第六章 路由器入侵渗透技术深度剖析
第六章 路由器入侵渗透技术深度剖析6.1 路由器的战略地位路由器是家庭和企业网络的出入口,所有网络流量都必须经过它。控制路由器意味着:[*]流量监控:黑客可以查看所有经过的明文网络数据,包括访问的网站、发送的邮件、聊天的内容。
[*]流量篡改:黑客可以修改网页内容,注入广告、恶意代码或钓鱼页面。
[*]DNS劫持:修改DNS设置后,用户访问正常网站时被引导至钓鱼网站,输入账号密码后被盗。
[*]中间人攻击:即使使用HTTPS加密,黑客也可以通过路由器植入伪造的证书,解密加密流量后再重新加密发送,实现HTTPS劫持。
[*]内网渗透:路由器作为内网的网关,黑客控制路由器后,可以方便地向内网其他设备发起攻击。
6.2 远程入侵手法6.2.1 默认密码与漏洞扫描路由器最常见的弱点是默认密码和未修复的漏洞。大量用户购买路由器后,从未修改默认的管理员密码(admin/admin),也未更新固件。黑客通过扫描互联网上的路由器开放端口(80、443、8080等),尝试默认密码登录。对于已登录的路由器,黑客可以查看宽带账号密码、修改DNS、开启远程管理、甚至刷入第三方固件。对于修改了默认密码的路由器,黑客尝试已知漏洞。路由器厂商众多,固件更新不及时,大量路由器长期处于漏洞暴露状态。例如,某知名品牌路由器在2022年曝出的远程命令执行漏洞,直到2024年仍有大量设备未修复,黑客利用该漏洞可以无需密码直接执行任意命令。6.2.2 UPnP漏洞利用UPnP协议用于简化局域网设备的网络配置,但它的设计存在严重安全问题。UPnP允许任何内网设备在路由器上自动创建端口映射,将外网端口映射到内网设备的指定端口。黑客利用这一特性,通过恶意网页或应用,让用户浏览器向路由器发送UPnP请求,创建端口映射,将路由器的管理端口映射到外网。然后黑客从外网直接访问该映射端口,尝试登录路由器。即使路由器原本关闭了远程管理,通过UPnP创建的映射也能绕过这一限制。6.2.3 CSRF攻击跨站请求伪造(CSRF)是攻击路由器的另一常用手法。黑客在恶意网页中嵌入隐藏的图片或表单,当用户访问该网页时,浏览器自动向用户的路由器发送请求。如果用户仍保持路由器管理界面的登录状态(常见情况),该请求将携带用户的身份凭证,路由器会认为是合法用户的操作,执行黑客指定的配置更改。例如,黑客可以在隐藏表单中设置DNS服务器地址为黑客控制的IP,然后通过JavaScript自动提交表单。用户毫无察觉,但路由器的DNS已被篡改,后续所有域名解析请求都将被导向黑客服务器。6.3 入侵后的操作6.3.1 DNS劫持修改路由器的DNS设置是黑客最常用的操作。正常情况下,DNS将域名解析为正确的IP地址。DNS被篡改后,用户输入"bank.com",解析得到的是黑客钓鱼网站的IP地址,该网站仿冒银行登录页面,用户输入账号密码后即被窃取。高级的DNS劫持采用选择性重定向:对于普通网站,返回正确IP,不影响用户正常访问;对于目标网站(如银行、邮箱),返回钓鱼IP。这种劫持更难被发现,因为用户的其他网络功能一切正常。6.3.2 固件刷写部分黑客入侵路由器后,会刷写第三方固件,如OpenWrt、DD-WRT的修改版。这些固件在原有功能基础上增加了后门程序,使黑客能够长期控制路由器,即使重启也无法清除。刷写固件后,黑客可以完全隐藏自己的活动。路由器管理界面看起来一切正常,宽带连接正常,但后台正运行着黑客的监控程序,实时上传所有网络流量。6.3.3 僵尸网络组建路由器性能足以发起网络攻击,且数量庞大,是组建僵尸网络的理想设备。Mirai恶意软件专门针对物联网设备,包括路由器、摄像头等,通过Telnet扫描默认密码进行感染。被感染的路由器等待黑客的指令,随时准备发起DDoS攻击。由于路由器7x24小时在线,且用户很少关注其安全状态,路由器僵尸网络非常稳定。黑客可以长期利用这些被控设备,发起大规模攻击。
页:
[1]