駭客盯上了家用路由器，如何保護您家的路由器免受攻擊？

今年有個非常重要的趨勢：黑產盯上了家庭路由器。

那個靜靜躺在你家房子角落裡讓你可以上網的小小盒子-路由器，它可能比你的膝上型電腦或手機都更重要。雖然，它可能不會直接儲存你的任何個人資訊，但每次訪問各種線上服務時，都會傳遞敏感資料，如果路由器被駭客入侵，這些敏感資料可能會被盜取或操縱。

被攻破的路由器可以作為攻擊本地網路上的其他裝置（如手機或膝上型電腦）的平臺，或者用於對網際網路網站發起拒絕服務攻擊。這樣導致你的網速會被降低，並且你的IP地址也可能會被列入黑名單。

由於它直接暴露在外網，路由器經常會被自動掃描、探測和攻擊。與膝上型電腦或手機相比，路由器沒有防病毒程式或其他安全軟體來保護它。

不幸的是，大多數路由器都是黑匣子，使用者幾乎無法控制其軟體和配置，特別是當它是由你的網際網路服務提供商提供的裝置時。

但即便如此，還是可以採取某些措施來大大降低路由器被駭客攻破的可能性的。

許多措施是相當基礎的，只需要一些技術知識和對網路概念的一些理解。對於技術性較差的使用者，也可以購買帶有自動更新功能的安全專用路由器。

可參考下面的建議，來保護你的路由器安全。

選擇路由器

儘量避免使用由網際網路服務提供商（ISP）提供的那些廉價的調變解調器或路由器，它們是由某些公司批次生產，並且使用定製的韌體，ISP可能無法完全控制，如果存在安全問題，可能需要很長時間才能解決，也有可能根本不會得到解決。

一些ISP強迫使用者使用他們提供的裝置，因為他們預先配置了遠端協助，很多情況下，這些遠端管理功能往往因為配置不當，而使裝置遭到駭客攻擊。此外，使用者可能無法禁用遠端訪問，因為他們不能完全地管理控制這些裝置。

如果你的ISP不允許你使用自己的裝置，那你至少要問一下他們的裝置是否可以配置為網橋模式，是否可以在他們的裝置後面安裝自己的路由器。橋接模式禁用路由功能，以支援你自己的裝置。另外，瞭解你的ISP提供的裝置是否是遠端管理的，是否可以禁用該服務。

家庭和小型辦公室路由器的市場非常多樣化，所以選擇合適的路由器將取決於預算，無線訊號需要覆蓋的空間，你的網際網路連線型別，以及其他所需的功能，例如USB埠儲存等。但是，一旦確定了幾個候選裝置，那麼選擇一個重視安全的裝置廠商是很重要的。

可以去了解裝置廠商的安全記錄：它是如何處理過去在其產品中發現的漏洞的？它多久釋出補丁？它是否有專門的聯絡人來處理安全報告？它是否有一個漏洞披露政策，或者是否執行bug獎勵計劃？使用搜索引擎搜尋“［廠商名］ router漏洞”或“［廠商名］ router exploit”等術語，並閱讀安全研究人員過去與這些公司互動的報告。檢視這些報告中的披露時間表，瞭解公司在收到漏洞通知後開發和釋出補丁的速度。

確定裝置在購買之後能持續接收韌體更新的時間最久有多長，這個也很重要。隨著整個行業的產品生命週期越來越短，儘量不要購買兩年前釋出的產品，這些產品可能在一年或幾個月內就會停止維護。

但是，路由器廠商很少在他們的網站上釋出這些資訊，因此你可能要透過打電話或發電子郵件，向該裝置廠商的技術支援部門瞭解這些資訊。還可以檢視你打算購買的路由器的韌體更新歷史記錄，或者從製造商的同一系列產品中檢視路由器的韌體更新歷史記錄，以瞭解它的更新頻率。

選擇好路由器後，接下來要做的就是一些重要的設定了。首先閱讀手冊以瞭解如何連線到裝置並訪問其管理介面。這通常透過在電腦上開啟網路瀏覽器來完成。

更改預設的管理員密碼

千萬不要讓你的路由器使用預設的管理員密碼，因為這是被駭客利用的最常見的原因之一。駭客使用殭屍網路掃描整個網際網路以獲取暴露的路由器，並嘗試使用公開已知的預設憑據或弱密碼和易於猜測的密碼進行身份驗證。選擇一個強大的密碼，如果裝置支援，還可以更改預設管理員的使用者名稱。

去年，一個名為Mirai的殭屍網路使用預設或弱密碼，透過Telnet和SSH連線到超過250，000臺路由器、IP攝像機和其他物聯網裝置，發動了有史以來最大的DDoS攻擊。最近，Mirai的克隆在阿根廷和其他國家感染了超過100，000個DSL模組。

保護管理介面

許多路由器允許使用者將管理介面暴露給網際網路進行遠端管理，一些較舊的裝置甚至預設以這種方式進行配置。即使管理員密碼被更改，這也是非常糟糕的，因為路由器中的許多漏洞都存在於基於Web的管理介面中。

如果需要對路由器進行遠端管理，可以設定虛擬專用網路（VPN）伺服器以便從網際網路安全地連線到本地網路，然後透過該連線執行管理任務。路由器甚至可以選擇充當VPN伺服器，但除非您瞭解如何配置VPN，否則開啟該功能可能會有風險，並可能使您的網路遭受其他攻擊。

2015年，一位名叫Kafeine的研究人員發現了透過放置在合法網站上的惡意廣告發起的大規模CSRF攻擊。該攻擊程式碼能夠針對來自不同製造商的40多種不同的路由器型號，並試圖透過命令注入漏洞或透過預設管理憑證來更改其DNS設定。

駭客透過將路由器上配置的DNS伺服器替換為受其控制的惡意伺服器，可以引導使用者訪問他們偽造的網站。這是一個強大的攻擊，因為除非網站使用安全的HTTPS協議，否則在瀏覽器位址列中沒有任何跡象表明有什麼不妥。即使這樣，攻擊者也可以使用諸如TLS / SSL剝離等技術，許多使用者可能不會注意到綠色掛鎖丟失。2014年，透過對受害家庭路由器的DNS劫持攻擊被用來釣魚波蘭和巴西使用者的線上銀行證書。

CSRF攻擊通常透過嘗試區域網中常用的IP地址（如廠商預設配置的192。168。0。1或192。168。1。1）來定位路由器。因此，使用者可以將其路由器的本地IP地址更改為其他值，例如192。168。33。1或甚至192。168。33。22，因為沒有技術上的理由說路由器必須使用IP網段的第一個地址，而這個簡單的變化可以阻止許多自動化的CSRF攻擊。

攻擊者可能還有一些其他技術結合CSRF來發現路由器的本地IP地址，即使它不是預設的IP地址。但是，有些路由器可以透過IP地址限制對其管理介面的訪問。如果此功能可用，則可以將允許的IP地址配置為與路由器透過DHCP自動分配的IP地址不同。例如，將DHCP地址池配置為從192。168。33。50到192。168。33。100，但指定192。168。33。101作為允許訪問路由器管理介面的IP地址。

另外，如果可能，請將路由器介面配置為使用HTTPS，並始終從私人/隱身瀏覽器視窗訪問它，以便在瀏覽器中不會透過CSRF濫用可認證的會話。不要允許瀏覽器儲存使用者名稱和密碼。

關閉有風險的服務

Telnet和SSH（Secure Shell）等提供命令列訪問裝置的服務不應該暴露在網際網路上，也應該在本地網路上禁用，除非實際需要。一般來說，任何未使用的服務應該被禁用，以減少攻擊面。

多年來，安全研究人員在路由器上發現了許多未公開的“後門”帳號，這些帳號可透過Telnet或SSH訪問，並提供對這些裝置的全面控制。由於常規使用者無法確定路由器中是否存在此類帳號，因此禁用這些服務是最佳的選擇。

另一個有問題的服務是通用即插即用（UPnP），它允許裝置在網路上互相發現並共享他們的配置，以便他們能夠自動設定資料共享和媒體流等服務。

多年來，在家庭路由器中發現了許多UPnP漏洞，使得從敏感資訊暴露到遠端程式碼執行的攻擊導致了路由器徹底被攻陷。

路由器的UPnP服務不應該暴露在網際網路上，除非絕對需要，否則它不應該在區域網上啟用。沒有簡單的方法可以判斷路由器的UPnP實現是否存在漏洞，並且該服務可以被其他網路裝置用來自動穿過路由器的防火牆。這就是有如此多網路攝像頭，嬰兒監視器和網路連線的儲存盒可以透過網際網路在主人不知道的情況下被訪問的原因。

其他受到漏洞困擾的應該禁用的服務包括簡單網路管理協議（SNMP），家庭網路管理協議（HNAP）和CPE廣域網管理協議（CWMP），也稱為TR-069。

保護Wi-Fi網路

設定Wi-Fi網路時，請選擇一個很長且難以猜測的密碼（也稱為預共享金鑰（PSK） - 至少包含12個字母數字字元和特殊符號），並始終使用WPA2安全協議，WPA和WEP不安全，不要使用。

禁用Wi-Fi保護設定（WPS），該功能允許使用列印在貼紙上的PIN或按路由器上的物理按鈕將裝置連線到網路。一些供應商的WPS實現容易受到暴力攻擊。

某些路由器支援設定一個與其他區域網隔離的訪客無線網路，可以讓朋友和其他臨時訪問者使用網際網路連線，而無需共享主要Wi-Fi的密碼。這些客人可能沒有惡意的意圖，但他們的裝置可能會感染惡意軟體，他們的裝置也可以用來攻擊路由器，所以最好不要讓他們使用你的網際網路連線，根本不用訪客網路。

更新路由器韌體

很少有路由器具有全自動更新功能，但有些路由器在其介面中提供了手動更新檢查機制，或者當有更新可用時透過電子郵件傳送通知。然而，當廠商的伺服器和URL變更後，可能沒有考慮舊的裝置，這些功能可能會停止工作。因此，定期檢查廠商的支援網站以獲取更新也很有必要。

一些更高階的東西

如果禁用了UPnP，但希望在區域網內執行的服務可以透過網際網路訪問 - 比如在家用計算機上執行的FTPS （FTP Secure） 伺服器，則需要在路由器中手動設定埠轉發規則。如果這樣做，應該強烈考慮限制哪些外部IP地址被允許連線到該服務，大多數路由器支援為埠轉發規則定義一個IP地址範圍。另外，充分考慮為外部提供這些服務的風險，特別是對流量不加密時。

路由器的訪客無線網路功能可用於隔離本地網路中的物聯網裝置。許多物聯網裝置透過基於雲服務的手機APP進行管理，因此無需透過本地網路直接與您的手機通訊。

類似的網段隔離可以透過VLAN（虛擬區域網）來實現，但這個功能在家庭路由器中並不常見。

遵循以上建議將顯著降低您的路由器成為駭客攻擊受害者的機會，避免被殭屍網路所奴役，從而發起下一個破壞網際網路的DDoS攻擊。但是，如果具有高階逆向工程技能的經驗豐富的駭客決定專門針對你，那麼無論你做了什麼設定，都無法阻止他們最終進入你家的路由器。但為什麼要讓他們輕易得逞呢？