我试图了解我的家用物联网设备的漏洞。据我了解,去年的大型DDoS是由受攻击的IoT设备使用通用或默认用户名和密码造成的。

我所有的IoT设备都位于防火墙后面(如恒温器-Honeywell)。

它们连接到Internet,但仅传出。我没有端口转发设置。

如果所有IoT设备都在路由器的防火墙后面,并且我没有任何端口转发到这些设备,那么使用默认用户名和密码会有什么风险?

#1 楼

您听说过的病毒可能是Mirai。

我们最近遇到了一些问题,可能会有助于您阅读有关上下文的信息,因为您的问题涵盖了以下几个方面:


如何检查我的IoT设备是否感染了Mirai蠕虫?
确保小型家庭自动化设置的安全性


从理论上讲,如果路由器阻止了所有传入的连接,这使得Mirai进入和感染设备的难度大大增加。 Mirai公开可用的源代码似乎表明它只是将数据包发送到尽可能多的IP,如果有答复,它将随机尝试它知道的默认密码。如果您有兴趣,我会事先写一个答案。

我担心的是,如果Mirai确实设法通过一个配置错误或不安全的设备进入您的家庭网络,它将使所有您的防火墙和安全性毫无用处。 Mirai要检查的IP范围之一是192.168.0.0/16(路由器的专用网络),因此Mirai几乎可以肯定会传播到所有易受攻击的设备中。

阻止Mirai攻击您的网络的解决方案很简单-将每个设备的密码更改为默认值,然后重新启动设备。如果这样做,即使您的设备可以通过Internet访问,Mirai也不会发起攻击(并不是说,如果不需要的话,使事物可访问是个好主意!)。

有一个此处列出易受攻击的设备,或者您可以运行Incapsula的扫描仪。请注意,这些将仅检查Mirai的漏洞-其他病毒的运行方式可能不同,遵循“保护小型家庭自动化设置”中的建议可能是最好的选择。

#2 楼

@ Aurora0001已经解决了大问题:毫无疑问,您听说过Mirai攻击。

正如他所说,将您的密码更改为默认值-而不是显而易见的。下面列出了Mirai打算使用的近60个用户名和密码:

666666  666666
888888  888888
admin   (none)
admin   1111
admin   1111111
admin   1234
admin   12345
admin   123456
admin   54321
admin   7ujMko0admin
admin   admin
admin   admin1234
admin   meinsm
admin   pass
admin   password
admin   smcadmin
admin1  password
administrator   1234
Administrator   admin
guest   12345
guest   guest
root    (none)
root    00000000
root    1111
root    1234
root    12345
root    123456
root    54321
root    666666
root    7ujMko0admin
root    7ujMko0vizxv
root    888888
root    admin
root    anko
root    default
root    dreambox
root    hi3518
root    ikwb
root    juantech
root    jvbzd
root    klv123
root    klv1234
root    pass
root    password
root    realtek
root    root
root    system
root    user
root    vizxv
root    xc3511
root    xmhdipc
root    zlxx.
root    Zte521
service service
supervisor  supervisor
support support
tech    tech
ubnt    ubnt
user    user


(源代码)

所以绝对要更改用户名您所有设备上的密码和密码-安全可靠!

#3 楼

物联网的问题是,您经常无法或不会获得设备更新,或者无法对设备进行有意义的安全更改。如何保护网络安全是一个冗长的讨论,涉及许多选择。该专业称为InfoSec(信息安全)。

GRC的史蒂夫·吉布森(Steve Gibson)建议使用“ 3笨路由器”(PDF)方法(在他的播客的第545集中)来保护您的网络。如果您不是InfoSec专业人员或业余爱好者,则应从此入手。

如果您不是InfoSec专业人员或业余爱好者,则可以研究更复杂的方法。以下是一些随机的入门指南:


禁用UPnP(GRC,HowToGeek,MakeUseOf)
运行pfSense(或类似的)防火墙
放入IoT将设备连接到单独的VLAN(类似于3个哑路由器)
配置pfSense框,以通过商业VPN(Nord VPN,PIA,pfSense)路由所有流量。如果为此使用SOHO路由器,则会遇到多个轻量级用户的问题。
配置防火墙以禁止对物联网设备进行Internet访问。不过,这可能会破坏“ IoT”中的“ I”。
使用您的VPN的DNS服务器。 (Torrentfreak 2017版本)
使用OpenDNS



#4 楼



除了上面非常好的讨论之外,您还可以成为Insecure.Org的旗舰工具nmap开头的安全专家,从而可以使用简单的命令对目标设备(192.168.1.1)进行基本扫描:

[nmap -A -T4 192.168.1.1]

可以在Nmap备忘单页面上找到更多详细信息,示例和提示,以了解如何扫描网络。

但是,请扫描您网络中的每个IoT设备,并在打开了可疑端口的情况下重新检查每个设备。