Az otthoni forgalomirányító piac nagyon hasonlít az Android okostelefonok piacára. A gyártók nagyszámú különböző eszközt gyártanak, és nem zavarják a frissítést, így nyitva hagyják a támadást.
Hogyan tud a router csatlakozni a sötét oldalhoz?
A támadók gyakran arra törekszenek, hogy megváltoztassák a DNS-kiszolgáló beállítását az útválasztón, és rosszindulatú DNS-kiszolgálóra mutassák. Amikor megpróbál csatlakozni egy webhelyhez - például bankja webhelyén - a rosszindulatú DNS-kiszolgáló azt mondja, hogy inkább az adathalász webhelyre lépjen. Még mindig mondhatja a bankofamerica.com címét a címsorában, de az adathalász webhelyen tartózkodik. A rosszindulatú DNS-kiszolgáló nem feltétlenül válaszol minden lekérdezésre. A legtöbb kérés időtúlléphet, majd átirányíthatja a lekérdezéseket az internetszolgáltató alapértelmezett DNS-kiszolgálójára. A szokatlanul lassú DNS-kérelmek olyan jelek, amelyek fertőzöttek lehetnek.
A Sharp-szemű emberek észrevehetik, hogy egy ilyen adathalász webhely nem rendelkezik HTTPS titkosítással, de sokan nem vesznek észre. Az SSL-sztrippeléses támadások akár eltávolíthatják az átvitel titkosítását is.
A támadók csak beadhatják a hirdetéseket, átirányíthatják a keresési eredményeket, vagy megpróbálhatnak letöltést letölteni. Megkaphatják a Google Analytics vagy más szkripteket igénylő kéréseket, amelyek szinte minden webhelyet használnak, és átirányítják őket egy olyan kiszolgálóra, amely parancsfájlokat kínál, amelyek helyett inicializálják a hirdetéseket. Ha pornográf hirdetéseket lát egy törvényes webhelyen, mint például a How-To Geek vagy a New York Times, szinte biztosan fertőzött valamit - akár az útválasztón, akár maga a számítógépen.
Sok támadás használ keresztföldre irányuló kérelem-hamisítás (CSRF) támadásokat. A támadó rosszindulatú JavaScriptet ágyaz egy weboldalra, és a JavaScript megpróbálja betölteni az útválasztó web alapú adminisztrációs oldalt, és módosítja a beállításokat. Mivel a JavaScript a helyi hálózaton belüli eszközön fut, a kód elérheti azt a webes felületet, amely csak a hálózaton belül áll rendelkezésre.
Néhány útválasztónak lehetnek távoli felügyeleti interfészeik az alapértelmezett felhasználónevekkel és jelszavakkal együtt aktiválva - a botok ilyen routereket kereshetnek az interneten és hozzáférhetnek. Más kihasználások kihasználhatják a forgalomirányító egyéb problémáit is. Például az UPnP sebezhetőnek tűnik számos útválasztónál.
Hogyan ellenőrizzük
Az egyik jelzőtábla, hogy egy útválasztó sérült, hogy a DNS-kiszolgálója megváltozott. Meg szeretné tekinteni az útválasztó webes felületét, és ellenőrizni fogja a DNS-kiszolgáló beállításait.
Először is meg kell adnia az útválasztó web alapú beállítási oldalát. Ellenőrizze a hálózati kapcsolat átjáró címét, vagy keresse meg az útválasztó dokumentációját, hogy megtudja, hogyan.
Ha szükséges, jelentkezzen be az útválasztó felhasználónevével és jelszavával. Keresse meg a "DNS" beállítást valahol, gyakran a WAN vagy Internet kapcsolat beállítások képernyőjén. Ha az "Automatikus" beállításra van beállítva, akkor ez rendben van - az internetszolgáltatótól kapja. Ha ez a beállítás "Kézi", és ott vannak egyedi DNS-kiszolgálók, ez nagyon is problémát jelenthet.
Nem probléma, ha konfigurálta az útválasztót, hogy jó alternatív DNS-kiszolgálókat használjon - például a 8.8.8.8 és a 8.8.4.4 a Google DNS-hez vagy a 208.67.222.222 és az 208.67.220.220-hoz az OpenDNS-hez. De ha vannak olyan DNS-kiszolgálók, amelyeket nem ismer fel, ez egy jel, hogy a rosszindulatú program megváltoztatta az útválasztót a DNS-kiszolgálók használatára. Ha kétségei vannak, végezze el a DNS-kiszolgáló címek internetes keresését, és ellenőrizze, hogy jogosultak-e vagy sem. Valami olyan, mint a "0.0.0.0" finom, és gyakran csak azt jelenti, hogy a mező üres, és a router automatikusan DNS-kiszolgálót kap.
A szakértők azt tanácsolják, hogy néha ellenőrizzék ezt a beállítást annak megállapítása érdekében, hogy az útválasztó sérült-e vagy sem.
Súgó, van egy rosszindulatú DNS-kiszolgáló!
Ha van itt egy rosszindulatú DNS-kiszolgáló, akkor letilthatja azt, és közölheti az útválasztóval, hogy az automatikus DNS-kiszolgálót használja az internetszolgáltatótól, vagy írja be a legitim DNS-kiszolgálók címét, például a Google DNS-t vagy az OpenDNS-t.
Ha itt rosszindulatú DNS-kiszolgáló van, akkor törölje le az összes útválasztó beállításait és gyári alaphelyzetbe állítsa, mielőtt újra beállítaná - csak azért, hogy biztonságban legyen. Ezután használja az alábbi trükköket az útválasztó további támadások elleni védelmére.
A router ellen a támadások megszilárdítása
Bizonyára meggyógyíthatod az útválasztót a támadásokkal szemben - kissé. Ha az útválasztó biztonsági lyukakkal rendelkezik, a gyártó nem javított, de nem tudja teljesen biztonságban lenni.
- Firmware frissítések telepítése: Győződjön meg róla, hogy az útválasztó legújabb firmware-je telepítve van. Engedélyezze az automatikus firmware frissítéseket, ha az útválasztó kínálja - sajnos a legtöbb útválasztó nem. Ez legalább biztosítja, hogy védve legyenek az esetleg feltört hibáktól.
- Távoli hozzáférés letiltása: Távoli hozzáférés letiltása az útválasztó webes adminisztrációs oldalain.
- Módosítsa a jelszót: Módosítsa a jelszót az útválasztó webes adminisztrációs felületére, így a támadók nem tudnak csak az alapértelmezettre lépni.
- Kapcsolja ki az UPnP-t: Az UPnP különösen sebezhető. Még akkor is, ha az UPnP nem sérülhet az útválasztón, egy helyi hálózaton belül futó rosszindulatú program az UPnP segítségével megváltoztathatja a DNS-kiszolgálót.Így működik az UPnP - bízik a helyi hálózatból érkező összes kérés iránt.
A DNSSEC-nek további biztonságot kell nyújtania, de ez nem csodaszer. A valós világban minden ügyfél operációs rendszer csak bízik a konfigurált DNS-kiszolgálóban. A rosszindulatú DNS-kiszolgáló azt állíthatja, hogy egy DNS-rekordnak nincs DNSSEC információja, vagy rendelkezik DNSSEC-információval és az IP-címmel való átadás az igazi.