更新
您的设备 (W8901G)很可能是易受攻击的,如下所述,甚至更多,甚至更多。我认为下面建议的步骤可能会改善您的情况,但除非 TP-Link 提供固件修复,否则您应该考虑更换路由器。
TP-Link 搜索表单没有提供任何链接(W8901G 已停产,但即使激活 EOL 列表我也只有 W8901N 型号),或者我无法让它正常工作,但因为他们的页面将产品代码作为名称,我尝试直接输入它并发现:
http://www.tp-link.com/lk/download/TD-W8901G.html
这似乎是最新的页面,正如您所看到的,固件版本比上面的一些漏洞要早。因此,此固件升级可能会修复一些漏洞,但可能无法修复所有漏洞。此外,它仅适用于 V6 硬件;如果您有较早的版本,则应用该补丁可能会使您的路由器变砖。
不幸的是,您的路由器似乎也不支持 DD-WRT,这是一种为旧路由器注入新活力的方式(在我看来,这不是胆小的人),或者压缩原始制造商允许的更多性能 - 甚至相信是可能的。
所以恐怕最简单的方法是购买新路由器(在漏洞数据库中检查后......以防万一)。
旧答案
一些调制解调器路由器存在漏洞,允许从网络内部或外部进行未经身份验证的访问。
因此,您可能会被能够成功发起脚本攻击并让您访问的 Internet 页面欺骗,例如,
http://192.168.1.1/cgi-bin/adm.cgi?cmd=DNSUpdate&ip1=5.104.175.151...
您的调制解调器“看到”来自您的计算机的连接,即使它正在阅读恶意网页,它也没有完全被感染,接受它并 - 砰。
此外,您的调制解调器可能会暴露一个远程控制页面或漏洞,它允许外部的任何人更新其值。
我要做的是,
- 将调制解调器固件更新到最新的兼容版本,
- 验证没有已知漏洞(谷歌搜索“MYMODEL MYBRAND 漏洞”通常就足够了)
- 测试使用不同的网络从外部访问您自己的 IP(例如,智能手机,未连接到您的家庭无线网络),看看会发生什么(希望什么都没有)。即使是“未找到”页面也是坏消息,因为这意味着调制解调器正在监听。是的,它不服从你的格式错误的命令,但不能保证它不能服从格式正确的漏洞利用,只要它能够倾听。聋人调制解调器会更安全。
- 禁用调制解调器上的任何远程控制功能。在某些型号上,您不能明确地这样做,但您可以指示调制解调器将所有传入请求重定向到 DMZ 主机,例如 192.168.1.254——当然,您必须确保那里没有分配 IP;如果它完全在 DHCP 地址池之外,那就更好了。这样,任何传入的管理连接都将被重新路由到无处。
将调制解调器的 IP 地址范围从默认值(通常为 192.168.1.1 或 192.168.0.1 或 192.168.2.1)更改为 192.168.219.137,将网络更改为 192.168.219.0/24。这将确保任何“简单”的反射攻击都会失败;攻击者至少需要发送大约 60,000 次尝试才能使盲击成功。
另外:您可以指示您的 PC不向路由器询问 DNS 信息,而是依靠您手动输入的固定地址(例如经典的 Google DNS 8.8.8.8)。它不能完全防御通过受感染的调制解调器路由器完成的所有事情,但它确实可以防止简单的 DNS+DHCP 劫持。
可能发生的最坏情况是什么?
TL; DR这会很糟糕”(即:飞,你们这些傻瓜!)。
在一般情况下,使用具有足够功率的受损路由器,您基本上不再信任来自网络的任何内容。例如,这包括任何明显合法的软件更新包。并非所有软件公司都对其软件包进行强加密验证。
在最近的一条新闻中,一家自称为黑客团队的公司通过临时招募 ISP 的帮助,在目标计算机上安装了 rootkit,除此之外,还让人们下载了“Flash 安全升级”,但这些都不是(尽管 - 考虑到糟糕的 Flash安全记录- 可以说世界上确实出现了真正的恶意软件)。
在那一点上,他们实现了入侵足够强大的路由器的人也可以实现的目标:完全通信控制以及获得对机器的完全控制的可能性,因为在某些时候机器本身会愿意启动,或者它的用户可能会引诱、下载和执行来自网络的代码 - 即来自攻击者的代码。
另一个非常现实的可能性是安装键盘记录器和导航劫持/监控软件。考虑一种可能的情况:
- 我现在是你 DNS 的爸爸。
- 每一个你想连接的站点,你先心甘情愿地告诉我它的名字。
- 您的 PC 防火墙肯定会信任任何 DNS 查询。
所以现在我(如果有点不诚实的新 DNS,也就是你的友好)被要求
- Q. DNS-QUERY IP_ADDRESS_OF customers.vulnerable-banking.org
我现在给你发一个假 IP 地址。我可以尝试设置 Man-In-The-Middle 攻击(如果我获得了对您浏览器密钥存储的访问权限,它可能会成功,因为我现在也是您的 Root Certificate Authority)。但我不需要。
新的 IP 地址是一台通过 HTTP 重定向简单地将你重定向到真实地址的机器,但现在我已经能够合法地向“你”发送一些我无法通过 DNS 的信息。其中一个 cookie 请求实际上是对键盘记录器开始操作的命令。
在接下来的几分钟内,出现了一些其他 DNS 查询,它们没有被拦截,由键盘记录器发送:
- Q. DNS-QUERY IP_ADDRESS_OF KeyUp.keylogger.pwn
- A. KeyUp.keylogger.pwn 地址为 127.0.0.1
- Q. DNS-QUERY IP_ADDRESS_OF field.user.content。wuijang.keylogger.pwn _
- A. field.user.content.wijang.keylogger.pwn 地址为 127.0.0.1
- 问:DNS-QUERY IP_ADDRESS_OF field.pass.content。thisismypassword .keylogger.pwn
- A. field.pass.content.thisismypassword.keylogger.pwn 地址为 127.0.0.2
...现在“唯一”的 DNS 服务器也碰巧知道在连接到customers.vulnerable-banking.org 时,会发送特定的用户名/密码对。
不久之后,你的银行账户被神秘地转移到了 Elbonia。
在您的特定情况下,路由器不是那么强大,这意味着上述灾难性场景仍然可能发生,但需要更微妙一些,并且大多数攻击者不会费心开发足够复杂的攻击。这意味着您会注意到异常情况,并且会意识到您的路由器已被入侵(确实发生了)。您可能会注意到软件包升级中的错误,或者试图通过软件补丁的可疑和草率的废话。
除非你喝得酩酊大醉,否则你永远不会上当。
我觉得这不足以让我感到安全。在我的路由器中嵌入一个相当于间谍孔的东西,让谁知道谁在他喜欢时重新路由我的流量,这会让我毛骨悚然。此外,我可能有一天想喝得酩酊大醉,一次就够了。
如果我从不在家庭网络中做任何“有意义的”事情怎么办?
您的网络可能不包含任何敏感信息(坦率地说,这将是第一个),并且永远不会用于对“现实生活”“外面”有意义的任何事情。没有亚马逊购物,没有 eBay、Paypal,也许还有 Craigslist,没有家庭银行业务,也没有电子邮件检查。没有 Facebook 或 Twitter(你会相信FB/TW 被盗凭证有市场吗?)
即便如此,网络迟早会被用作重新启动点 - 想象一下,可以说“发送 100 万份此类垃圾邮件”,而 1000 个受感染的网络启动一个大规模并行垃圾邮件运行,1000 个每个副本。许多垃圾邮件发送者很乐意为此付出高昂的代价,因此许多破解者正在积极寻找向他们出售这种能力的方法——这意味着能够非法获得它。他们需要受害者。不要成为一个。
此外,从法律的角度来看,您的路由器所做的任何非法操作(不是垃圾邮件,不,但可能是暴力破解他人的银行账户?)可能会引起法律的注意。即使你能够很容易地解释发生了什么(这取决于他们的技术知识),并且他们愿意倾听(我看到它发生了。不时发生),那是你宝贵的、不可替代的时间付诸东流。
路由器建议
我不喜欢这种建议,因为我不知道您住在哪里或从谁那里获得连接(有时最好获得您的 ISP 推荐的品牌,因为它是最有效的品牌)。我也不想承担责任:-)
但是,我推荐的一款不错的路由器是 Buffalo AirStation WBMR-HP-G300H;不是新的(它于 2011 年首次出现在亚马逊上)但坚固、易于配置、热情地破解(和修补),如果最坏的情况发生,它确实支持 DD-WRT。我自己拥有一个修补过的 D-Link,我确保它无法从外部访问(虽然我使用的是铜线以太网,但没有 WiFi)。