不安全的互联网世界

“2013年我国互联网网络安全态势综述”发布会现场

　　 2014年3月28日，国家互联网应急中心（CNCERT）在北京举办了“2013年我国互联网网络安全态势综述”（简称“态势综述”）发布会，对2013年我国互联网网络安全的总体形势和主要特点进行了发布和说明。据《2013年我国互联网网络安全态势综述》报告称，国家信息安全漏洞共享平台在分析验证D-Link、Cisco、Linksys、Netgear、Tenda等多家厂商的路由器产品后，发现它们都存在后门，黑客可由此直接控制路由器，进一步发起DNS劫持、窃取信息、网络钓鱼等攻击，直接威胁用户网上交易和数据存储安全，使得相关产品变成随时可被引爆的安全“地雷”。以D-Link部分路由器产品为例，攻击者利用后门可取得路由器的完全控制权。CNVD分析发现，受该后门影响的D-Link路由器在互联网上对应的IP地址至少有1.2万个，影响大量用户。 

一份来自ZoomEye的数据显示，全球范围使用这种有缺陷的D-Link路由器的用户在63000名左右，遍布中国、美国、加拿大、巴西等地。而在国内，有大约10万台TP-Link路由器存在后门缺陷，受影响用户达到百万级别。此外，之前Tripwire对很多小型和家庭办公使用最多的无线路由器的安全性进行了评估，结果发现，在亚马逊前25名最畅销的SOHO无线路由器中，80%存在安全漏洞。在这些有漏洞的路由器中，34%的漏洞已经被利用，攻击者可以很容易地发起高度针对性攻击或者瞄准有漏洞系统的一般攻击。

更让人担忧的是，一些路由器厂家为了日后调试和检测更方便，会在产品上保留超级管理权限。一般情况下，这个超级管理权限是不容易被外人发现的，但一旦被黑客发现并破解，就意味着黑客可以直接对路由器进行远程控制。专家指出，保障网络安全已成为全球性话题，这需要政府、企业和网民的共同努力，但部分涉事厂商仍缺乏重视。如尽管国家互联网应急中心及时向相关厂商通报威胁情况，但截至目前，仍有包括思科、D-Link等部分厂商尚未对路由器留后门一事给予正面回应，并提供安全解决方案或升级补丁。

路由器安全问题并非危言耸听

    如果说路由器像立交桥，数据像车流，一旦路由器被黑客控制，就相当于立交桥的每个匝道上都被安装了摄像头，所有数据都难逃被窥视甚至被篡改的危险。路由器正成为个人、企业甚至政府机构信息防护的最大安全隐患。

    就在去年4月份，思科被美国中央情报局前雇员斯诺登曝出参与美国政府主导的“棱镜”计划，涉嫌对全球用户进行监听。虽然目前尚无直接的证据显示思科等企业的路由器后门事件与“棱镜门”有关联。但事实上，思科的产品并非绝对安全，已经引起了中国相关机构的关注。2012年10月25日，中国联通就已经完成对“China169”骨干网江苏无锡节点的核心集群路由器的搬迁工程，而此次被搬迁的正是思科路由器CRS。思科的产品漏洞及后门问题，正是运营商更换设备的主要原因。

   央视新闻也非常路由器漏洞问题

当然，这样的危险并不是离我们的日常生活很远。随着近年来包括TP-Link、D-Link、思科、华硕等多家主流路由器厂商的安全漏洞在黑客间流传。低端家用路由器和SOSO路由器已与电脑、手机并列为黑客重点攻击的三大目标，被认为是埋伏在家里和小型办公室的网络安全地雷。

2014年3月30日，中央电视台播出网络安全专项调查，曝出国内低端家用路由器的重大安全隐患。报道称，腾讯电脑管家在对上亿用户的路由器进行检测后发现，中国目前5%的路由器已被黑客成功控制。如果你发现在家上网时不停遭遇弹窗广告骚扰、恶意跳转链接、杀不掉的木马病毒或手机流量不翼而飞，多半就跟路由器被劫持相关。

路由器劫持，一般是指黑客利用路由器存在安全漏洞获得的、不需要授权的远程权限来修改路由器的DNS配置。DNS相当于网络中的“导航仪”，用户输入想访问的网址，就由DNS服务器来分配该网址对应的IP地址。如果攻击者利用路由器的漏洞侵入其中，修改路由器的DNS配置，他就可以将正常网站的域名解析到错误的地址上。360安全中心发布的路由器安全调查报告显示，黑客篡改DNS的主要目的是推送色情网页和游戏广告，其比例达到49.5%；28.0%的DNS篡改是为了把电商网站劫持到推广页面，从而赚取推广告佣金；此外还有22.5%的其他各类劫持，比如访问网上银行或购物网站时输入正确的网址，实际打开的却是冒牌网站的页面，这时受害者输入账户和密码，就会提交到钓鱼网站的服务器上。

  DNS被劫持的过程示意图

目前有不少网上银行攻击事件，就是黑客利用路由器的漏洞对DNS配置进行了篡改。在大多数情况下，用户会首先连接到该银行在纯HTTP下的主网站，然后点击其中一个按钮或链接来访问网上银行的登录页面。而对于黑客来说，这些银行网站使用的是HTTPS页面通道——一种HTTP与SSL加密相结合的技术，使黑客无法模仿银行颁发由证书颁发机构提供的有效数字证书。因此，攻击者一般会使用不太复杂的称为SSL剥离的技术，来进行DNS欺骗。 即利用许多银行不是在整个网站上使用SSL加密技术，而只是在其网上银行系统上使用该技术的情况，对用户的访问实施拦截。这种攻击手法也被称为“中间人攻击”(Man-in-the-Middle Attack，简称MITM攻击)，黑客通过该方式拦截用户访问网络银行网站，利用DNS欺骗、会话劫持(Session Hijack)等手法进行拦截数据——修改数据——发送数据，以达到欺骗网络用户，实施窃取用户网上银行资产的目的。显然，黑客事件其实离我们的生活并不远。

路由器暗藏危机，如何防备

从各种各样的信息安全事故中，路由器扮演了一个十分“脆弱而尴尬”的角色。怎么办？当然，有一种方法可以避免路由器的安全威胁，那就是把路由器都拆了扔掉，显然绝大多数用户不会接受这种方法。在这种情况下，一些网络设备厂商推出了一种安全路由器。

磊科的安全路由器适合中小企业用户使用

相对于普通的路由器，安全路由器就像银行金库密码锁和家用防盗门锁的区别。安全路由器除了主要承担网络中的路由交换任务，还更多地具备了安全功能，包括可以内置防火墙模块。当前市场上的安全路由器主要用于中小企业用户。这类用户对路由器的性能要求不是很高，在这种网络中，它也可以成为整个网络的核心设备，承担网络的路由转发和安全防护双向功能。比如，大企业的分支机构和中小企业的核心网络，它们既存在与上级公司网络或Internet网络的上联出口安全问题，又要保证自己内部网络的安全，同时还必须兼顾远程接入用户的网络安全。而从整体来看，这种网络对安全路由器的路由功能要求并不是特别苛刻，所以这种集接入、路由、VPN和防火墙于一体的设备就成为公司的首选。

安全路由器的出现对于网络的整体结构来讲并没有产生非常大的变动，由于安全路由器是一种边缘接入路由器，所以对整个网络尤其是主干网络没有太大的影响。从实际的市场与应用效果来看，安全路由器受到中小企业的喜爱，是因为安全路由器可以隐藏公司内部的网络拓扑结构图，同时还可以加密需要传输的数据，从而做到即使传输的数据在公网上被其他用户拦截时，其他用户也不能通过IP包来获取公司内部的网络IP地址，也不能了解到公司内部的网络拓扑结构图。经过加密的数据，没有专门的解密工具，一般的用户是不可能知道所传输的数据包的内容。

     不过安全路由器这类产品对普通家庭用户来说价格还是贵了点。对于普通家用路由器来说，针对路由器自身的后门和漏洞问题，最好的办法就是升级固件。这个和给电脑系统安装补丁的道理如出一辙。因为任何产品都不是最完善的，即使像Windows这样成熟的产品，每年也会推出很多系统漏洞补丁，这些补丁大多数都能帮助系统提高安全性和稳定性。路由器也是一样，用户检查自己的路由器型号，选择对应的漏洞补丁或者固件进行升级显得十分必要。此外，用户还需要拥有良好的使用习惯和经验,如密码尽量设置得越复杂越好、打开WPA加密、开启路由器MAC地址过滤功能、关闭路由器SSID广播等,这些措施同样可以起到不错的安全防护效果。

小结：虽然低端消费级路由器的安全隐患很大，并且还有不断蔓延的趋势。但说到底它也只是信息时代众多信息安全问题之一。面对这种严重的安全形势，改变思路，除了从设备上加强管理外，良好的使用习惯、灵活且具有针对性的加密技术，以及用软件进行安全防护，仍可让你远离大多数的安全威胁。