判斷自己是否易受攻擊 - 從路由器入手改善網(wǎng)絡(luò)安全性

　　測試自己的路由器是否易受攻擊并不麻煩。在此，筆者向您介紹兩個網(wǎng)站，用戶可以通過ipchicken.com 或 checkip.dyndns.com知道自己的IP地址。在打開這兩個網(wǎng)站后，就會得到一個IP地址。如2.3.4.5，然后再用瀏覽器打開它，看看有什么發(fā)生。如果你得到提示，要求輸入用戶名和口令，就說明你的路由器易受攻擊。如果你得到出現(xiàn)錯誤的網(wǎng)頁，則表明你不易受到這種攻擊。

　　在技術(shù)層面上，這種攻擊是DNS重新綁定問題的新伎倆。它依賴于這樣一個事實，即單個網(wǎng)站可以擁有多個IP地址。在你第一次訪問一個惡意網(wǎng)站時，你的計算機得到了此惡意網(wǎng)站的兩個IP地址。第一個是合法的，而第二個是非法的，它就是你的公網(wǎng)IP地址。此后，通過高速緩存伎倆和惡意生成的錯誤，惡意網(wǎng)頁會欺騙你的計算機訪問惡意網(wǎng)站的可選IP地址，實際上就是你的路由器的公網(wǎng)地址。

　　黑夫納通過試驗進一步得出結(jié)論，他認為要讓這種攻擊成功，并不需要啟用遠程管理。只要目標(biāo)網(wǎng)絡(luò)中的某個用戶訪問了被惡意控制的網(wǎng)站，這種攻擊即可獲得成功。這種攻擊的發(fā)生不依賴于受害者的操作系統(tǒng)，它是針對路由器的。

　　這種攻擊還牽涉到JavaScript，這種腳本語言通常僅能與其來源網(wǎng)站進行交互。但是，由于有了DNS重新綁定伎倆，瀏覽器會認為用戶的路由器是惡意網(wǎng)站的一部分。因而，JavaScript也就可以操縱路由器了。

　　捍衛(wèi)路由器的安全

　　最簡單的防御就是不要使用路由器的默認密碼。應(yīng)當(dāng)將路由器的密碼改為一種難以猜測的序列。

　　如果用戶的路由器易受攻擊，應(yīng)當(dāng)上網(wǎng)檢查，看看制作商是否有了新的固件可以修復(fù)這個問題。

　　任何剛買的新路由器都應(yīng)當(dāng)測試一下是否易受攻擊，特別是在退貨期限內(nèi)時。

　　雖然遠程管理與此無關(guān)，不過，還是建議用戶關(guān)閉自己路由器上的這個功能。

　　如果你使用無線網(wǎng)絡(luò)，不妨檢查一下，看看路由器能否限制對有線連接的管理性訪問。這條措施可以防止無線用戶登錄進入路由器。