什麼是 UPnP?它有安全風險嗎?
讓我們從 UPnP 定義開始。
通用即插即用 (UPnP) 是一種自動連接本地網絡上的設備和應用程序並讓它們通過打開和關閉端口相互通信的協議。此技術有助於網絡內的內部和外部連接,因為它不需要手動創建端口(跨設備傳輸數據的通道)。
為了更好地理解 UPnP 的含義,我們來討論一下端口轉發 – 由 UPnP 協議自動化的技術。
什麼是端口轉發?
端口轉發是一種將連接到家庭網絡的設備或服務器與遠程設備或應用程序連接的方法。當您在路由器上打開端口時,您可以使用它來傳輸和接收數據,而無需應用一組標準的安全協議。簡而言之,端口轉發“告訴”路由器的網絡訪問傳輸 (NAT) 防火牆(通常會阻止未經驗證的連接)允許通過端口訪問您的局域網 (LAN)。
另請閱讀:謝因安全嗎?風險評估和可行的建議
人們經常使用端口轉發來遠程訪問其智能家居設備和物聯網系統。它也是在線遊戲和媒體流的流行解決方案。但是,您需要一些技術知識才能手動設置端口。因此,為了簡化此過程,許多人轉向 UPnP 端口轉發。
UPnP 是一種零配置協議,不涉及任何手動設置。相反,系統會自動發現並連接網絡上的設備。例如,這種方法適用於輕鬆地將多個設備連接到打印機、控制台或智能電視。
現在,讓我們更深入地研究這個過程,了解它是如何工作的。
UPnP 有什麼作用?
簡而言之,當新設備或應用程序引入您的本地網絡時,UPnP 會立即將其連接到其他設備。該過程如下所示:
- 一旦新設備連接到網絡,它就會收到一個 IP 地址。
- 設備的 IP 和其他信息與其他連接的設備共享。
- 該網絡涵蓋了新設備的主要功能和服務。
- 此時,其他設備可以與新設備交互,通過網絡接收和發送數據。
便捷性和易用性使 UPnP 成為涵蓋各種用戶目標的流行解決方案。
UPnP 有何用途?
以下是您可能想要在路由器上啟用 UPnP 的一些常見原因。
遠程訪問智能家居和物聯網設備
先進的智能家居和物聯網系統通常需要與其他設備連接,從智能手機和電腦到智能手錶和家用電器。 UPnP 在各種小工具之間建立快速交互。此外,您出門在外時還可以遠程訪問嬰兒攝像頭、門鈴或家庭安全系統。
在遊戲機上串流在線遊戲
自動端口轉發是通過 Xbox 或 Nintendo Switch 等主機訪問在線遊戲的便捷方式。借助 UPnP,您無需為每個設備和遊戲手動設置單獨的端口。此外,該技術還允許您遠程與其他玩家分享您的遊戲體驗。
連接視頻流設備
如果您擁有智能電視、Android TV、Apple TV 或 Fire TV 等流媒體設備,將它們連接到您的筆記本電腦或計算機可能需要付出巨大的努力。 UPnP 簡化了此過程,讓您可以在連接到家庭網絡的任何首選設備上流媒體。
在這一點上,對於那些在單個網絡中操作多個設備的人來說,UPnP 可能看起來是一個非常有益的解決方案。但不要著急。雖然方便,但 UPnP 也對您的網絡安全構成重大威脅。讓我們更詳細地探討這些潛在的陷阱。
與 UPnP 相關的安全風險
如上所述,UPnP 不僅僅適用於您的本地網絡。它還可以遠程訪問,使其成為黑客的熱門目標。問題是自動轉發的端口會錯過身份驗證和授權協議。因此,它們使您的網絡容易受到未經授權的訪問。由於 UPnP 是許多路由器的默認功能,因此它為網絡犯罪分子留下了一些空間,可以突破路由器的防火牆並危及您的安全。
例如,黑客可以對您的路由器執行未經驗證的連接,以感染其他設備、竊取您的數據或惡意使用您的網絡。讓我們更詳細地探討這些風險。
- 未經授權訪問您的設備。假設您的網絡因 UPnP 相關的網絡攻擊而被利用。在這種情況下,黑客可能會控制任何連接的設備,從家庭安全系統到筆記本電腦或智能手機。
- 數據盜竊。黑客可以從您的設備竊取敏感數據,例如銀行帳戶或 PayPal 憑據。或者,您可能會成為受害者勒索軟件– 一種允許網絡犯罪分子加密您的個人信息並索要贖金的惡意技術。
- 惡意軟件攻擊。威脅參與者可以在您的連接設備上安裝惡意軟件。這些惡意程序可能會在您不知情的情況下秘密地在您的系統中駐留數月。
- 通過您的網絡進行的惡意活動。黑客可以利用您的網絡進行非法活動,例如網絡釣魚攻擊和分佈式拒絕服務 (DDoS) 攻擊。他們還可以利用您的網絡在其他用戶的設備上傳播病毒。
仍然不確定這些風險是否真實?以下是基於 UPnP 漏洞的大規模網絡攻擊的幾個示例。
UPnP 相關網絡攻擊的現實示例
- Flash UPnP 攻擊。關於 UPnP 安全性的第一個警鐘早在 2008 年就已敲響。黑客使用 Adobe Flash利用支持 UPnP 的設備中的漏洞。一旦用戶點擊建議的鏈接並下載了受感染的文件,惡意行為者就可以控制啟用了 UPnP 協議的連接設備。
- Mirai 殭屍網絡。2016年,又發生了一次著名的UPnP攻擊。事實上,它是最大的 DDoS 攻擊當時。網絡犯罪分子利用廣泛的殭屍網絡影響了大量支持 UPnP 的物聯網設備。結果,最大的 DNS 基礎設施提供商之一遭到入侵,導緻美國和歐洲的許多網站癱瘓,包括 Twitter 和 Netflix。
- Pinkslipbot 攻擊。此類木馬又稱為層或者Q機器人,於 2008 年出現。但在 2020 年更新後,它變得更加危險。它在受影響的設備上安裝鍵盤記錄器來監視用戶並竊取他們的數據。專家注意到 Pinkslipbot 使用UPnP 端口轉發查詢確定哪些端口是開放的並在他們的幫助下進入系統。
- 路由器黑客。2018年,研究人員發現兩次利用 UPnP 安全問題危害受害者安全的大規模攻擊。特別是,UPnP 是在 Broadcom 芯片上實現的,導致殭屍網絡中使用了大約 100,000 個路由器。在另一次攻擊中,黑客入侵了 45,000 個支持 UPnP 的路由器,對 Windows 設備進行 EternalRed 和 EternalBlue 攻擊。
如果您想避免這些風險並保護您的本地網絡免受網絡犯罪分子的侵害,請查看一些可以採取的預防措施。
如何保護自己免受 UPnP 威脅
您可以採取以下措施來保護自己免受 UPnP 相關危險的影響。
啟用 UPnP-UP
通用即插即用 – 用戶配置文件 (UPnP-UP)是您可以添加到本地網絡的附加安全層。它會觸發常見的 UPnP 設備中缺少的授權和身份驗證協議。不幸的是,並非所有設備都支持此擴展,因此它並不是針對未經授權訪問網絡風險的萬無一失的解決方案。
禁用 UPnP
當然,在路由器上禁用 UPnP 將保護您免受我們所涵蓋的所有風險。然而,許多用戶覺得完全刪除它太方便了。在這裡,您應該自己決定自動端口轉發的好處是否大於其缺點。另請注意,您可以使用端口轉發在設備之間建立連接 - 許多在線教程詳細解釋了此過程。然而,這需要一些技術技能和努力,並且需要一段時間。
不過,如果您決定禁用 UPnP,請按照以下步驟操作:
- 在瀏覽器的搜索欄中輸入路由器的 IP 地址。
- 進入路由器的管理面板後,前往先進的部分。
- 點擊轉發>禁用 UPnP。請注意,這些步驟可能會因路由器固件的不同而略有不同。
來源:TP-Link 社區
使用VPN
如果您希望將網絡安全提升到新的水平並保護自己免受許多潛在威脅(包括與 UPnP 相關的威脅),則值得在路由器上安裝虛擬專用網絡 (VPN)。該解決方案將幫助您遠離各種危險,從 DDoS 攻擊到木馬、病毒和網絡釣魚詐騙。 VPN 會加密您的數據並防止第三方監控您的活動。在您的 Wi-Fi 路由器上安裝這樣的工具將覆蓋您的整個網絡和所有連接的設備。
有關更多信息,請閱讀我們有關在路由器上設置 VPN 的詳細指南。
正在尋找可靠的解決方案來保護您的網絡和連接的設備?別再看了。獲取 VeePN – 一項信譽良好的 VPN 服務,具有保護您的連接安全所需的所有功能。
常見問題解答:什麼是 UPnP,它有安全風險嗎?
事實上,UPnP 是增強遊戲體驗的一種非常便捷的方式。特別是,它將幫助您將控制台輕鬆連接到互聯網,從而允許其他遊戲玩家遠程加入您的網絡。您還可以通過端口轉發實現相同的結果,但此方法需要額外的手動工作。然而,UPnP 存在一些需要注意的網絡安全風險 - 請閱讀本文以了解更多信息。
您的 Xbox 使用 UPnP 協議,允許您的路由器將您的主機連接到 Internet。這樣,您就可以與其他遊戲玩家聊天並啟用多人遊戲模式。在大多數情況下,您的路由器默認啟用 UPnP。要更改其狀態或解決一些潛在問題,您需要在瀏覽器的搜索欄中輸入您的 IP 地址來進入路由器管理面板。
UPnP 在很多方面都有好處,但也帶來了一定的網絡安全風險。特別是,支持 UPnP 的設備是黑客的熱門目標,因為它們缺乏授權和身份驗證協議。因此,網絡犯罪分子可能會訪問您的網絡來竊取您的私人信息、監視您的設備、執行分佈式拒絕服務 (DDoS) 攻擊以及創建殭屍網絡。有關更多詳細信息,請查看這篇文章。
這取決於您的個人需求和優先事項。一方面,UPnP 有利於遊戲、視頻流和遠程訪問本地網絡設備。 UPnP 的工作原理類似於自動端口轉發,因此不需要任何手動操作和安裝即可在網絡內建立連接。另一方面,UPnP 與許多安全風險相關,使黑客更容易危害您的網絡。因此,如果您在路由器上啟用 UPnP,則值得採取一些額外的安全措施。在本文中了解更多信息。
如果您在路由器上禁用 UPnP,它將自動停止打開端口。這意味著所有傳入請求(包括合法請求)都不會到達您的網絡。因此,要在遊戲機上訪問互聯網或將流媒體電視連接到筆記本電腦和 Wi-Fi,您需要在路由器設置中手動轉發端口,這需要額外的努力和技術背景。但這樣,您就可以防止與使用 UPnP 相關的潛在安全風險。閱讀本文以了解更多信息。
