SAY討論區 › 討論區 › IT人IT事 › Windows討論 › 不要小看UPnP的安全隱患

發新帖

查看: 962|回復: 11

上一主題

下一主題

不要小看UPnP的安全隱患 [複製鏈接]

果醬愛好者

Rank: 7 Rank: 7 Rank: 7

好友: 0
帖子: 4634
積分: 9226
最後登錄: 2018-7-29
在線時間: 0 小時

電梯直達

跳轉到指定樓層

樓主

發表於 2012-9-17 16:22:37 |只看該作者 |倒序瀏覽

現在主流路由器都默認允許瞭UPnP的使用。可是，FBI和部分安全專家卻建議禁止UPnP的使用。那麼UPnP的安全性到底怎麼樣呢？我們在使用UPnP帶來的便捷時是否忽視瞭它對安全性帶來的不穩定因素。
UPnP協議統一即插即用英文是Universal Plug and Play，縮寫為UPnP。要說計算機外設的即插即用(Plug and Play（縮寫PnP）)，大家可能很熟悉，但對通用即插即用，多數人會感到是一頭霧水。由於Windows xp加入對UPnP的支持，並且被查出存在很嚴重的安全問題，所以，一時間，使得UPnP名聲大噪。今天我們就來瞭解一下為什麼安全專家建議禁止使用UPnP，瞭解其安全隱患。

惡意軟件可以利用UPnP侵入你的網絡
特洛伊木馬，蠕蟲，或者其他惡意軟件都會想法設法的在局域網內攻擊你的電腦，而UPnP恰巧成為瞭一個突破口。當路由器阻止一個連接請求以防止惡意軟件的入侵時，UPnP卻可以允許惡意軟件隨意繞開防火墻。舉個例子，特洛伊木馬可以在你的電腦上安裝一個遠程操控程序並打開路由器防火墻的一個小缺口，讓木馬可以全天候入侵你的電腦。但如果UPnP被禁用瞭，這個小程序就不能打開端口（所謂端口，是一種虛擬的接口，通過端口ID來互相區別），即便它可以通過其他方式繞過防火墻。UPnP默認認為本地程序都是可信任的並且允許他們通過端口。如果你不希望惡意軟件可以突破你的端口，那你一定就要禁用UPnP。
FBI告訴人們要關閉UPnP？
2001年底，FBIi國家基礎建設保護中心（FBI’s National Infrastructure Protection Center）建所有用戶都禁用UPnP因為Windows xp的緩沖溢出問題。這個bug後來被安全補丁所修復。NIPC實際上在後來對這一說法進行瞭糾正，因為他們意識到這個問題與UPnP無關。正是因為這樣，部分人卻記住瞭當時NIPC的建議並對UPnP產生瞭偏見，這條建議在當時誤導瞭很多人，緩沖溢出問題也早在10年之前發佈的XP補丁被修復瞭。

Flash的UPnP攻擊
UPnP並不需要用戶任何形式的認證。由於UPnP的幫助，所有應用程序都可以請求路由器來端口映射，這就是為什麼流氓軟件可以濫用UPnP的原因。如果你認為隻要沒有惡意軟件在本地設備上你就是安全的，那你就大錯特錯瞭。
Flash的UPnP攻擊於2008年被發現。一個很特別的小Flash程序，在你打開的瀏覽器中的一個網頁上運行，可以向路由器發送UPnP申請來通過端口。舉個例子，這個小程序可以請求路由器通過你電腦1-65535的任意端口，並將其傳播到整個網絡上。通過端口之後，它需要在你電腦上運行的網絡服務中尋找漏洞。不過，防火墻可以起到保護的作用。
不幸的是，某些路由器中，Flash小程序會利用UPnP請求來改變主域名服務器。端口映射反而是你最不需要擔憂的，一個惡意DNS服務器會將網絡流量導向其他網站。舉個例子說，它可以將你想訪問的IT之家的IP地址偷換成另一個，雖然你的瀏覽器地址欄顯示的是IT之家，但你進入的卻是被惡意修改的網站。這種缺陷還不能完全被修復（這是由於UPnP的原因決定的），尤其是較老的路由器非常容易受到攻擊。
路由器糟糕的UPnP接口
UPnP Hacks網站詳細的列舉瞭不同路由器UPnP接口所導致的安全問題。他們通常不是UPnP本身的問題，而是UPnP接口的問題。舉個例子，許多路由器的UPnP接口檢測輸入流並不合理，一個惡意程序請求路由器將網絡導向遠程的其他地址（而不是本地ip地址），路由器便會允許申請。在一些基於Lnux的路由器上，很有可能就會利用UPnPl路由端口運行指令。這個網站還列舉瞭許多其他的類似問題。

UPnP關閉的方法
控制面板 - 管理工具 - 服務 - 雙擊UPnP Device Host - 禁用

UPnP帶來的便捷
UPnP本身采用“自動端口映射”的方式，可以使外網與內網電腦直接通過端口映射方式相互連接，而無需手動設置，互聯網上擁有自有IP的每臺設備，都會有6萬5千多個端口。在沒有UPnP的時候，外網數據到進入內網電腦，需要通過手工在路由器上指定端口映射。一旦把某端口映射到一臺內網電腦後，那麼這個端口就不能被其他電腦使用，同時，沒有指定映射的端口，無法使用。
而在UPnP情況下，所有端口是“即插即用”，不受路由器指定映射的影響，可以發揮每個端口的最大連接效率，因此，可以大大加快內網尤其是P2P應用的速率。BT下載就是利用UPnP端口，可以連接到更多的種子，提高下載速度。
你是否應該禁用UPnP
通過上文我們可以瞭解到UPnP真的存在非常多的問題。但實際上，這些由路由器UPnP接口缺陷並沒有被廣泛的濫用，利用路由器缺陷通過UPnP來攻擊的惡意軟件是非常少的。如果你非常註重安全性問題，那建議您關閉UPnP；如果您是P2P的愛好者，喜歡下載，那請保留。如何取舍，還要看自己具體情況來定。

分享0 收藏0 讚好0 Unlike!0 分享傳送邀請

好友: 0
帖子: 355330
積分: 370576
最後登錄: 2024-5-12
在線時間: 0 小時

No.1回覆者

發表於 2012-9-17 16:59:33 |只看該作者

先回覆一下，閃人

好友: 0
帖子: 355215
積分: 370625
最後登錄: 2024-5-12
在線時間: 0 小時

跟尾2

發表於 2012-9-17 17:05:28 |只看該作者

做一個,做好了,請看

好友: 0
帖子: 360885
積分: 382814
最後登錄: 2024-5-12
在線時間: 0 小時

跟尾3

發表於 2012-9-17 17:06:24 |只看該作者

這貼子你會收藏嗎

好友: 0
帖子: 359477
積分: 380195
最後登錄: 2024-5-12
在線時間: 0 小時

5^#

發表於 2012-9-17 17:08:28 |只看該作者

回答了那麼多，沒有加分了，鬱悶。。

好友: 0
帖子: 358988
積分: 379544
最後登錄: 2024-5-12
在線時間: 0 小時

6^#

發表於 2012-9-17 17:13:32 |只看該作者

好啊，謝樓主

我不是傻鴨

好友: 0
帖子: 353809
積分: 369274
最後登錄: 2024-5-12
在線時間: 0 小時

7^#

發表於 2012-9-17 17:16:18 |只看該作者

希望可以用些時間了~`

好友: 0
帖子: 354156
積分: 369361
最後登錄: 2024-5-12
在線時間: 0 小時

8^#

發表於 2012-9-17 17:41:33 |只看該作者

好文大家看，看完要回覆

我不是傻鴨

好友: 0
帖子: 353809
積分: 369274
最後登錄: 2024-5-12
在線時間: 0 小時

9^#

發表於 2012-9-18 04:37:59 |只看該作者

不怎麼好看

好友: 0
帖子: 353231
積分: 368436
最後登錄: 2024-5-12
在線時間: 0 小時

10^#

發表於 2012-9-18 05:56:58 |只看該作者

不錯，看看。

發新帖

Archiver|手機版|SAY討論區

GMT+8, 2024-5-12 18:17 , Processed in 0.871734 second(s), 15 queries .

Powered by go2tutor.com｜Discuz! X2

© 2024 Community Networks Limited

回頂部