翻墙攻略-关注你的无线路由器
因为VPN中断并在重新连接时卡在用户认证的阶段,重启路由器后问题消失,使我开始关注我使用的路由器安全问题。我开始花时间搜索有关路由器被攻击的信息,以及如何在路由器端保持可接受的安全水平,还有中国大陆的用户在购买路由器时有些什么选项。下面就是我学到的:
我个人遇到的有关路由器的经历
在一个项目上工作的时候,刚在StackExchange上读到一条来自github的信息,转到github上去阅读原文,然后准备搜索一个以前完全没有看到过的新名词,发现VPN已经被中断了,无法google。试着连接不同VPN服务商的不同服务器节点,都是在与服务器通讯之后卡在那里无法连接。我立即转向路由器的管理页面,准备重启路由器,页面显示说有风险,这是非常不正常的表现。强行前往,重启路由器。
这里是我所经历的现象记录,我希望有一个更加完整的记录,但这不是我个人可以完成的,因为所在中国不同省市、使用不同的互联网服务提供单位(我认为恢复以前称呼更适合这些机构,因为它们的行为与供应商是不同的)、不同的路由器、不同的路由器固件版本、不同的网络环境而不同。总之,下面是我遇到的现象,希望对你有帮助:
- 无论使用的是Firefox,还是Brave,或是Edge和Chrome,当试图google时候,看到警告,说你将访问的页面有风险;
- VPN突然中断,而我使用的VPN在正常情况是非常稳定,很少遇到这种状况。当你试图重新连接的时候,发现平常可以连接上的服务器节点几乎全部连接不上,无论是ExpressVPN的服务器,还是Surfshark或是NordVPN的;或有1个或2个服务器可以连接,但速度奇慢;
- 网络是正常的,你可以访问国内的网站,如Bing;
- 如果Windows 10设备是使用无线连接到网络的话,Windows 10会指示你的网络是通的,但是没有接通到互联网,会显示一个地球的图标;
每当我遇到这种情况,我就会立即去重启路由器。路由器重启之后,一切恢复正常。无法连接的VPN服务器节点,也可以连接了。
建议在中国大陆使用路由器的网络环境
这使我回想起以前发生的一件事情,跟大多数的中国大陆用户一样,我到互联网的接入是经中国电信的光纤,然后是其提供的光猫。我特别将电信提供的光猫设置为桥模式,再接到我自己的路由器上。PPPoe拨号,DHCP以及无线网络功能都由自己的路由器提供。
某一天,我发现网断了。检查路由器时,发现路由器一直尝试拨号连接。查到光猫,发现光猫已经自己启动了无线网络功能,使用破解了的管理员密码进入光猫后,发现它已经完全恢复了所有我在设置它时禁止的功能和服务。它已不是桥模式,而是无线路由器模式了,并自己拨号连接网络,难怪我自己路由器后面的网络完全断掉。显然,电信有方法完全控制此光猫。
在中国大陆,现在一般都由互联网服务提供单位向你提供光猫,光猫连接到其建设到居住区的网络基础设施。此光猫现在一般都提供无线路由器的功能,于是,中国大陆的用户仅需连接到此光猫和无线路由器即可。
我是这样设置网络入户的结构的,仍然使用互联网服务提供单位提供光猫连接到网络光纤,但是将其配置为桥模式,即它的功能仅限于连接。在光猫后面,我使用了一个自己购买的路由器,路由器的固件是使用开源的Merlin(也许翻译成梅林)。
所有的工作,如为了连接到互联网进行的拨号、用户认证、提供无线网络服务、地址分配、用户认证等等,都由这台路由器承担。
根据我了解到的情况,如果互联网隐私信息对于你来说意味着巨大的人生变动,我建议你更换掉光猫,使用自己从值得信任的供应商处购买的光猫,比如
- NETGEAR Cable Modem CM1000
- NETGEAR Gigabit Cable Modem
- ARRIS SURFboard SB8200 DOCSIS 3.1 Gigabit Cable Modem
- ASUS AX5400 Dual Band WiFi 6 xDSL Modem Router
上面这些光猫,都是在美国市场上销售的,如果供应商在这些设备上做手脚,因为众多的用户,会被很快发现,可能面临巨额赔款或罚款,并由此退出市场。所以,一般没有公司会因为冒此巨大的财务打击的风险。
选在自己购买Fiber Modem(光猫)可能意味着相当一段时间的学习和try and truth的实践,不过值得为你自己的安全投资这些时间、精力和金钱。
路由器的安全问题会给你造成什么危害
如果你的路由器被人监视或控制,会给你造成什么样的危害?其实我不回答这个问题你也应该大致明白,一句话,任何你听到或想象到的危害,都会因为你的路由器导致!记住,在你所在的环境里(除非你是在民主国家和地区),你周围全是你的敌人,没有任何机构或人会帮助你。你的朋友只有我,我能给你的帮助也只限于为你提供正确的信息和提醒你。
- 端口32764;
- 你保密的信息和资料会被偷走,可能立即置你于危险的境地;
- 你所有的上网活动记录都会暴露无遗;
- 通过DNS投毒勾你去钓鱼网站(伪装成你想访问的网站)以获取你身份和密码信息;
- 利用你的路由器以及你连接到网络的设备作为其对其它目标进行拒绝服务攻击(DDoS)的网军;
- 所有存贮在你直接连接到路由器上存贮装置(如USB硬盘)上的数据和信息都会暴露或被偷走;
- 进行中间人攻击,当你认为在非常安全的通讯链路上进行操作时暴露对你至关重要的数据;
- 利用你的手机或其它有互联网连接能力、麦克风和摄像头的设备对你进行监视;
- 将通过路由器的VPN加密通讯数据传回去以研究和设法破解;
- 使用恶意代码让你的路由器变砖,停掉你所有的网络连接;
没有想到列表会这么长,本来想对每一项都提供一些更详细的信息。但为了让你尽快读到立即能帮助你保护自己的信息,我决定逐渐写完它,而不是一次完成它。我会为每一项提供相关的案例让你对之有更好的理解。在开始时只对不太容易理解的情况做出描述和说明,如端口32764。
端口32764
端口32764是路由器上的网络端口,在2013年的时候,一位法国的网络安全研究人员Eloi Vanderbeken发现其使用的TP-LInk路由器的端口32764是悄悄地打开的,不需要任何密码,就可以通过此端口控制路由器,甚至可以进行恢复出厂设置的操作。
此发现被公布之后,涉及相关路由器的生产商关闭了此端口。但是,Eloi Vanderbeken随后使用反向工程发现,这些生产商在关闭此端口之后,仍可以使用一个专门设计的数据包打开它,这个数据包会由你的互联网服务供应商发送(电信、移动或联通)。在纽约召开的HOPE X hacker conference(希望x 骇客会议)上,安全专家Michael Horowitz说,这显然是刻意这样做的,以方便间谍机构使用。(注1)
关于DNS投毒
路由器位于你的家或办公室到你的访问目标之间,你可以想象在你这端和你的访问目标,两者都使用不同的语言,中间是路由器作为翻译。在这种情况下,如果路由器是一个坏人,它可以操纵双方做任何事情。
DNS的作用是,当你使用域名去访问你的目标,域名服务(DNS)会为你的通讯包提供到目的地的IP地址,这样两端的通讯就得以建立。DNS投毒是蓄意提供你钓鱼网站的IP地址,而你以为是访问的你想访问的网站,然后你提供你的用户名和密码登录,从而被钓鱼网站骗走身份信息和密码。DNS投毒其实是一种刑事犯罪行为,却被威权使用提供公共服务的互联网提供商来实施其间谍行为。
想象你想下载一个文件,而这个文件是“大哥”认为是敌视它的,所以它会瞄准所有想下载这个文件(或访问某个特定网站的人),通过DNS投毒提供你钓鱼网站的IP地址,并将准备好的间谍代码放在你准备下载的文件中。这样,大哥会在它认为的敌人人群中植入间谍木马,以随时监视和偷取它所需要的所有信息和数据。
在你建置一个能保护你安全的路由器之前,VPN能保护你免于这样的状况。因为只要你连接到VPN,那些有声望的VPN都会强制将你的DNS设置为使用安全的DNS,而不是使用路由器分配给你的DNS,从而让你免于DNS投毒的伤害。在中国大陆,你可以安全使用的VPN有(这是我目前正在使用的,其中链接让你去它们官方网站以折扣价购买):
如何设置你的路由器
如果你是从一台新的路由器开始,不要按照供应商告诉你的那样,在连接到互联网之后再设置路由器,绝对不要那样做!在设置新的路由器时,你可以在没有连接互联网之前完成下面的设置(如果你的路由器没有提供你这样的设置选择,立即退货!):
- 更改默认的访问路由器的密码;
- 设置或更改连接到WiFi的密码;
- 更改默认的WiFi网络名称—SSID;
- 连接WiFi网络的密码所使用的加密算法应该时WPA2和AES,或者WPA3;
- 关闭路由器上的WPS、UPnp、NAT-PMP、以及Remote Administration(远程管理);
- 设置一个由密码保护的访客网络;
- 仔细浏览路由器的配置选项,关闭任何端口转发(Port forwarding);
- 关闭IPv6;
- 定期检查你的路由器是否有固件更新。如果你的路由器一两年都没有相应的固件更新,你就应该更换它。
你应该选择购买哪种路由器
千万不要使用那种只提供你有限的配置选项,完全是黑箱一样路由器,就像目前市场上(比如小米和华为)最新推出的路由器,只需要你提供到电信宽带的拨号账户和密码、设置无线上网的密码、以及DHCP,然后你就可以使用了,再没有其它任何的选项。
在上面你已经了解到了,你的敌人会使用你的路由器对你做什么。显然,“大哥”的计划是想让骇客路由器的力气都省掉,将你的路由器直接置于其控制之下,监视你的一举一动,并随时动用你的设备成为它的网军。
如果你还想保持自己的隐私、个人的权力和尊严,以及安全,你应该做的最起码的事情就是,选择和购买那种支持番茄(tomato)和(dd-wrt)开源代码固件的路由器,有很多你都可以在中国境内购买到。我在下面列出我找到的所有开源的路由器固件,你可以点击相关的链接去它们官方网站,查看其提供的设备列表,在那里面,选择一个适合你自己的路由器。