CN109286637B - 一种D-LinkDir系列路由器配置接口漏洞的防御方法 - Google Patents
一种D-LinkDir系列路由器配置接口漏洞的防御方法 Download PDFInfo
- Publication number
- CN109286637B CN109286637B CN201811382562.1A CN201811382562A CN109286637B CN 109286637 B CN109286637 B CN 109286637B CN 201811382562 A CN201811382562 A CN 201811382562A CN 109286637 B CN109286637 B CN 109286637B
- Authority
- CN
- China
- Prior art keywords
- data packet
- protection agent
- state
- router
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种D‑Link Dir系列路由器配置接口漏洞的防御方法,主要用于解决此品牌Dir系列型号的路由器的接口漏洞所致的安全问题。本发明利用保护代理对外网及内网的数据包进行过滤,保证只有经路由器验证通过的IP才能请求路由器的资源,实现对外网和内网攻击的同时防御;保护代理在一个数据结构中,通过维护一个有限状态机来设置IP地址的状态并进行状态的转换;保护代理拦截用户的请求,并由保护代理来判断数据包源地址是否安全,若为安全IP则允许其对资源的请求,否则引导用户登陆。若保护代理收到登陆成功的数据包,则允许该IP请求路由器资源,否则视为转发包,予以转发。
Description
技术领域
本发明涉及一种D-Link Dir系列路由器配置接口漏洞的防御方法,解决D-LinkDir系列路由器的接口漏洞所致的安全问题,属于网络空间安全技术。
背景技术
路由器是实现网际互连的重要设备,承担不同网络之间的数据转发功能,因此路由器的安全性和可靠性直接决定了互联网的安全性、稳定性。近年来,随着路由器攻击事件的频发,网络安全受到了越来越多的威胁。因此,针对路由器的漏洞防御的研究成为了网络安全研究的热点。据调查,市场上众多品牌的路由器产品存在后门,攻击者可以由此直接控制路由器,进一步发起DNS劫持、窃取信息、网络钓鱼等攻击,直接威胁设备和数据的安全。所以,对路由器安全的研究有着重大的意义。D-Link作为目前中国无线路由器市场的十大品牌之一,其近年来的销量呈现出稳步增长的趋势。Dir系列作为D-Link品牌的经典产品系列,用户众多,一旦被黑客攻击将造成不可预计的后果。因此,制定此款路由器的防御方案迫在眉睫。
D-Link品牌的Dir系列路由器存在接口漏洞。该系列路由器的接口hedwig.cgi是提供给管理员的接口,但是任意用户可以在非授权的情况下向该接口上传配置文件。当该接口收到来自非授权用户的请求后,会自动调用程序fatlady.php来处理该请求。fatlady.php处理过程是,先取出配置文件中的<service></service>中的内容,拼接到固件文件路径中,然后加载该路径所对应固件中的文件,加载文件后,再返回加载的结果。因此,任意用户可以利用管理员身份上传D-link Dir-850L路由器的文件***中用来存储用户名和密码的xml文件,以此来引导漏洞接口调用程序fatlady.php加载该重要文件,获得加载结果,得到用户名和密码。
针对该品牌型号路由器存在的接口漏洞,官方发布了相应的补丁,但是Dir系列多数路由器都受该漏洞的影响。然而,官方并未及时地针对所有受影响的型号发布补丁。鉴于这种情况,该系列的路由器的防御措施,是开启路由器的防火墙,禁止外网访问web服务,但是这样的方式无法使管理员更加灵活地管理路由器,导致路由器的功能性降低。另一种防御措施是设置访问地址白名单,以此降低被攻击的风险,这种做法也存在一些弊端,而且白名单需要不断更新;NAT或网络代理的存在会阻挡合法用户无法抵御内网渗透。
发明内容
发明目的:为了克服现有技术中存在的不足,本发明提供一种D-Link Dir系列路由器配置接口漏洞的防御方法,在该型号路由器的WAN口和LAN口增加外部保护代理,实现对外网和内网攻击的同时防御。
技术方案:为实现上述目的,本发明采用的技术方案为:
一种D-Link Dir系列路由器配置接口漏洞的防御方法,包括如下步骤:
(1)在路由器的WAN口和LAN口,接入保护代理;
(2)保护代理拦截所在线路的数据包,并检查数据包所请求的端口号是否为路由器管理和提供服务的端口号:若是,则保护代理执行步骤(3);否则,保护代理执行步骤(5);
(3)保护代理进一步判断数据包的源IP地址是否为认证成功的状态,即是否为Success状态:若是,则通过数据包的请求;否则,保护代理执行步骤(4);
(4)保护代理对数据包的请求状态进行判断:若为请求登录状态,则将数据包的源IP地址状态更新为申请登录验证状态,即Checking状态;否则,引导数据包的源IP地址状态更新为申请登录验证状态;
(5)保护代理拦截并解析数据包,根据数据包中的特征关键字判断其是否为登陆成功的数据包:若是,则更新数据包的目标IP地址的状态为Success;否则,保护代理进一步判断数据包的目标IP地址是否为路由器,若不是,则将数据包视为转发包,保护代理不做拦截。
本发明中,路由器需要对通信的所有IP地址进行状态管理,以标识某IP地址是否安全。其次,保护代理需要拦截用户对路由器资源的请求,并由保护代理来判断请求者源地址是否安全,若为安全IP,则允许其对资源的请求,否则引导该用户前往登陆页面。登陆后,路由器返回一个包含登陆结果的数据包给保护代理,保护代理解析该数据包,若是登陆成功的数据包,设置该IP为认证成功状态,并允许该IP请求路由器资源。当保护代理解析发现该数据包不是登陆成功的数据包,并且该数据包的目标IP不是路由器时,保护代理视该数据包为转发包,予以转发。
本发明中,使用保护代理对外网及内网的数据包进行过滤,不需要禁止所有的外网访问,保证只有经路由器验证通过的IP地址才能请求路由器的资源;保证了路由器的功能性,同时实现对外网和内网攻击的同时防御。
优选的,通过保护代理完成数据包的源IP地址和目标IP地址的身份验证和状态转化。
优选的,在保护代理中,使用有限状态机存储IP地址的状态,并设置超时机制,IP地址的状态在有限状态机中的存储时间达到设定阈值后恢复为初始状态。使用有限状态机管理IP地址状态,相比设置白名单更加灵活。
有益效果:本发明提供的D-Link Dir系列路由器配置接口漏洞的防御方法,相对于现有技术,具有如下优势:1、保护代理可以识别并屏蔽非法请求,有效防止跨越权限的数据访问;2、不但防止外网的安全攻击,而且在内网也能提供安全保护,即双重保护功能;3、对于用户来说,使用方便,只需要给路由器接入保护代理,现有网络无需做过多的改动,适用性广;4、本发明提出的这套***状态比较稳定,各方面的***比较理想,能解决大部分安全方面的威胁,达到了较好的实际效果。
附图说明
图1为保护代理工作流程图;
图2为IP地址状态转换图;
图3为防御网络拓扑结构图。
具体实施方式
下面结合附图对本发明作更进一步的说明。
我们需要路由器同时能够防御内网和外网的攻击,因此保护代理要同时接在路由器的WAN口和LAN口上,数量可根据用户的需求做适当的增减。
保护代理中维护了一个数据结构(DS),在数据结构中存储了一个有限状态机来标记所有IP地址的状态。IP地址的状态分别为初始状态(Initial State),认证成功状态(Success State)和申请登陆验证状态(Checking State)。所有IP地址都有初始状态表示既未通过登陆验证也未申请登陆验证,Success State表示此IP通过了认证,CheckingState表示此IP正在验证中,其中只有被标记为Success State的IP才能被允许请求路由器资源。此DS同时具有超时机制,超过一定时间后,IP的状态将会被恢复为初始状态。每个保护代理将会拦截所有在这条线路上的去往路由器或从路由器发出的数据包。
对于保护代理的工作流程,可描述如下:对于访问路由器资源的请求,只有当保护代理验证该请求的源IP的状态由为Success后才能通过,否则保护代理将进一步判断请求目标是否为登陆界面,若是则由保护代理将请求的源IP的状态改为Checking,不是则引导用户前往登陆界面。当保护代理拦截的数据包不是以路由器为目标的数据包时,需要进一步判断其是否为登陆成功的数据包,若是,则修改数据包目标IP的状态为Success,否则判断目标IP是否为路由器,若不是则视为转发包直接转发。本方案同时可防御内网及外网的攻击,可使得路由器的数据资源更加安全,使得网络环境更为可靠。
本案的D-Link Dir系列路由器配置接口漏洞的防御方法,具体包括如下步骤:
(1)保护代理对本路线上所有的数据包进行拦截,判断该数据包是否为发往路由器的数据包(根据请求中的端口号进行判断,路由器的80,8080,443,8081端口用来管理和提供服务,其余用来转发数据包的映射端口则不会使用这四个端口),若该数据包为请求路由器资源的数据包,进行步骤(2),否则进行步骤(4)。
(2)保护代理判断请求的源IP地址的状态是否为Success,若是此IP地址已经认证成功,允许此请求通过,否则进行步骤(3)。
(3)如果请求的源IP地址的状态不为Success,我们就会判断其请求的页面是否为登陆页面,如果是登陆页面,则保护代理将此IP的状态更改为Checking,如果不是则返回登陆页面给该IP地址,引导其登陆。
(4)如果不是发往路由器的数据包,而是从路由器发出的数据包,那么保护代理会拦截并解析该数据包是否为登陆成功的数据包(此判断依据是登陆成功时路由器返回的数据包中将会带有特征关键字“id”和“key”,登录失败时返回的数据包中关键字“id”和“key”的值为空,并且带有“status”和“error”关键字),如果是,那么更改目标IP地址的状态为Success,如果不是,就判断该数据包的目标IP地址是否为路由器,若不是就视其为转发包,保护代理不做拦截。
本发明提供的可靠的用于解决D-Link Dir系列路由器接口漏洞的防御方案,由于该型号的路由器具备接口漏洞,当用户未经登陆向该路由器的漏洞接口发送请求后,路由器直接向用户返回html格式的数据,将该数据转化成xml格式后可以找到该路由器的用户名及密码。本方案可以针对这一漏洞为路由器提供一种安全、廉价、高效的防御方法。本方案通过给路由器接入保护代理来同时防范内网和外网的攻击。本方案既全方位地保证了路由器的安全性,又具有易维护性和实用性,具有较高的研究意义。
以上所述仅是本发明的优选实施方式,应当指出:对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (3)
1.一种D-Link Dir系列路由器配置接口漏洞的防御方法,其特征在于:包括如下步骤:
(1)在路由器的WAN口和LAN口,接入保护代理;
(2)保护代理拦截所在线路的数据包packet,并检查数据包packet所请求的端口号是否为路由器管理和提供服务的端口号:若是,则保护代理执行步骤(3);否则,保护代理执行步骤(5);
(3)保护代理进一步判断数据包packet的源IP地址是否为认证成功的状态,即是否为Success状态:若是,则通过数据包packet的请求;否则,保护代理执行步骤(4);
(4)保护代理对数据包packet的请求状态进行判断:若为请求登录状态,则将数据包packet的源IP地址状态更新为申请登录验证状态,即Checking状态;否则,引导数据包packet的源IP地址状态更新为申请登录验证状态;
(5)保护代理拦截并解析数据包packet,根据数据包packet中的特征关键字判断其是否为登陆成功的数据包packet:若是,则更新数据包packet的目标IP地址的状态为Success;否则,保护代理进一步判断数据包packet的目标IP地址是否为路由器,若不是,则将数据包packet视为转发包,保护代理不做拦截。
2.根据权利要求1所述的D-Link Dir系列路由器配置接口漏洞的防御方法,其特征在于:通过保护代理完成数据包packet的源IP地址和目标IP地址的身份验证和状态转化。
3.根据权利要求1所述的D-Link Dir系列路由器配置接口漏洞的防御方法,其特征在于:在保护代理中,使用有限状态机存储IP地址的状态,并设置超时机制,IP地址的状态在有限状态机中的存储时间达到设定阈值后恢复为初始状态。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811382562.1A CN109286637B (zh) | 2018-11-19 | 2018-11-19 | 一种D-LinkDir系列路由器配置接口漏洞的防御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811382562.1A CN109286637B (zh) | 2018-11-19 | 2018-11-19 | 一种D-LinkDir系列路由器配置接口漏洞的防御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109286637A CN109286637A (zh) | 2019-01-29 |
| CN109286637B true CN109286637B (zh) | 2021-05-14 |
Family
ID=65175812
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811382562.1A Active CN109286637B (zh) | 2018-11-19 | 2018-11-19 | 一种D-LinkDir系列路由器配置接口漏洞的防御方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109286637B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109768935B (zh) * | 2019-03-14 | 2023-10-10 | 海南梯易易智能科技有限公司 | 带智能识别与过滤功能的无线路由器及其安全运行方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101192916A (zh) * | 2006-11-23 | 2008-06-04 | 华为技术有限公司 | 无线接入方法及无线接入设备 |
| CN101212297A (zh) * | 2006-12-28 | 2008-07-02 | ***通信集团公司 | 基于web的wlan接入认证方法及*** |
| CN101765110A (zh) * | 2009-12-21 | 2010-06-30 | 苏州汉明科技有限公司 | 一种用户和无线接入点之间的专有加密保护方法 |
| CN105392136A (zh) * | 2014-09-09 | 2016-03-09 | 中兴通讯股份有限公司 | 一种基于二维码访问路由器的方法及装置 |
| CN106534214A (zh) * | 2016-12-29 | 2017-03-22 | 郑州云海信息技术有限公司 | 一种路由器安全认证的方法、装置及*** |
| EP3151505A1 (en) * | 2014-05-29 | 2017-04-05 | Tecteco Security Systems, S.L. | Method and network element for improved access to communications networks |
| KR20180028705A (ko) * | 2016-09-09 | 2018-03-19 | 코나아이 (주) | 공유기와 연계되어 동작하는 보안요소, 공유기 및 이를 이용한 네트워크 형성 방법 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10360364B2 (en) * | 2013-03-13 | 2019-07-23 | Lookout, Inc. | Method for changing mobile communication device functionality based upon receipt of a second code |
-
2018
- 2018-11-19 CN CN201811382562.1A patent/CN109286637B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101192916A (zh) * | 2006-11-23 | 2008-06-04 | 华为技术有限公司 | 无线接入方法及无线接入设备 |
| CN101212297A (zh) * | 2006-12-28 | 2008-07-02 | ***通信集团公司 | 基于web的wlan接入认证方法及*** |
| CN101765110A (zh) * | 2009-12-21 | 2010-06-30 | 苏州汉明科技有限公司 | 一种用户和无线接入点之间的专有加密保护方法 |
| EP3151505A1 (en) * | 2014-05-29 | 2017-04-05 | Tecteco Security Systems, S.L. | Method and network element for improved access to communications networks |
| CN105392136A (zh) * | 2014-09-09 | 2016-03-09 | 中兴通讯股份有限公司 | 一种基于二维码访问路由器的方法及装置 |
| KR20180028705A (ko) * | 2016-09-09 | 2018-03-19 | 코나아이 (주) | 공유기와 연계되어 동작하는 보안요소, 공유기 및 이를 이용한 네트워크 형성 방법 |
| CN106534214A (zh) * | 2016-12-29 | 2017-03-22 | 郑州云海信息技术有限公司 | 一种路由器安全认证的方法、装置及*** |
Non-Patent Citations (2)
| Title |
|---|
| 无线接入方式用户登录安全的研究;于璐;《中国优秀硕士学位论文全文数据库(电子期刊)》;20150415;全文 * |
| 杨效.无线接入方式用户登录安全的研究.《中国优秀硕士学位论文全文数据库(电子期刊)》.2018,全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109286637A (zh) | 2019-01-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10630725B2 (en) | Identity-based internet protocol networking | |
| US9723019B1 (en) | Infected endpoint containment using aggregated security status information | |
| Jero et al. | Identifier binding attacks and defenses in {Software-Defined} networks | |
| US20200329072A1 (en) | System and method for utilization of threat data for network security | |
| Li et al. | A survey on OpenFlow-based Software Defined Networks: Security challenges and countermeasures | |
| US20240121211A1 (en) | Systems and methods for continuous fingerprinting to detect session hijacking inside zero trust private networks | |
| US7735116B1 (en) | System and method for unified threat management with a relational rules methodology | |
| US7886335B1 (en) | Reconciliation of multiple sets of network access control policies | |
| US8800006B2 (en) | Authentication and authorization in network layer two and network layer three | |
| US11539695B2 (en) | Secure controlled access to protected resources | |
| EP1956463A2 (en) | Method and apparatus for providing network security based on device security status | |
| US20120117622A1 (en) | Dynamic network access control method and apparatus | |
| Thimmaraju et al. | Outsmarting network security with SDN teleportation | |
| US7299297B2 (en) | Method and apparatus for protecting electronic commerce from distributed denial-of-service attacks | |
| US12022296B2 (en) | Network cyber-security platform | |
| US20230231884A1 (en) | Browser fingerprinting and control for session protection and private application protection | |
| CN109286637B (zh) | 一种D-LinkDir系列路由器配置接口漏洞的防御方法 | |
| Nagesh et al. | A survey on denial of service attacks and preclusions | |
| KR101910496B1 (ko) | 광역망 인터넷 프로토콜(wan ip) 검증을 통한 네트워크 기반 프록시 설정 탐지 시스템 및 그를 이용한 유해 사이트 접속 차단 방법 | |
| CN115065548A (zh) | 一种增强型网络安全接入区数据管控***及方法 | |
| Sørensen et al. | Automatic profile-based firewall for iot devices | |
| Lee et al. | Hierarchical access control for SDP-IoT | |
| Kalil | Policy Creation and Bootstrapping System for Customer Edge Switching | |
| Frank | Securing Smart Homes with OpenFlow: Feasibility, Implementation, and Performance | |
| WO2005094174A2 (en) | Managing traffic within an internal communication network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |