路由器遭遇 DDoS 攻击：威胁与防范(图文)

1. 记一次路由器和 DNS 互相 DDoS

笔者在更改路由器上游 DNS 后出现了问题。起初，笔者用家人的笔记本访问学术网站困难，于是将电脑的 DNS 改成家里内网自建的，同时也将路由器的上游 DNS 改成了自建。然而，过了一会儿，笔记本上网速度变慢，甚至上不了网，但访问 IP 却秒开。经过诊断，发现所有的 DNS 查询都超时了。查看内网 DNS 日志后，惊讶地发现路由器竟然对自建 DNS 发起了 DDoS 攻击。原来，由于设置的 DNS 是 119.29.29.29，但查询的上游却是路由器，而路由器的上游又是自建 DNS，这就导致了一个死循环，无法查询到真正的解析。最终，在仔细翻看 AdGuardHome 的设置界面时，发现了问题所在。如果在这里不设置 Private rDNS，就默认为路由器 DNS，导致回环。随便填入一个可用的 DNS，这场 DDoS 也就结束了。

2. 敌意僵尸网络发动新的零日攻击，7000 多个路由器和摄像头受到影响

不法分子利用两个新的零日漏洞，将众多路由器和录像机纳入恶意僵尸网络用于 DDoS 攻击。这两个漏洞之前不为制造商和安全研究界所知，当受影响的设备使用默认管理凭据时，攻击者可远程执行恶意代码。其中一个漏洞存在于一款或多款型号的网络视频录像机中，另一个漏洞存在于为酒店和住宅制造的基于电源插座的无线局域网路由器。目前，Akamai 已经向两家制造商报告了这些漏洞，其中一家保证下个月将发布安全补丁。至少有 7000 个易受攻击的设备受到影响，实际数量可能更多。攻击者利用命令注入技术，先使用高危设备中配置的凭据进行身份验证，然后执行恶意代码。如果设备使用易于猜测的登录凭据，也会面临风险。Akamai 观察到的零日攻击中使用的代码与一家安全公司在 5 月份观察到的针对俄罗斯新闻网站的 DDoS 攻击几乎如出一辙。

3. “神秘网络攻击事件” 导致美国 60 万台路由器瘫痪

美国约 60 多万台小型办公室 / 家庭办公室（SOHO）路由器在不明身份的网络行为者发动的破坏性网络攻击后被瘫痪并离线，中断了用户对互联网的访问。此次事件影响了美国的互联网服务提供商 ISP，Lumen Technologies Black Lotus 实验室团队将其命名为 “Pumpkin Eclipse”，对 ActionTec T3200、ActionTec T3260 和 Sagemcom 三种路由器型号产生了较大影响。受感染的设备永久无法使用，需要进行硬件更换。这次停电意义重大，因为它导致受影响 ISP 的自治系统号码（ASN）中 49% 的调制解调器在这段时间内突然被移除。虽然 ISP 的名称未被披露，但有证据表明是 Windstream，该公司也在同一时间遭遇了停电，导致用户报告受影响的调制解调器一直显示红灯。此次攻击活动的罪魁祸首是 Chalubo 商品远程访问木马（RAT），它具有专为所有主要 SOHO/IoT 内核设计的有效载荷，预置执行 DDoS 攻击的功能，并且可以执行发送给机器人的任何 Lua 脚本。目前还不清楚黑客入侵路由器所使用的初始访问方法，但可能涉及滥用弱凭据或利用暴露的管理界面。在成功入侵后，黑客会利用感染链继续投放 shell 脚本，为加载器铺路。加载器的最终目的是从外部服务器检索并启动 Chalubo。该木马获取的破坏性 Lua 脚本模块尚不清楚。此次攻击仅针对单一的 ASN，提高了它被蓄意攻击的可能性，尽管其背后的动机尚未确定。

二、DDoS 攻击路由器的原理

1. DDoS 攻击定义及与传统 DoS 攻击的区别：

DDoS 攻击即分布式拒绝服务攻击，是在传统 DoS 攻击基础上产生的一种攻击方式。传统的 DoS 攻击一般是采用一对一的方式，利用网络协议和操作系统的一些缺陷，采用欺骗和伪装的策略来进行网络攻击，使目标服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。而 DDoS 攻击则是借助数百、甚至数千台被入侵后安装了攻击进程的主机同时发起攻击，利用更多的傀儡机来进攻，以比从前更大的规模来进攻受害者。

2. DDOS 攻击系统的四个部分：

DDoS 攻击系统主要由攻击者、控制傀儡、攻击傀儡和受害者四个部分组成。攻击者是发起攻击的源头，负责控制整个攻击过程。控制傀儡通常是被攻击者控制的一些主机，用于向攻击傀儡发布攻击指令。攻击傀儡则是实际执行攻击的主机，它们会向受害者发送大量的攻击数据包。受害者就是被攻击的目标，可能是服务器、路由器等网络设备。在攻击过程中，攻击者通过控制傀儡向攻击傀儡发送指令，攻击傀儡按照指令向受害者发起攻击，导致受害者的网络资源被大量消耗，无法正常提供服务。

3. 常见的 DDoS 攻击方式及原理：

• • Ip lood 攻击原理：此攻击以多个随机的源主机地址向目的主机（如路由器）发送超大量的随机或特定的 IP 包，造成目标主机不能处理其他正常的 IP 报文。

• • Syn Flood 攻击原理：依据 tcp 建立连接的三次握手。攻击者以多个随机的源主机地址向目标路由器发送 syn 包，而在收到目标路由器的 syn＋ack 包后并不回应，目标路由器就为这些源主机建立大量的连接队列，由于没有收到 ack 一直维护这些连接队列，造成资源的大量消耗而不能向正常的请求提供服务。

• • Udp 反射 Flood 攻击原理：有时被保护服务器（可能是与路由器相关的设备）也有同外部服务器进行 udp 交互的需求，攻击者就会利用此交互对被保护服务器进行 udp 反射放大攻击。此攻击在短时间那冒充被攻击地址向外部公用的服务器发送大量的 udp 请求包，外部服务器收到虚假的 udp 请求就会回复大量的回应包给被攻击服务器地址，造成目标主机（路由器）不能处理其他正常的交互流。

三、DDoS 攻击路由器的危害

1. 对网络的影响：

• • 占用网络带宽：DDoS 攻击路由器会通过发送大量的恶意数据包，占用网络带宽资源。这使得正常的网络流量无法正常传输，导致网络速度变慢甚至瘫痪。例如，当路由器遭受 DDoS 攻击时，用户可能会发现网页加载缓慢，视频卡顿，甚至无法连接到网络。

• • 降低服务器性能：攻击会使路由器的 CPU 和内存资源被大量消耗，导致设备无法正常运行，甚至崩溃。路由器作为网络中的关键设备，其性能下降会影响到整个网络的稳定性。比如，在攻击期间，路由器可能无法及时处理数据包的转发，导致数据丢失或延迟增加。

• • 影响业务稳定性和客户体验：DDoS 攻击可能导致网络服务中断，使连接到该路由器的设备无法访问互联网。这对于依赖网络的业务来说是致命的，如在线游戏、电子商务等。客户可能会因为无法正常使用服务而感到不满，从而影响企业的声誉和业务发展。例如，在游戏行业，DDoS 攻击可能导致玩家掉线、游戏卡顿，影响游戏体验，甚至导致玩家流失。

2. 对企业的经济和声誉影响：

• • 导致经济损失：企业需要投入大量的资金来应对 DDoS 攻击，包括购买防御设备、聘请安全专家、支付技术支持费用等。此外，如果企业的业务因为攻击而瘫痪，可能会导致营收的下降。例如，一家电子商务企业在遭受 DDoS 攻击期间，可能无法处理订单，导致销售额下降。同时，企业还需要花费资金来恢复被攻击的系统，这也会增加成本。

• • 声誉受损、客户流失：DDoS 攻击不仅会对企业的业务产生影响，还会对企业的声誉造成极大的损害。客户对企业的安全性和稳定性产生怀疑，进而影响企业的品牌信誉和声誉。这可能导致客户流失，进而影响企业的长期发展。根据卡巴斯基实验室和 B2B International 进行的研究，有 37% 的 DDoS 攻击会破坏企业的信誉，造成深远的客户信任危害。丢失客户和遭受信誉损失同样也是企业最害怕的 DDoS 攻击后果。例如，一家金融机构遭受 DDoS 攻击后，客户可能会担心自己的资金安全，从而选择其他更安全的金融机构。DDoS 攻击可能损害企业品牌的四种方式也进一步说明了攻击对企业声誉的影响。当攻击导致网站中断、业务系统变慢、数据泄露等情况发生时，客户的体验会受到很大影响，企业的声誉也会受损。

四、如何防范 DDoS 攻击路由器

1. 定期扫描网络主节点，清查安全漏洞：加强对骨干节点计算机的安全防护。要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。

2. 在骨干节点配置防火墙：抵御攻击，可将攻击导向牺牲主机。防火墙本身能抵御 DDoS 攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是 linux 以及 unix 等漏洞少和天生防范攻击优秀的系统。

3. 用足够的机器承受黑客攻击：理想但投入资金多，不适合中小企业。这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿了。不过此方法需要投入的资金比较多，平时大多数设备处于空闲状态，和中小企业网络实际运行情况不相符。

4. 充分利用网络设备保护网络资源：如路由器、防火墙等负载均衡设备。所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备，这样当一台路由器被攻击死机时，另一台将马上工作。从而最大程度的削减了 DDoS 的攻击。

5. 过滤不必要的服务和端口：在路由器上过滤假 IP，只开放服务端口。过滤不必要的服务和端口，即在路由器上过滤假 IP…… 只开放服务端口成为很多服务器的流行做法，例如 WWW 服务器那么只开放 80 而将其他所有端口关闭或在防火墙上做阻止策略。

6. 检查访问者的来源：使用反向路由器查询方法检查 IP 地址真实性。使用 Unicast Reverse Path Forwarding 等通过反向路由器查询的方法检查访问者的 IP 地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假 IP 地址方式迷惑用户，很难查出它来自何处。因此，利用 Unicast Reverse Path Forwarding 可减少假 IP 地址的出现，有助于提高网络安全性。

7. 限制 SYN/ICMP 流量：配置最大流量限制，防范 DOS 和 DDoS 攻击。用户应在路由器上配置 SYN/ICMP 的最大流量来限制 SYN/ICMP 封包所能占有的最高频宽，这样，当出现大量的超过所限定的 SYN/ICMP 流量时，说明不是正常的网络访问，而是有黑客入侵。早期通过限制 SYN/ICMP 流量是最好的防范 DOS 的方法，虽然该方法对于 DDoS 效果不太明显了，不过仍然能够起到一定的作用。

8. 使用第三方防御：如高防 ip、高防 dns、高防 cdn、ddos 云盾等。当用户自身硬件设备不能满足抵御需求，选用第三方的清洗，便是一种经济、便捷的防御手段。免去数据迁移。现在常见的第三方防御有，高防 ip、高防 dns、高防 cdn、ddos 云盾。对比以上的几种第三防护，相对来说高仿 ip 是防御比较全面，通过服务器集群防御、清洗流量、隐藏源站 ip。集成了云 waf 功能。能抵御 ddos 混合攻击，覆盖 OSI 七层模型，进行防御。

9. 对路由器设置特定的 IP 地址：锁定路由器，防止从网络直接访问。用户可以通过手动配置计算机以在需要连接到路由器时，通过路由器的动态主机配置协议（DHCP）自动使用尚未分配给 WLAN 上的其他设备的特定 IP 地址。用户还应该看看他们是否可以将他们的路由器的 LAN IP 地址更改为 DHCP 地址池中的第一个地址以外的地址。这样就把路由器从整个网络分开，这样做将有助于保护路由器免受跨站点请求伪造（CSRF）的攻击。

10. 不要使用无线安全设置：WPS 存在安全漏洞，易被攻击。对于一般用户，无线安全设置（WPS）提供了一个相当简便的加密方法。但任何容易设置的东西同时也容易遭到攻击。美国计算机应急准备小组 (US - CERT) 早在 2012 年就把 WPS 的安全漏洞公之于众了。目前还没有针对 WPS 缺陷的通用补丁，除非设备生产商把所有的设备进行更新。

11. 考虑网络分段和 MAC 地址过滤：控制上网权限，将物联网设备与其他部分隔离，列入白名单加强安全。网络分段是和无线 MAC 地址过滤功都能有效控制无线网络内用户的上网权限，实施分离的 VLAN 就可以将物联网设备与其他部分相隔离。如果攻击者侵入并访问 VLAN，则在大多数情况下，是不对影响的其他连网设备的。为了进一步加强安全，用户可以利用每个计算设备的媒体访问控制（MAC）地址或其唯一的硬编码标识符将该设备列入白名单并批准其对无线网的访问。这样那些没有访问权限的设备就不会连接到路由器了。

12. 端口转发和 IP 过滤结合使用：设置端口转发，防止设备自动连接，结合防火墙保护本地网络。许多家庭路由器都配有防火墙，以便阻止互联网上的所有设备与本地网络上的设备连接。路由器和计算设备通常具有通用即插即用（UPnP）的特征。但并不是用户都希望他们的设备被自动连接，这个时候用户可以设置端口转发。

 

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。