(shè)備����。被攻擊的設(shè)備還有一個特征�,即弱口令。一旦某個蠕蟲進(jìn)入了路由器����,它便可以為所欲為,阻止端口��,并可以泄露敏感信息��,攻擊其它網(wǎng)絡(luò)等���。
??? 在本文中�,筆者將分析容易受這種特定蠕蟲攻擊的路由器類型���,然后討論如何防止這類和其它類型的路由器蠕蟲的感染���。最后,我們將探討如何清除感染路由器的蠕蟲。
??? 蠕蟲是怎樣進(jìn)入路由器的
??? 路由器蠕蟲是通過用于遠(yuǎn)程管理路由器的端口進(jìn)入路由器的���。不過��,路由器在默認(rèn)情況下并沒有打開這些端口����。必須在路由器Web界面的配置程序上手動啟用之�。如下圖1所示:
??? 此外,更大的漏洞在于弱口令����。換句話說,如果采取了防御措施���,遠(yuǎn)程管理就是安全的��。
??? 根據(jù)有關(guān)媒體的研究���,這種最新的蠕蟲攻擊的基本上需要滿足下面的標(biāo)準(zhǔn):
??? 1.這些設(shè)備一般都是使用MIPS處理器的設(shè)備,這種處理器運(yùn)行簡版Endian模式(mipsel)運(yùn)行��。這包括大約30種Linksys設(shè)備��,十種Netgear 型號的設(shè)備,還有其它許多種設(shè)備�。此外,加載其它固件代替品的路由器��,如DD-WRT和OpenWRT也易于受到攻擊��。
??? 2.啟用了某種類型遠(yuǎn)程管理的設(shè)備�,如啟用了telnet、SSH����,或是基于Web的訪問��,要知道��,僅提供本地的訪問并不容易受到攻擊�。
??? 3.遠(yuǎn)程管理訪問的用戶名和口令的組合不夠強(qiáng)健,易被破解�。或者是其固件容易被漏洞利用程序所利用��。
??? 保障廣域網(wǎng)服務(wù)的安全
??? 既然路由器蠕蟲是通過遠(yuǎn)程管理端口侵入的�,保障這些端口的安全就成為了防止感染的關(guān)鍵所在。此外���,不啟用遠(yuǎn)程管理并關(guān)閉這些端口就是最佳方案����,因?yàn)槿湎x無路可進(jìn)。不過��,如果需要遠(yuǎn)程訪問����,遵循下面的指南可以防止蠕蟲的入侵:
??? 1.使用強(qiáng)健而安全的口令
??? 要知道,路由器蠕蟲依賴于強(qiáng)力字典攻擊(不斷地努力猜測口令)��,所以我們應(yīng)當(dāng)使用不易被猜測的口令����。不要使用什么"admin"、"router"�、"12345"等作為路由器的口令,而要使用一種混合性的組合����,如rDF4m9Es0yQ3ha等。其中至少要包括大小寫字母���,并利用數(shù)字和字母�。雖然這種口令不易記憶,但我們可以將其存放于可以某個文件(如文本文件)中�,再用TrueCrypt、Cryptainer LE等軟件為各種保存密碼的文件加密���。
?2.保障遠(yuǎn)程連接的加密
??? 例如�,盡量不要使用HTTP方式傳送�,因?yàn)樗褂玫氖敲魑膫魉停煽紤]使用HTTPS來傳送基于Web的訪問����。可以打開路由器配置程序的遠(yuǎn)程訪問設(shè)置���,選擇"https"選項(xiàng)。如果需要命令行才能訪問路由器����,可使用SSH。因?yàn)镾SH是一個加密的協(xié)議��。使用加密的連接并不是防止路由器蠕蟲的必須措施���,但它可以加強(qiáng)路由器的總體安全性���。如下圖2所示:
??? 3.改變默認(rèn)端口
??? 蠕蟲僵尸可通過這些遠(yuǎn)程連接的默認(rèn)端口侵入���,如通過HTTP Web 訪問的80或8080端口、加密Web訪問的443端口���、SSH的22號端口等����。因此��,一臺在非默認(rèn)端口上接收連接的路由器更為安全�。很多路由器在緊挨著遠(yuǎn)程連接設(shè)置功能的位置有一個端口(Port)字段,在此輸入想要使用的端口號碼��。例如����,鍵入路由器所在位置的面向互聯(lián)網(wǎng)的IP地址,加上一個冒號�,然后是端口號。如果是通過SSH進(jìn)行連接����,你需要在SSH客戶端程序的連接設(shè)置中指定端口號���。如下圖3所示:
??? 4.使用入站過濾器
??? 其實(shí)我們可以對有些路由器進(jìn)行配置,使其過濾哪些IP地址或范圍準(zhǔn)許使用進(jìn)入的連接��,如此便可以阻止不在列表中的任何IP地址的蠕蟲����。為此,首先��,可以看一下是否可以在路由器的遠(yuǎn)程管理設(shè)置中定義IP地址或IP地址范圍��。然后���,檢查路由器是否可以設(shè)置入站的連接設(shè)置����。如圖4:
??? 保障路由器的固件最新
??? 前面我們提到,路由器固件所所使用的軟件也使路由器易于受到蠕蟲攻擊�,因此保持路由器總是加載最新的固件版本可有助于防止這種漏洞�。路由器的制造商們和固件替換項(xiàng)目會定期發(fā)布這些固件的更新,用以修補(bǔ)已知的安全漏洞����。
??? 要更新路由器的固件���,應(yīng)從廠商的網(wǎng)站下載新的鏡像。然后登錄進(jìn)入路由器的配置程序��,打開"Admin"/"Misc"或"System"部分��,選擇最新的固件�,并加載它即可。如圖5:
??? 清除蠕蟲:還路由器的清潔之軀
??? 我們前面所討論的預(yù)防性措施可防止路由器受到蠕蟲的攻擊和危害���。記住��,如果你不需要遠(yuǎn)程訪問就不要啟用它��。如果有必要采用此功能���,我建議你把用戶名和口令復(fù)雜一些,多用一些大小寫�、數(shù)字等混合的口令,并要通過SSH或HTTPS傳輸����,還要考慮使用非默認(rèn)端口,并盡量采用任何的入站過濾器���。
??? 如果路由器已經(jīng)受到感染��,肯定會發(fā)生一些不可思議的事情���。例如���,據(jù)報告,Psyb0t會阻止22號端口���、23號端口���、80號端口的通信。
??? 要清除蠕蟲����,最徹底的解決方法是將路由器恢復(fù)到出廠默認(rèn)值,這樣做可以保證清除蠕蟲�。按下路由器背面的復(fù)位按鈕,并且過上幾秒鐘(不同的廠商要求不一樣��,如筆者的路由器要求按下30秒鐘以上才可以)���,就可以恢復(fù)到出廠狀態(tài)���。一旦清除了蠕蟲,一定要記得采用本文所介紹的方法喲���。
關(guān)鍵詞標(biāo)簽:路由器,蠕蟲攻擊
火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程