大量路由器存有漏洞 五条建议关上路由器后门

　　近日，省城市民陈先生向本报反映，称自己家里的电脑总是不断弹出广告页面，更换浏览器或者用杀毒软件查杀都无法找出其中的原因。经电脑专家检测才得知无线路由器被黑客劫持了。

　　国家互联网应急中心(CNCERT)发布的“2013年我国互联网网络安全态势综述”指出，多家厂商生产的路由器存有漏洞后门，容易被黑客入侵。另据一份360安全卫士最新发布的路由器安全报告显示，家用路由器已经与电脑、手机并列为黑客攻击的三大目标。国内30.2%的家用无线路由器存在“弱密码”漏洞。路由器被黑，轻者被蹭网，网速龟速运转，或者不停地被各种广告骚扰;重者黑客可直接盗取网民网银、游戏等各类账户信息。

　　目前，无线路由器已逐渐成为家庭标配，但其安全性为何会如此脆弱?黑客如何“打开”路由器的后门?黑客“进入”后门会导致什么后果?又该如何防止路由器被黑客劫持?

　　大量路由器存在漏洞后门

　　3月28日，CNCERT发布的“2013年我国互联网网络安全态势综述”显示，经国家信息安全漏洞共享平台(CNVD)分析验证，D-LINK、思科、灵科系统、Netgear、Tenda等多家厂商的路由器产品存在后门。黑客可由此直接控制路由器，进一步发起DNS(域名系统)劫持、窃取信息、网络钓鱼等攻击，直接威胁用户网上交易和数据存储安全。这意味着相关路由器成为随时可被引爆的“地雷”。以D-LINK部分路由器产品为例，攻击者利用后门，可取得路由器的完全控制权，受该后门影响的D-LINK路由器在互联网上对应的IP地址至少有1.2万个，影响大量用户的网络安全。

　　所谓后门，是指开发软件的程序员为了日后调试和检测更方便，在软件中保留的一个超级管理权限。一般情况下，这个超级管理权限不容易被外人发现。如果一旦被黑客发现并破解，就意味着黑客可以直接对路由器进行远程控制。“一款网络设备，不存在漏洞几乎是不可能的，只是看漏洞是不是容易被人发现并利用。”一位路由器的经销商告诉记者，针对企业级的产品安全性较高，但价格昂贵;而针对家庭的产品，因成本限制，在安全防护上不会做得太强。“就像银行金库密码锁和家用防盗门锁的区别。”他表示，对于普通家用路由器来说，从技术层面上提高安全性的一个方式就是厂商定期进行升级，把一些已经被人发现的漏洞补上。

　　路由器是所有上网流量的管卡，路由器被黑客控制，意味着与网络有关的所有应用都可能被黑客控制，360网络安全工程师安阳表示，路由器能被破解，最主要的原因在于路由器生产厂家对安全问题重视不够，而且，尽管能升级，其设置操作对普通网民来说也过于复杂。

　　“喝一杯咖啡”的时间就能劫持路由器

　　在省城某事业单位工作的刘女士就亲身体验了企业级路由器和家庭用路由器的差距。“在单位用WiFi上网一点事都没有，可一回到家用WiFi上网，网页总会弹出许多莫名其妙的广告。”刘女士告诉记者，起初她以为是自己家里的路由器出现问题，后来经网络技术人员检查才发现家里的路由器被黑客“劫持”了。

　　为刘女士检查网络的技术人员告诉记者：“无线路由器有两个重要的密码，一个是WiFi密码，主要是为了防止他人蹭网;另一个是路由器管理密码，主要是对路由器上网账号、WiFi密码、DNS、联网设备进行管理设置。”刘女士不知道有管理密码，因此长期使用Admin(系统管理员)的出厂默认弱密码，给了黑客可乘之机。

　　那么，家里的路由器是怎么被黑客“劫持”的?“劫持”后又会导致哪些后果?

　　近日，网友“Evi1m0”通过微信公众号，演示一个劫持路由器的案例。“Evi1m0”先是打开一款网上免费下载的破解密码软件，然后在搜索到的无线网络中，点开其中的一个WiFi账号，导入密码字典，开始破解。“喝了一杯咖啡，密码已经出来了。”“E-vi1m0”的说法或许会让很多认为自己家WiFi账号很安全的人大惊失色。“Evi1m0”得到密码后，通过移动设备与路由器进行联网，然后打开一款黑客软件，凭借黑客软件进入路由器的WEB管理界面。通过如此简单的方法，“Evi1m0”就“打开”了路由器的后门。所有连接该WIFI的电子设备显示在WEB管理界面上，“E-vi1m0”几乎可以对这些电子设备“为所欲为”。

　　对于网络黑客“劫持”路由器的后果，省城某国企单位网络维护部负责人李先生指出：“黑客可以通过软件记录电子设备上输入的所有账号密码，还可以通过修改用户的DNS，将用户访问正常网站的请求导向黑客做的恶意站点。还有的黑客会可以制作一个和正规网站一模一样的站点，诱使用户输入支付密码，获取用户的网银账号、密码等信息，从中牟取利益，这就是钓鱼网站。”

　　五条建议“关上”路由器后门

　　用户该如何防止黑客通过路由器的漏洞后门“劫持”路由器?李先生给出了5条建议：

　　1、路由器管理网页的登录账户、密码，不要使用默认的Admin(系统管理员)，可改为字母加数字的高强度账户、密码。账户、密码最好是大小写字母、数字、特殊符号的组合。

　　2、路由器的密码应选择WPA2加密认证方式，这样会大大提高黑客破解密码的难度。

　　3、将路由器默认的管理IP修改为自己指定的特殊IP，并开启路由器MAC地址过滤功能，只允许已知设备接入。

　　4、在设备中安装具有ARP局域网防护功能的安全软件，防止被黑客“劫持”。

　　5、关闭无线路由器WPS/QSS(快速安全设置)功能。

　　那么，路由器已被黑客“劫持”，该怎么解决呢?李先生也给出了方法：

　　如果路由器DNS地址遭到篡改，可以先恢复路由器的出厂设置，然后修改用户名和密码，最后将无线安全类型由WEP方式改为WPA-PSK或者WPA2-PSK。不同品牌路由器的恢复方式和登录地址会略有不同，可参照说明书提供的方法解决。