不要让您的打印机将端口 9100 暴露在互联网上。

这种大规模的打印机攻击并不是什么新鲜事。它以前发生过，执行起来非常简单。

攻击者可能使用Shodan扫描整个 Internet 以查找端口 9100 对 Internet 开放的打印机。由于通过端口 9100 进行 RAW 打印的工作方式，在此之后所需要做的就是连接到端口 9100 TCP 上的打印机并将要发送的文本发送到打印机。

防止这种攻击

您需要做的就是在外部关闭端口 9100。如果需要远程打印，可以通过多种方式实现：

• 使用 VPN 连接到网络，使打印机可以像在本地网络中一样访问
• 使用不同的打印协议
  • 国际电联。这旨在通过 Internet 使用，并内置了对身份验证的支持。
  • 谷歌云打印

您链接到的攻击是针对可从 Internet 直接访问的打印机。如果您有一个通过某些 DSL 或有线路由器连接到 Internet 的典型家庭网络，则不必担心这种特定的攻击，除非您已明确启用从 Internet 访问打印机 - 默认情况下从 Internet 直接访问由于路由器中的 NAT（即映射到单个公共 IP 的多个内部 IP 地址），互联网是不可能的。如果您在公司并且打印机具有公共可路由 IP 地址，请确保防火墙阻止来自外部的访问。

对于家庭用户来说，他们更有可能安装支持 WiFi 的打印机，并将 WiFi 设置保持在通常不安全的默认状态下，在这种状态下，打印机在没有加密和访问控制的情况下创建自己的访问点。在这种情况下，打印机附近的任何人（即隔壁公寓、街道上的某人……）都可以将作业发送到这台打印机。例如，Guy 使用未受保护的 WiFi 打印机对他的邻居进行天才恶作剧。因此，请确保在不需要时禁用 WiFi，并在需要时安全地配置它。

除此之外，可以通过向这些打印机发送特殊文档来更换某些打印机中的固件。例如，被黑客入侵的固件可以允许外部黑客攻击内部网络。另请参阅FoxGlove Security 的研究人员在 HP 的一些企业打印机中发现了一个潜在的严重远程代码执行漏洞。为了防止此类攻击，请确保固件是最新的，启用了保护以这种方式更换固件的安全功能（如果存在此类设置），打印机只能使用选定的协议与其他设备通信在打印机前面使用防火墙或至少配置外围防火墙以使打印机无法连接到 Internet。

这是一个好的开始，但要知道这些问题不仅限于打印机。各种智能家居设备，包括安全摄像头、灯控制器、恒温器等，都可能无意中使您的整个家庭网络面临攻击风险。

您可以采取的一个步骤是登录您的家庭路由器（或电缆调制解调器），找到 UPnP（通用即插即用）的设置并将其禁用。许多此类设备使用 UPnP 在您的防火墙中打开漏洞并将自己暴露在互联网上，以便于远程访问；问题是其中许多设备的安全性甚至低于您的典型打印机。通过关闭 UPnP，您不会让他们将您的家庭网络置于危险之中。

我见过许多家用打印机，例如爱普生，没有实施任何安全功能。

保护它们的最简单方法是通过 USB 或专用网络/VLAN 连接到计算机。然后使用 cups/samba/printer 共享通过该服务器共享它们。

关于 NAT 和不将端口暴露给互联网的其他答案是合理的。但是，如果您的内部网络很大，那么保护内部网络也很重要。即任何比您和您的家人专门连接的家庭网络更大的东西。