無(wú)線協(xié)議漏洞
 

早些年對(duì)路由器的攻擊方式大多基于無(wú)線協(xié)議中的漏洞。早些年無(wú)線路由使用的是WEP加密系統(tǒng)，也就是“有線等效加密”，但是與很多存在問(wèn)題的加密算法一樣，WEP加密也是用了RC4的加密方式。

2001年8月，F(xiàn)luhrer等人發(fā)表了針對(duì)WEP的密碼分析，利用RC4加解密和IV的使用方式的特性，結(jié)果在網(wǎng)絡(luò)上偷聽(tīng)?zhēng)讉€(gè)小時(shí)之后，就可以把RC4的鑰匙破解出來(lái)。這個(gè)攻擊方式很快就實(shí)作出來(lái)了，而自動(dòng)化的工具也釋出了，只要用個(gè)人電腦、現(xiàn)成的硬件和免費(fèi)可得的軟件就能進(jìn)行這種攻擊。因此WEP在2003年被實(shí)現(xiàn)大部分IEEE 802.11i標(biāo)準(zhǔn)的WPA(Wi-Fi Protected Access)淘汰。
 

WPA相比WEP提升了部分安全性，WPA 的設(shè)計(jì)中要用到一個(gè) 802.1X 認(rèn)證服務(wù)器來(lái)散布不同的鑰匙給各個(gè)用戶;不過(guò)它也可以用在較不保險(xiǎn)的 “pre-shared key” (PSK) 模式。Wi-Fi 聯(lián)盟把這個(gè)使用 pre-shared key 的版本叫做 WPA 個(gè)人版或 WPA2 個(gè)人版，用 802.1X 認(rèn)證的版本叫做 WPA 企業(yè)版或 WPA2 企業(yè)版。
 

WPA 的數(shù)據(jù)會(huì)以一個(gè) 128 位元的鑰匙和一個(gè) 48 位元的初向量 (IV) 的 RC4 stream cipher 來(lái)加密。WPA 超越 WEP 的主要改進(jìn)就是在使用中可以動(dòng)態(tài)改變鑰匙的“臨時(shí)鑰匙完整性協(xié)定”(Temporal Key Integrity Protocol，TKIP)，加上更長(zhǎng)的初向量，這可以擊敗知名的針對(duì) WEP 的金鑰擷取攻擊。
 

除了認(rèn)證和加密外，WPA 對(duì)于數(shù)據(jù)的完整性也提供了巨大的改進(jìn)。WEP 所使用的 CRC(循環(huán)冗余校驗(yàn))先天就不安全，在不知道 WEP 鑰匙的情況下，要篡改所載資料和對(duì)應(yīng)的 CRC 是可能的，而 WPA 使用了稱(chēng)為 “Michael” 的更安全的訊息認(rèn)證碼(在 WPA 中叫做訊息完整性查核，MIC)。
 

2004年，WPA由實(shí)現(xiàn)完整IEEE 802.11i標(biāo)準(zhǔn)的WPA2所取代。WPA2相比WPA比較重要的安全改進(jìn)是使用了AES而非原來(lái)的RC4加密方式。
 

事實(shí)上，無(wú)論是WPA還是WPA2都有相應(yīng)的破解方法，具體就是使用DEAUTH攻擊使已經(jīng)連接的客戶端斷開(kāi)并重新連接，以產(chǎn)生握手包，之后再用字典進(jìn)行破解，但是既然使用到了字典，成功率就相當(dāng)不確定了。
 

2011年12月28日，安全專(zhuān)家Stefan Viehbock曝出WPS(Wi-Fi保護(hù)設(shè)置)功能的一個(gè)重大安全漏洞，此漏洞允許遠(yuǎn)程攻擊者使用暴力攻擊在幾小時(shí)內(nèi)就能獲取WPS的PIN碼和WPA/WPA2的PSK碼。pin碼是一個(gè)8位的整數(shù)，破解過(guò)程時(shí)間比較短。WPS PIN碼的第8位數(shù)是一個(gè)校驗(yàn)和，因此黑客只需計(jì)算前7位數(shù)。另外前7位中的前四位和后三位分開(kāi)認(rèn)證。所以破解pin碼最多只需要1.1萬(wàn)次嘗試，順利的情況下在3小時(shí)左右。WPS認(rèn)證流程如下圖：
 

然而，現(xiàn)實(shí)情況是很多路由器會(huì)對(duì)窮舉PIN進(jìn)行限制，每次猜解的間隔時(shí)間會(huì)越來(lái)越長(zhǎng)，因此小編之前做過(guò)多次嘗試從未成功。
 

由于攻擊方式的局限性，以上所述的漏洞大都已經(jīng)成為歷史，現(xiàn)如今對(duì)路由器的攻擊大多轉(zhuǎn)為針對(duì)特定路由器漏洞的攻擊，并且從對(duì)無(wú)線協(xié)議弱點(diǎn)的攻擊轉(zhuǎn)向?qū)β酚善鞴碳?、Web界面的攻擊。
 

針對(duì)路由器固件的攻擊
 

近年來(lái)有不少針對(duì)路由器的攻擊，很多知名廠商紛紛中招，并且往往連累的是一個(gè)系列的產(chǎn)品，這些路由器爆出的漏洞中很多是廠商因維護(hù)需要而開(kāi)設(shè)的后門(mén)，有一些則是驗(yàn)證機(jī)制存在問(wèn)題，被輕易繞過(guò)。
 

2016年10月，華碩路由器被P2P僵尸網(wǎng)絡(luò)程序TheMoon感染。華碩旗下RT-AC66U、RT-N66U等多款路由器中使用的ASUS WRT的infosvr中的common.c文件中存在安全漏洞，該漏洞源于程序沒(méi)有正確檢查請(qǐng)求的MAC地址。遠(yuǎn)程攻擊者可通過(guò)向UDP 9999端口發(fā)送NET_CMD_ID_MANU_CMD數(shù)據(jù)包利用該漏洞繞過(guò)身份驗(yàn)證，執(zhí)行任意命令。
 

同月，D-Link DWR-932B LTE路由器中發(fā)現(xiàn)多個(gè)后門(mén)。研究人員發(fā)現(xiàn)了D-Link無(wú)線路由器會(huì)默認(rèn)使用兩個(gè)硬編碼的秘密賬戶(admin:admin and root:1234)運(yùn)行Telnet和SSH服務(wù)。攻擊者可以輕松地用shell命令行接入這些脆弱的路由器，然后就可以進(jìn)行中間人攻擊，監(jiān)控網(wǎng)絡(luò)流量，運(yùn)行惡意腳本更改路由器設(shè)置。而如果將字符串”HELODBG”作為硬編碼命令發(fā)送到UDP端口39889就可以利用這個(gè)后門(mén)，就可以在不經(jīng)過(guò)任何驗(yàn)證的情況下在路由器上啟動(dòng)一個(gè)root權(quán)限的Telnet。
 

2016年12月，Netgear多個(gè)型號(hào)路由器曝遠(yuǎn)程任意命令注入漏洞，攻擊者只需要構(gòu)造網(wǎng)站，在網(wǎng)址結(jié)尾加上命令，在未授權(quán)得情況下就能以Root權(quán)限執(zhí)行任意命令。
 

2017年2月，大量Netgear路由器被曝存在密碼繞過(guò)漏洞。用戶試圖訪問(wèn)路由器的web控制界面時(shí)，需要進(jìn)行身份驗(yàn)證;如果身份驗(yàn)證被取消，同時(shí)密碼恢復(fù)功能被禁用了，用戶就會(huì)被重定向到一個(gè)頁(yè)面，而這個(gè)頁(yè)面會(huì)暴露密碼恢復(fù)的token。用戶提供了這個(gè)token就能獲取到路由器管理員密碼。
 

2017年4月，數(shù)十款Linksys路由器曝高危漏洞，可致遠(yuǎn)程命令執(zhí)行及敏感信息泄露。攻擊者就可以在路由器操作系統(tǒng)上以root權(quán)限注入執(zhí)行命令。黑客可能會(huì)創(chuàng)建后門(mén)賬號(hào)以長(zhǎng)期控制路由器。后門(mén)賬號(hào)不會(huì)在web管理界面顯示，并且不能被管理員賬號(hào)刪除。
 

TheMoon僵尸程序的攻擊流量
 

盡管以上提到的案例不多，但這些廠商在路由器市場(chǎng)占到了半壁江山，尤其是Netgear與Linksys，根據(jù)NPD Monthly的數(shù)據(jù)顯示，NETGEAR與LINKSYS這兩家美國(guó)老牌路由器廠商成為了該市場(chǎng)的第一與第二名，并且市場(chǎng)份額超過(guò)了60%。而來(lái)自亞太地區(qū)的D-LINK等廠商則分別領(lǐng)導(dǎo)美國(guó)市場(chǎng)的40%份額。
 

入侵路由器后，黑客便控制了受害者的上網(wǎng)入口，之后能夠進(jìn)行的攻擊超乎想象。有些黑客會(huì)修改DNS，將它改為惡意DNS，從而可以監(jiān)控流量，植入廣告，或者進(jìn)行惡意重定向，誘導(dǎo)用戶下載惡意軟件;而有一些黑客則會(huì)利用路由器進(jìn)行更大規(guī)模的DDoS攻擊，比如TheMoon僵尸程序、針對(duì)IoT設(shè)備的僵尸網(wǎng)絡(luò)Mirai。但實(shí)際上，黑客能做的遠(yuǎn)不止這些，如果要進(jìn)行針對(duì)性的攻擊，黑客在內(nèi)網(wǎng)中進(jìn)一步進(jìn)行滲透。
 

Mirai僵尸網(wǎng)絡(luò)影響了全球范圍內(nèi)的大量主機(jī)
 

而直到現(xiàn)在，仍然有大量的路由器尚未修復(fù)漏洞，小編簡(jiǎn)單用shodan的搜索結(jié)果進(jìn)行測(cè)試，在20個(gè)搜索結(jié)果中就找到了一臺(tái)存在漏洞的Netgear R7000路由器，要注意這是前兩頁(yè)的搜索結(jié)果，可想而知肯定有大量黑客都已經(jīng)進(jìn)行過(guò)對(duì)這些結(jié)果的檢查。
 

之所以網(wǎng)絡(luò)中仍然存在大量漏洞的路由原因就是廠商無(wú)法進(jìn)行及時(shí)的推送，路由器雖然是網(wǎng)絡(luò)的入口，卻沒(méi)有一種完善的固件更新機(jī)制能讓用戶一直使用到最新的固件，這可能是廠商亟需解決的問(wèn)題。