2024-03-28 分類: 網站建設
雖然 UPnP 在將新設備添加到本地網絡時無需進行大量設置,但此協(xié)議可能會給您的數(shù)據(jù)和操作帶來相當大的風險??焖龠B接設備的能力很方便,但 UPnP 的速度往往是以網絡安全為代價的。本文介紹了 UPnP(通用即插即用)以及與此網絡協(xié)議相關的安全風險。繼續(xù)閱讀以了解此協(xié)議的工作原理,并了解黑客如何利用 UPnP 繞過防火墻并創(chuàng)建進入目標網絡的入口點。
什么是 UPnP?
UPnP(通用即插即用)是一種網絡協(xié)議,它使設備能夠相互發(fā)現(xiàn)并連接,而無需手動配置或用戶干預。該協(xié)議自動化了同一網絡上設備之間識別和通信所需的所有步驟。
UPnP 的主要目標是提供一種將新硬件添加和連接到本地網絡的自動化方式。該協(xié)議使設備能夠通過以下方式加入網絡:
設置設備的 IP 地址。 將設備的名稱和功能廣播到網絡的其余部分。 通知新硬件有關其他連接設備的功能。 使網絡設備能夠串聯(lián)通信和運行。 UPnP 用于什么?UPnP 的一些最常見用例包括:
將新打印機連接到家庭中的每臺 PC 和平板電腦。 將游戲機連接到游戲服務器以玩和流式傳輸在線游戲。 將內容從計算機流式傳輸?shù)街悄茈娨暋?將無線揚聲器連接到手機。 連接到家庭監(jiān)控系統(tǒng)以在您離開時密切關注房屋。 從移動設備(智能照明、互聯(lián)網控制的恒溫器、智能鎖等)連接和遠程控制物聯(lián)網系統(tǒng)。雖然方便,但 UPnP 協(xié)議并非沒有風險。如果該協(xié)議允許具有嚴重漏洞或惡意軟件的設備加入,則熟練的黑客可以創(chuàng)建進入本地網絡的永久入口點。這種安全風險就是為什么 UPnP 通常僅在住宅設置而不是小型企業(yè)或企業(yè)網絡上啟用的原因。
UPnP 如何工作?UPnP 使應用程序和設備能夠自動打開和關閉端口以連接到 LAN 網絡。此過程(稱為端口轉發(fā)或端口映射)發(fā)生在路由器上,并且可以允許 Web 流量從外部源通過內部網絡。
UPnP 通過四個標準實現(xiàn)自動的設備到設備端口轉發(fā):
互聯(lián)網協(xié)議套件 (TCP/IP)。 超文本傳輸??協(xié)議 (HTTP)。 可擴展標記語言 (XML)。 簡單對象訪問協(xié)議 (?SOAP?)。由于該協(xié)議依賴于通用網絡標準,UPnP 不需要任何額外的驅動程序或技術即可工作。市場上的大多數(shù)設備都可以參與 UPnP,無論其操作系統(tǒng)、編程語言或制造商如何。
從用戶的角度來看,UPnP 是一個簡單的過程。您將新設備帶回家,將其連接到網絡,您的其他設備可以立即與最新的硬件進行通信。但是,該過程在后臺要復雜得多,每當您設置新設備時,UPnP 都會經歷六個階段:
尋址。 發(fā)現(xiàn)。 描述。 控制。 賽事。 介紹。該協(xié)議依賴于客戶端-服務器模型,其中 UPnP 控制點(客戶端)搜索提供服務的 UPnP 服務器(設備)。下面是對 UPnP 協(xié)議每個階段發(fā)生的情況的詳細介紹。
尋址
新設備必須具有唯一的 IP 地址才能成為網絡的一部分,因此 UPnP 可以:
從動態(tài)主機配置協(xié)議 (DHCP) 服務器請求新設備的 IP 地址。 使設備能夠使用稱為 AutoIP 的進程自行分配 IP(如果沒有 DHCP 服務器)。如果設備在 DHCP 事務期間(例如,通過DNS 服務器或通過 DNS 轉發(fā))獲得域名,則設備將在網絡操作中使用該名稱。
并非所有物聯(lián)網設備都需要 IP 地址,例如聯(lián)網咖啡壺、恒溫器和燈泡。相反,這些設備通過藍牙或射頻識別 (RFID) 等技術與網絡進行通信。
發(fā)現(xiàn)該設備使用簡單服務發(fā)現(xiàn)協(xié)議 (SSDP) 將其詳細信息呈現(xiàn)給網絡控制點。新設備發(fā)送 SSDP 活動消息,其中包含以下基本細節(jié):
設備類型。 標識符。 指針(網絡位置)。根據(jù) UPnP 設置,網絡控制點可以主動搜索感興趣的設備或被動收聽 SSDP 消息。
描述一旦控制點發(fā)現(xiàn)設備,網絡必須在與新硬件交互之前了解其功能。設備發(fā)送詳細描述,其中包括:
有關供應商的信息。 型號名稱。 序列號。 任何服務的列表。 供應商特定網站的演示 URL(可選)。設備以 XML 格式發(fā)送這些消息,網絡創(chuàng)建一個設備描述文檔,其中列出了用于控制、事件和服務描述的 URL。每個服務描述還包括服務可以響應的命令和每個操作的參數(shù)。
控制在控制點開始與發(fā)現(xiàn)的設備交互之前,網絡會發(fā)送消息以調用服務上的操作。這些控制消息也是 XML 格式并使用簡單對象訪問協(xié)議 (SOAP)。
事件通知(Eventing)UPnP 有一個稱為通用事件通知架構 (GENA) 的協(xié)議,該協(xié)議使控制點能夠將自己注冊為服務以獲取設備狀態(tài)更改的通知。
每當狀態(tài)變量發(fā)生變化時,該服務都會向所有已注冊的控制點發(fā)送事件通知。這些簡單的事件消息采用 XML 格式,僅包含狀態(tài)變量及其當前值。
介紹如果新設備在描述階段提供了一個演示 URL,控制點可以從這個 URL 中檢索一個頁面并將其加載到 Web 瀏覽器中。在某些情況下,用戶可以通過瀏覽器控制設備或查看其狀態(tài)。
用戶可以通過演示 URL 與設備交互的程度取決于網頁和設備的特定功能。
UPnP 安全嗎?它有哪些安全風險?
盡管 UPnP 有很多好處,但該協(xié)議有兩個主要的安全風險:
默認情況下,UPnP 不對設備進行身份驗證,只是假設每個設備都是值得信賴的。 UPnP 允許家庭網絡之外的實體在路由器中戳洞并訪問本地設備,而無需通過防火墻。由于 UPnP 使流量能夠繞過安全屏障,因此如果受惡意軟件感染的設備設法連接到網絡,該協(xié)議可能會導致各種安全問題。
另一個安全問題是 UPnP沒有正式實施。不同的路由器有不同的應用程序,許多部署都帶有黑客可以利用的獨特的 UPnP 相關錯誤。
不幸的是,許多路由器制造商默認啟用 UPnP,使基于 LAN 的設備可以從 WAN 中發(fā)現(xiàn)。由于端口轉發(fā)中與路由器相關的缺陷,發(fā)生了幾起引人注目的基于 UPnP 的攻擊,例如:
當受害者訪問運行特定 Flash 小程序的網站時,F(xiàn)lash UPnP 攻擊開始,該小程序向故障路由器發(fā)送請求以轉發(fā)端口。 Mirai 攻擊背后的黑客攻擊了由于啟用了 UPnP 而暴露的開放 telnet 端口的路由器。一旦他們發(fā)現(xiàn)一個易受攻擊的路由器,黑客就會使用憑證填充來訪問網絡并在所有本地設備上安裝 Mirai 惡意軟件。 CallStranger 漏洞也是基于路由器的 UPnP 漏洞的結果,該漏洞可能使用戶面臨數(shù)據(jù)丟失的風險。 黑客如何利用 UPnP?黑客以不同方式利用過度信任的 UPnP 協(xié)議。大多數(shù)漏洞利用需要黑客首先以某種方式(例如,通過暴力破解或網絡釣魚電子郵件)破壞網絡,以便在系統(tǒng)上安裝惡意軟件。在惡意軟件注入之后,攻擊可能如下所示:
惡意程序偽裝成 LAN 設備(例如 Xbox 或智能電視)。 該程序向您的路由器發(fā)送一個 UPnP 請求。 路由器打開端口并允許病毒或蠕蟲在目標網絡上安裝(即使防火墻在正常情況下會阻止此類流量)。 黑客在您的網絡中安裝了后門,可以安裝任何程序或運行他們選擇的任何腳本。來自 UPnP 缺陷的后門可能會在幾個月內未被發(fā)現(xiàn),因此犯罪分子有足夠的時間來實現(xiàn)他們的目標。最常見的目標是:
將惡意軟件傳播到其他設備。 竊取敏感數(shù)據(jù)并導致數(shù)據(jù)泄露。 加密靜態(tài)數(shù)據(jù)并啟動勒索軟件攻擊。 遠程訪問其他網絡設備(最常見的是控制或劫持物聯(lián)網設備)。 將路由器用作其他網絡犯罪活動的掩護或代理(通常將設備變成機器人以進行分布式拒絕服務 (DDoS) 攻擊)。 修改管理憑據(jù)。 更改 PPP、IP 或 Wi-Fi 設置。 監(jiān)視網絡活動并將信息轉發(fā)給黑客。 更改 DNS 服務器設置(通常加載誘餌憑據(jù)竊取網站而不是合法網站)。 模仿具有高權限的設備橫向移動并到達其他網段。 您應該禁用 UPnP 嗎?如果安全是您的首要任務,則沒有真正的理由讓 UPnP 處于開啟狀態(tài)。區(qū)分惡意和合法 UPnP 請求太困難了,這就是為什么具有安全意識的用戶通常將協(xié)議作為網絡安全最佳實踐保持關閉。
如果端口轉發(fā)是您的用例的基本要求(例如,如果您有 VoIP 程序、點對點應用程序、游戲服務器等),比 UPnP 更安全的選擇是手動轉發(fā)每個端口。手動端口轉發(fā)可確保您控制每個連接,并且不會冒著惡意行為者或程序利用 UPnP 幕后自動化的風險。
依賴 UPnP 是明智選擇的唯一方案是運行沒有敏感數(shù)據(jù)或系統(tǒng)的簡單家庭網絡。但是,仍然存在風險,您需要保持與 UPnP 相關的整個攻擊面為最新狀態(tài),包括:
路由器。 防火墻。 防病毒和惡意軟件。 所有連接的物聯(lián)網設備。如果您關閉 UPnP,請記住您的網絡將不再自動打開 LAN 上的端口。路由器甚至會忽略合法請求,因此您需要手動為每個連接設置端口轉發(fā)規(guī)則。
另一個更安全的選擇是使用稱為UPnP-UP(通用即插即用 - 用戶配置文件)的非標準解決方案。此版本具有原始協(xié)議缺少的用戶身份驗證擴展。不幸的是,雖然 UPnP-UP 比協(xié)議的標準版本安全得多,但并非所有設備都支持 UPnP-UP。
不要優(yōu)先考慮便利性而不是安全性
雖然 UPnP 滿足了真正的需求,但該協(xié)議存在嚴重的設計缺陷,可能會危及網絡上的每臺設備。除非 UPnP 對您的操作至關重要,否則您應該關閉該協(xié)議。路由器將忽略所有傳入請求,您需要手動設置新設備,但您的??安全值得付出額外努力。
網站名稱:UPnP用于什么?UPnP如何工作?
標題來源:http://jinyejixie.com/news21/322121.html
成都網站建設公司_創(chuàng)新互聯(lián),為您提供品牌網站建設、移動網站建設、搜索引擎優(yōu)化、品牌網站制作、網站收錄、自適應網站
聲明:本網站發(fā)布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內容