姓名：朱曉宇 學(xué)號：15180110011

【嵌牛導(dǎo)讀】路由器是家庭網(wǎng)絡(luò)的入口吊骤，在IoT浪潮下，路由器也起到了網(wǎng)絡(luò)守護(hù)者的角色静尼。正因為如此白粉，這幾年針對路由器的攻擊也越來越多，本文就帶大家細(xì)數(shù)這些年針對路由器的攻擊鼠渺。

【嵌牛提問】：常見的路由器攻擊手段有哪些鸭巴？我們應(yīng)該采取什么手段進(jìn)行防護(hù)？

【嵌牛鼻子】：無線安全

無線協(xié)議漏洞

早些年對路由器的攻擊方式大多基于無線協(xié)議中的漏洞拦盹。早些年無線路由使用的是WEP加密系統(tǒng)鹃祖，也就是“有線等效加密”，但是與很多存在問題的加密算法一樣普舆，WEP加密也是用了RC4的加密方式恬口。2001年8月，F(xiàn)luhrer等人發(fā)表了針對WEP的密碼分析沼侣，利用RC4加解密和IV的使用方式的特性祖能，結(jié)果在網(wǎng)絡(luò)上偷聽幾個小時之后，就可以把RC4的鑰匙破解出來华临。這個攻擊方式很快就實作出來了芯杀，而自動化的工具也釋出了，只要用個人電腦、現(xiàn)成的硬件和免費可得的軟件就能進(jìn)行這種攻擊揭厚。因此WEP在2003年被實現(xiàn)大部分IEEE

802.11i標(biāo)準(zhǔn)的WPA(Wi-Fi Protected Access)淘汰却特。

WPA相比WEP提升了部分安全性，WPA?的設(shè)計中要用到一個?802.1X?認(rèn)證服務(wù)器來散布不同的鑰匙給各個用戶筛圆；不過它也可以用在較不保險的?”pre-shared?key”?(PSK)?模式裂明。Wi-Fi?聯(lián)盟把這個使用?pre-shared?key?的版本叫做?WPA?個人版或?WPA2?個人版，用?802.1X?認(rèn)證的版本叫做?WPA?企業(yè)版或?WPA2?企業(yè)版太援。

WPA?的數(shù)據(jù)會以一個

128?位元的鑰匙和一個?48?位元的初向量?(IV)?的?RC4?stream?cipher?來加密闽晦。WPA?超越?WEP?的主要改進(jìn)就是在使用中可以動態(tài)改變鑰匙的“臨時鑰匙完整性協(xié)定”(Temporal?Key?Integrity?Protocol，TKIP)提岔，加上更長的初向量仙蛉，這可以擊敗知名的針對?WEP?的金鑰擷取攻擊。

除了認(rèn)證和加密外碱蒙，WPA?對于數(shù)據(jù)的完整性也提供了巨大的改進(jìn)荠瘪。WEP?所使用的?CRC（循環(huán)冗余校驗）先天就不安全，在不知道?WEP?鑰匙的情況下赛惩，要篡改所載資料和對應(yīng)的?CRC?是可能的哀墓，而?WPA?使用了稱為?”Michael”?的更安全的訊息認(rèn)證碼（在?WPA?中叫做訊息完整性查核，MIC）喷兼。

2004年篮绰，WPA由實現(xiàn)完整IEEE 802.11i標(biāo)準(zhǔn)的WPA2所取代。WPA2相比WPA比較重要的安全改進(jìn)是使用了AES而非原來的RC4加密方式季惯。

事實上吠各，無論是WPA還是WPA2都有相應(yīng)的破解方法，具體就是使用DEAUTH攻擊使已經(jīng)連接的客戶端斷開并重新連接星瘾，以產(chǎn)生握手包走孽，之后再用字典進(jìn)行破解，但是既然使用到了字典琳状，成功率就相當(dāng)不確定了磕瓷。

2011年12月28日，安全專家Stefan

Viehbock曝出WPS（Wi-Fi保護(hù)設(shè)置）功能的一個重大安全漏洞念逞，此漏洞允許遠(yuǎn)程攻擊者使用暴力攻擊在幾小時內(nèi)就能獲取WPS的PIN碼和WPA/WPA2的PSK碼困食。pin碼是一個8位的整數(shù)，破解過程時間比較短翎承。WPS

PIN碼的第8位數(shù)是一個校驗和硕盹，因此黑客只需計算前7位數(shù)。另外前7位中的前四位和后三位分開認(rèn)證叨咖。所以破解pin碼最多只需要1.1萬次嘗試瘩例，順利的情況下在3小時左右啊胶。WPS認(rèn)證流程如下圖：

然而，現(xiàn)實情況是很多路由器會對窮舉PIN進(jìn)行限制垛贤，每次猜解的間隔時間會越來越長焰坪，因此小編之前做過多次嘗試從未成功。

由于攻擊方式的局限性聘惦，以上所述的漏洞大都已經(jīng)成為歷史某饰，現(xiàn)如今對路由器的攻擊大多轉(zhuǎn)為針對特定路由器漏洞的攻擊，并且從對無線協(xié)議弱點的攻擊轉(zhuǎn)向?qū)β酚善鞴碳埔铩eb界面的攻擊黔漂。

針對路由器固件的攻擊

近年來有不少針對路由器的攻擊，很多知名廠商紛紛中招禀酱，并且往往連累的是一個系列的產(chǎn)品炬守，這些路由器爆出的漏洞中很多是廠商因維護(hù)需要而開設(shè)的后門，有一些則是驗證機(jī)制存在問題比勉，被輕易繞過：

2016年10月劳较，華碩路由器被P2P僵尸網(wǎng)絡(luò)程序TheMoon感染驹止。華碩旗下RT-AC66U浩聋、RT-N66U等多款路由器中使用的ASUS

WRT的infosvr中的common.c文件中存在安全漏洞，該漏洞源于程序沒有正確檢查請求的MAC地址臊恋。遠(yuǎn)程攻擊者可通過向UDP

9999端口發(fā)送NET_CMD_ID_MANU_CMD數(shù)據(jù)包利用該漏洞繞過身份驗證衣洁，執(zhí)行任意命令。

同月抖仅，D-Link DWR-932B

LTE路由器中發(fā)現(xiàn)多個后門坊夫。研究人員發(fā)現(xiàn)了D-Link無線路由器會默認(rèn)使用兩個硬編碼的秘密賬戶（admin:admin and

root:1234）運行Telnet和SSH服務(wù)。攻擊者可以輕松地用shell命令行接入這些脆弱的路由器撤卢，然后就可以進(jìn)行中間人攻擊环凿，監(jiān)控網(wǎng)絡(luò)流量，運行惡意腳本更改路由器設(shè)置放吩。而如果將字符串”HELODBG”作為硬編碼命令發(fā)送到UDP端口39889就可以利用這個后門智听，就可以在不經(jīng)過任何驗證的情況下在路由器上啟動一個root權(quán)限的Telnet。

2016年12月渡紫，Netgear多個型號路由器曝遠(yuǎn)程任意命令注入漏洞到推，攻擊者只需要構(gòu)造網(wǎng)站，在網(wǎng)址結(jié)尾加上命令惕澎，在未授權(quán)得情況下就能以Root權(quán)限執(zhí)行任意命令莉测。

今年2月，大量Netgear路由器被曝存在密碼繞過漏洞唧喉。用戶試圖訪問路由器的web控制界面時捣卤，需要進(jìn)行身份驗證忍抽；如果身份驗證被取消，同時密碼恢復(fù)功能被禁用了董朝，用戶就會被重定向到一個頁面梯找，而這個頁面會暴露密碼恢復(fù)的token。用戶提供了這個token就能獲取到路由器管理員密碼益涧。

今年4月锈锤，數(shù)十款Linksys路由器曝高危漏洞，可致遠(yuǎn)程命令執(zhí)行及敏感信息泄露闲询。攻擊者就可以在路由器操作系統(tǒng)上以root權(quán)限注入執(zhí)行命令久免。黑客可能會創(chuàng)建后門賬號以長期控制路由器。后門賬號不會在web管理界面顯示扭弧，并且不能被管理員賬號刪除阎姥。

TheMoon僵尸程序的攻擊流量

盡管以上提到的案例不多，但這些廠商在路由器市場占到了半壁江山鸽捻，尤其是Netgear與Linksys呼巴，根據(jù)NPD

Monthly的數(shù)據(jù)顯示，NETGEAR與LINKSYS這兩家美國老牌路由器廠商成為了該市場的第一與第二名御蒲，并且市場份額超過了60%衣赶。而來自亞太地區(qū)的D-LINK等廠商則分別領(lǐng)導(dǎo)美國市場的40%份額。

入侵路由器后厚满，黑客便控制了受害者的上網(wǎng)入口府瞄，之后能夠進(jìn)行的攻擊超乎想象。有些黑客會修改DNS碘箍，將它改為惡意DNS遵馆，從而可以監(jiān)控流量，植入廣告丰榴，或者進(jìn)行惡意重定向货邓，誘導(dǎo)用戶下載惡意軟件；而有一些黑客則會利用路由器進(jìn)行更大規(guī)模的DDoS攻擊四濒，比如TheMoon僵尸程序换况、針對IoT設(shè)備的僵尸網(wǎng)絡(luò)Mirai。但實際上峻黍，黑客能做的遠(yuǎn)不止這些复隆，如果要進(jìn)行針對性的攻擊，黑客在內(nèi)網(wǎng)中進(jìn)一步進(jìn)行滲透姆涩。

Mirai僵尸網(wǎng)絡(luò)影響了全球范圍內(nèi)的大量主機(jī)

而直到現(xiàn)在挽拂，仍然有大量的路由器尚未修復(fù)漏洞，小編簡單用shodan的搜索結(jié)果進(jìn)行測試骨饿，在20個搜索結(jié)果中就找到了一臺存在漏洞的Netgear R7000路由器亏栈，要注意這是前兩頁的搜索結(jié)果台腥，可想而知肯定有大量黑客都已經(jīng)進(jìn)行過對這些結(jié)果的檢查。

之所以網(wǎng)絡(luò)中仍然存在大量漏洞的路由原因就是廠商無法進(jìn)行及時的推送绒北，路由器雖然是網(wǎng)絡(luò)的入口黎侈，卻沒有一種完善的固件更新機(jī)制能讓用戶一直使用到最新的固件，這可能是廠商亟需解決的問題闷游。

攻擊路由新思路

雖然上面提到的漏洞危害巨大幻枉，但有一個必要的條件是尖滚，路由器端口必須暴露在公網(wǎng)拟枚，或者攻擊者需要身處同一網(wǎng)絡(luò)環(huán)境中谒获，也就是說，黑客需要通過一些方法進(jìn)入相同的無線網(wǎng)絡(luò)业簿，要達(dá)到這一目的瘤礁，除了寄希望于前文提到的無線協(xié)議漏洞，還有一些新奇的思路：

WiFi萬能鑰匙

前幾年比較火的WiFi萬能鑰匙就可以用來進(jìn)行攻擊梅尤，這款應(yīng)用會上傳你所輸入的路由器密碼柜思，開放給他人使用。如果密碼未知巷燥，萬能鑰匙還會提供一個弱口令字典赡盘，收錄了比較常用的密碼，幫助用戶破解無線網(wǎng)絡(luò)矾湃。雖然工具的原本的目的是讓大家能夠共享網(wǎng)絡(luò)亡脑，但攻擊者可以利用這款應(yīng)用成功進(jìn)入他人網(wǎng)絡(luò)進(jìn)行進(jìn)一步攻擊，針對不同的路由器黑客可以使用不同的攻擊方法邀跃，甚至借用前文所說的一些針對特定路由器的漏洞展開攻擊。

Switcher病毒

去年12月蛙紫，曾有一款劫持路由器DNS設(shè)置的“Switcher”病毒拍屑，也是選擇了新的感染途徑，它會先感染手機(jī)坑傅，然后利用軟件中內(nèi)置的弱口令字典爆破路由器web界面僵驰，成功后，它會設(shè)置惡意DNS作為主DNS服務(wù)器唁毒，從而劫持用戶的整個網(wǎng)絡(luò)蒜茴。

Fluxion

去年年底我們還曾介紹過一款名為Fluxion的工具，它的入侵途徑不是網(wǎng)線浆西，而是使用路由器的用戶粉私。

Fluxion使用WPA握手功能來控制登錄頁面的行為和控制整個腳本的行為。它會阻塞原始網(wǎng)絡(luò)并創(chuàng)建一個具有相同名稱的克隆網(wǎng)絡(luò)近零，引起斷開連接后的用戶加入诺核，并且提供了一個虛假的路由器重新啟動或加載固件抄肖，并請求網(wǎng)絡(luò)密碼繼續(xù)登錄的頁面。當(dāng)用戶提供密碼后窖杀，攻擊者就可以借用密碼入侵網(wǎng)絡(luò)漓摩，同樣的，攻擊者在進(jìn)入網(wǎng)絡(luò)后可以使用各種針對路由器的漏洞展開進(jìn)一步的攻擊入客。

用戶看到的假頁面

防范

對于針對無線協(xié)議漏洞的防范管毙，相信大家都比較熟悉：在設(shè)置路由器時應(yīng)該選擇WPA/WPA2的加密方式，還要選取足夠復(fù)雜的無限密碼桌硫；為了防止PIN攻擊锅风，還需要關(guān)閉路由中的WPS功能。

而對于那些利用路由器后門的攻擊鞍泉，可以從幾方面防范：

一是檢查路由端口轉(zhuǎn)發(fā)配置皱埠。因為事實上家用路由很少會暴露在公網(wǎng)環(huán)境下，尤其是國內(nèi)的運營商還會封鎖部分端口咖驮。因此边器，如果黑客想要從路由器的Web管理頁面入侵，那路由器得要已經(jīng)暴露在公網(wǎng)上托修。

二是對路由器的安全功能進(jìn)行配置忘巧，比如為路由器的Web管理頁面設(shè)置密碼，另外就是綁定MAC地址睦刃。如果沒有進(jìn)行端口轉(zhuǎn)發(fā)的配置砚嘴，黑客則需要進(jìn)入Wifi網(wǎng)絡(luò)進(jìn)行入侵，無論是上面提到的WiFi萬能鑰匙還是其他入侵手法都無法避開MAC地址的檢查涩拙。

*轉(zhuǎn)載自FreeBuf.COM