什么是 UPnP？它有安全风险吗？

让我们从 UPnP 定义开始。

通用即插即用 (UPnP) 是一种自动连接本地网络上的设备和应用程序并让它们通过打开和关闭端口相互通信的协议。此技术有助于网络内的内部和外部连接，因为它不需要手动创建端口（跨设备传输数据的通道）。

为了更好地理解 UPnP 的含义，我们来讨论一下端口转发 – 由 UPnP 协议自动化的技术。

什么是端口转发？

端口转发是一种将连接到家庭网络的设备或服务器与远程设备或应用程序连接的方法。当您在路由器上打开端口时，您可以使用它来传输和接收数据，而无需应用一组标准的安全协议。简而言之，端口转发“告诉”路由器的网络访问传输 (NAT) 防火墙（通常会阻止未经验证的连接）允许通过端口访问您的局域网 (LAN)。

另请阅读：谢因安全吗？风险评估和可行的建议

人们经常使用端口转发来远程访问其智能家居设备和物联网系统。它也是在线游戏和媒体流的流行解决方案。但是，您需要一些技术知识才能手动设置端口。因此，为了简化此过程，许多人转向 UPnP 端口转发。

UPnP 是一种零配置协议，不涉及任何手动设置。相反，系统会自动发现并连接网络上的设备。例如，这种方法适用于轻松地将多个设备连接到打印机、控制台或智能电视。

现在，让我们更深入地研究这个过程，了解它是如何工作的。

UPnP 有什么作用？

简而言之，当新设备或应用程序引入您的本地网络时，UPnP 会立即将其连接到其他设备。该过程如下所示：

1. 一旦新设备连接到网络，它就会收到一个 IP 地址。
2. 设备的 IP 和其他信息与其他连接的设备共享。
3. 该网络涵盖了新设备的主要功能和服务。
4. 此时，其他设备可以与新设备交互，通过网络接收和发送数据。

便捷性和易用性使 UPnP 成为涵盖各种用户目标的流行解决方案。

UPnP 有何用途？

以下是您可能想要在路由器上启用 UPnP 的一些常见原因。

远程访问智能家居和物联网设备

先进的智能家居和物联网系统通常需要与其他设备连接，从智能手机和电脑到智能手表和家用电器。 UPnP 在各种小工具之间建立快速交互。此外，您出门在外时还可以远程访问婴儿摄像头、门铃或家庭安全系统。

在游戏机上串流在线游戏

自动端口转发是通过 Xbox 或 Nintendo Switch 等主机访问在线游戏的便捷方式。借助 UPnP，您无需为每个设备和游戏手动设置单独的端口。此外，该技术还允许您远程与其他玩家分享您的游戏体验。

连接视频流设备

如果您拥有智能电视、Android TV、Apple TV 或 Fire TV 等流媒体设备，将它们连接到您的笔记本电脑或计算机可能需要付出巨大的努力。 UPnP 简化了此过程，让您可以在连接到家庭网络的任何首选设备上流媒体。

在这一点上，对于那些在单个网络中操作多个设备的人来说，UPnP 可能看起来是一个非常有益的解决方案。但不要着急。虽然方便，但 UPnP 也对您的网络安全构成重大威胁。让我们更详细地探讨这些潜在的陷阱。

与 UPnP 相关的安全风险

如上所述，UPnP 不仅仅适用于您的本地网络。它还可以远程访问，使其成为黑客的热门目标。问题是自动转发的端口会错过身份验证和授权协议。因此，它们使您的网络容易受到未经授权的访问。由于 UPnP 是许多路由器的默认功能，因此它为网络犯罪分子留下了一些空间，可以突破路由器的防火墙并危及您的安全。

例如，黑客可以对您的路由器执行未经验证的连接，以感染其他设备、窃取您的数据或恶意使用您的网络。让我们更详细地探讨这些风险。

• 未经授权访问您的设备。假设您的网络因 UPnP 相关的网络攻击而被利用。在这种情况下，黑客可能会控制任何连接的设备，从家庭安全系统到笔记本电脑或智能手机。
• 数据盗窃。黑客可以从您的设备窃取敏感数据，例如银行帐户或 PayPal 凭据。或者，您可能会成为受害者勒索软件– 一种允许网络犯罪分子加密您的个人信息并索要赎金的恶意技术。
• 恶意软件攻击。威胁参与者可以在您的连接设备上安装恶意软件。这些恶意程序可能会在您不知情的情况下秘密地在您的系统中驻留数月。
• 通过您的网络进行的恶意活动。黑客可以利用您的网络进行非法活动，例如网络钓鱼攻击和分布式拒绝服务 (DDoS) 攻击。他们还可以利用您的网络在其他用户的设备上传播病毒。

仍然不确定这些风险是否真实？以下是基于 UPnP 漏洞的大规模网络攻击的几个示例。

UPnP 相关网络攻击的现实示例

• Flash UPnP 攻击。关于 UPnP 安全性的第一个警钟早在 2008 年就已敲响。黑客使用 Adob​​e Flash利用支持 UPnP 的设备中的漏洞。一旦用户点击建议的链接并下载了受感染的文件，恶意行为者就可以控制启用了 UPnP 协议的连接设备。
• Mirai 僵尸网络。2016年，又发生了一次著名的UPnP攻击。事实上，它是最大的 DDoS 攻击当时。网络犯罪分子利用广泛的僵尸网络影响了大量支持 UPnP 的物联网设备。结果，最大的 DNS 基础设施提供商之一遭到入侵，导致美国和欧洲的许多网站瘫痪，包括 Twitter 和 Netflix。
• Pinkslipbot 攻击。此类木马又称为层或者Q机器人，于 2008 年出现。但在 2020 年更新后，它变得更加危险。它在受影响的设备上安装键盘记录器来监视用户并窃取他们的数据。专家注意到 Pinkslipbot 使用UPnP 端口转发查询确定哪些端口是开放的并在他们的帮助下进入系统。
• 路由器黑客。2018年，研究人员发现两次利用 UPnP 安全问题危害受害者安全的大规模攻击。特别是，UPnP 是在 Broadcom 芯片上实现的，导致僵尸网络中使用了大约 100,000 个路由器。在另一次攻击中，黑客入侵了 45,000 个支持 UPnP 的路由器，对 Windows 设备进行 EternalRed 和 EternalBlue 攻击。

如果您想避免这些风险并保护您的本地网络免受网络犯罪分子的侵害，请查看一些可以采取的预防措施。

如何保护自己免受 UPnP 威胁

您可以采取以下措施来保护自己免受 UPnP 相关危险的影响。

启用 UPnP-UP

通用即插即用 – 用户配置文件 (UPnP-UP)是您可以添加到本地网络的附加安全层。它会触发常见的 UPnP 设备中缺少的授权和身份验证协议。不幸的是，并非所有设备都支持此扩展，因此它并不是针对未经授权访问网络风险的万无一失的解决方案。

禁用 UPnP

当然，在路由器上禁用 UPnP 将保护您免受我们所涵盖的所有风险。然而，许多用户觉得完全删除它太方便了。在这里，您应该自己决定自动端口转发的好处是否大于其缺点。另请注意，您可以使用端口转发在设备之间建立连接 - 许多在线教程详细解释了此过程。然而，这需要一些技术技能和努力，并且需要一段时间。

不过，如果您决定禁用 UPnP，请按照以下步骤操作：

1. 在浏览器的搜索栏中输入路由器的 IP 地址。
2. 进入路由器的管理面板后，前往先进的部分。
3. 点击转发>禁用 UPnP。请注意，这些步骤可能会因路由器固件的不同而略有不同。

来源：TP-Link 社区

使用VPN

如果您希望将网络安全提升到新的水平并保护自己免受许多潜在威胁（包括与 UPnP 相关的威胁），则值得在路由器上安装虚拟专用网络 (VPN)。该解决方案将帮助您远离各种危险，从 DDoS 攻击到木马、病毒和网络钓鱼诈骗。 VPN 会加密您的数据并防止第三方监控您的活动。在您的 Wi-Fi 路由器上安装这样的工具将覆盖您的整个网络和所有连接的设备。

有关更多信息，请阅读我们有关在路由器上设置 VPN 的详细指南。

正在寻找可靠的解决方案来保护您的网络和连接的设备？别再看了。获取 VeePN – 一项信誉良好的 VPN 服务，具有保护您的连接安全所需的所有功能。

常见问题解答：什么是 UPnP，它有安全风险吗？

UPnP 适合玩游戏吗？

事实上，UPnP 是增强游戏体验的一种非常便捷的方式。特别是，它将帮助您将控制台轻松连接到互联网，从而允许其他游戏玩家远程加入您的网络。您还可以通过端口转发实现相同的结果，但此方法需要额外的手动工作。然而，UPnP 存在一些需要注意的网络安全风险 - 请阅读本文以了解更多信息。

Xbox 上的 UPnP 是什么？

您的 Xbox 使用 UPnP 协议，允许您的路由器将您的主机连接到 Internet。这样，您就可以与其他游戏玩家聊天并启用多人游戏模式。在大多数情况下，您的路由器默认启用 UPnP。要更改其状态或解决一些潜在问题，您需要在浏览器的搜索栏中输入您的 IP 地址来进入路由器管理面板。

UPnP 安全吗？

UPnP 在很多方面都有好处，但也带来了一定的网络安全风险。特别是，支持 UPnP 的设备是黑客的热门目标，因为它们缺乏授权和身份验证协议。因此，网络犯罪分子可能会访问您的网络来窃取您的私人信息、监视您的设备、执行分布式拒绝服务 (DDoS) 攻击以及创建僵尸网络。有关更多详细信息，请查看这篇文章。

是否应该启用 UPnP？

这取决于您的个人需求和优先事项。一方面，UPnP 有利于游戏、视频流和远程访问本地网络设备。 UPnP 的工作原理类似于自动端口转发，因此不需要任何手动操作和安装即可在网络内建立连接。另一方面，UPnP 与许多安全风险相关，使黑客更容易危害您的网络。因此，如果您在路由器上启用 UPnP，则值得采取一些额外的安全措施。在本文中了解更多信息。

如果我禁用 UPnP 会发生什么？

如果您在路由器上禁用 UPnP，它将自动停止打开端口。这意味着所有传入请求（包括合法请求）都不会到达您的网络。因此，要在游戏机上访问互联网或将流媒体电视连接到笔记本电脑和 Wi-Fi，您需要在路由器设置中手动转发端口，这需要额外的努力和技术背景。但这样，您就可以防止与使用 UPnP 相关的潜在安全风险。阅读本文以了解更多信息。