一种D-LinkDir系列路由器配置接口漏洞的防御方法与流程

本发明涉及一种d-linkdir系列路由器配置接口漏洞的防御方法，解决d-linkdir系列路由器的接口漏洞所致的安全问题，属于网络空间安全技术。

背景技术：

路由器是实现网际互连的重要设备，承担不同网络之间的数据转发功能，因此路由器的安全性和可靠性直接决定了互联网的安全性、稳定性。近年来，随着路由器攻击事件的频发，网络安全受到了越来越多的威胁。因此，针对路由器的漏洞防御的研究成为了网络安全研究的热点。据调查，市场上众多品牌的路由器产品存在后门，攻击者可以由此直接控制路由器，进一步发起dns劫持、窃取信息、网络钓鱼等攻击，直接威胁设备和数据的安全。所以，对路由器安全的研究有着重大的意义。d-link作为目前中国无线路由器市场的十大品牌之一，其近年来的销量呈现出稳步增长的趋势。dir系列作为d-link品牌的经典产品系列，用户众多，一旦被黑客攻击将造成不可预计的后果。因此，制定此款路由器的防御方案迫在眉睫。

d-link品牌的dir系列路由器存在接口漏洞。该系列路由器的接口hedwig.cgi是提供给管理员的接口，但是任意用户可以在非授权的情况下向该接口上传配置文件。当该接口收到来自非授权用户的请求后，会自动调用程序fatlady.php来处理该请求。fatlady.php处理过程是，先取出配置文件中的<service></service>中的内容，拼接到固件文件路径中，然后加载该路径所对应固件中的文件，加载文件后，再返回加载的结果。因此，任意用户可以利用管理员身份上传d-linkdir-850l路由器的文件系统中用来存储用户名和密码的xml文件，以此来引导漏洞接口调用程序fatlady.php加载该重要文件，获得加载结果，得到用户名和密码。

针对该品牌型号路由器存在的接口漏洞，官方发布了相应的补丁，但是dir系列多数路由器都受该漏洞的影响。然而，官方并未及时地针对所有受影响的型号发布补丁。鉴于这种情况，该系列的路由器的防御措施，是开启路由器的防火墙，禁止外网访问web服务，但是这样的方式无法使管理员更加灵活地管理路由器，导致路由器的功能性降低。另一种防御措施是设置访问地址白名单，以此降低被攻击的风险，这种做法也存在一些弊端，而且白名单需要不断更新；nat或网络代理的存在会阻挡合法用户无法抵御内网渗透。

技术实现要素：

发明目的：为了克服现有技术中存在的不足，本发明提供一种d-linkdir系列路由器配置接口漏洞的防御方法，在该型号路由器的wan口和lan口增加外部保护代理，实现对外网和内网攻击的同时防御。

技术方案：为实现上述目的，本发明采用的技术方案为：

一种d-linkdir系列路由器配置接口漏洞的防御方法，包括如下步骤：

(1)在路由器的wan口和lan口，接入保护代理；

(2)保护代理拦截所在线路的数据包，并检查数据包所请求的端口号是否为路由器管理和提供服务的端口号：若是，则保护代理执行步骤(3)；否则，保护代理执行步骤(5)；

(3)保护代理进一步判断数据包的源ip地址是否为认证成功的状态，即是否为success状态：若是，则通过数据包的请求；否则，保护代理执行步骤(4)；

(4)保护代理对数据包的请求状态进行判断：若为请求登录状态，则将数据包的源ip地址状态更新为申请登录验证状态，即checking状态；否则，引导数据包的源ip地址状态更新为申请登录验证状态；

(5)保护代理拦截并解析数据包，根据数据包中的特征关键字判断其是否为登陆成功的数据包：若是，则更新数据包的目标ip地址的状态为success；否则，保护代理进一步判断数据包的目标ip地址是否为路由器，若不是，则将数据包视为转发包，保护代理不做拦截。

本发明中，路由器需要对通信的所有ip地址进行状态管理，以标识某ip地址是否安全。其次，保护代理需要拦截用户对路由器资源的请求，并由保护代理来判断请求者源地址是否安全，若为安全ip，则允许其对资源的请求，否则引导该用户前往登陆页面。登陆后，路由器返回一个包含登陆结果的数据包给保护代理，保护代理解析该数据包，若是登陆成功的数据包，设置该ip为认证成功状态，并允许该ip请求路由器资源。当保护代理解析发现该数据包不是登陆成功的数据包，并且该数据包的目标ip不是路由器时，保护代理视该数据包为转发包，予以转发。

本发明中，使用保护代理对外网及内网的数据包进行过滤，不需要禁止所有的外网访问，保证只有经路由器验证通过的ip地址才能请求路由器的资源；保证了路由器的功能性，同时实现对外网和内网攻击的同时防御。

优选的，通过保护代理完成数据包的源ip地址和目标ip地址的身份验证和状态转化。

优选的，在保护代理中，使用有限状态机存储ip地址的状态，并设置超时机制，ip地址的状态在有限状态机中的存储时间达到设定阈值后恢复为初始状态。使用有限状态机管理ip地址状态，相比设置白名单更加灵活。

有益效果：本发明提供的d-linkdir系列路由器配置接口漏洞的防御方法，相对于现有技术，具有如下优势：1、保护代理可以识别并屏蔽非法请求，有效防止跨越权限的数据访问；2、不但防止外网的安全攻击，而且在内网也能提供安全保护，即双重保护功能；3、对于用户来说，使用方便，只需要给路由器接入保护代理，现有网络无需做过多的改动，适用性广；4、本发明提出的这套系统状态比较稳定，各方面的系统比较理想，能解决大部分安全方面的威胁，达到了较好的实际效果。

附图说明

图1为保护代理工作流程图；

图2为ip地址状态转换图；

图3为防御网络拓扑结构图。

具体实施方式

下面结合附图对本发明作更进一步的说明。

我们需要路由器同时能够防御内网和外网的攻击，因此保护代理要同时接在路由器的wan口和lan口上，数量可根据用户的需求做适当的增减。

保护代理中维护了一个数据结构(ds)，在数据结构中存储了一个有限状态机来标记所有ip地址的状态。ip地址的状态分别为初始状态(initialstate)，认证成功状态(successstate)和申请登陆验证状态(checkingstate)。所有ip地址都有初始状态表示既未通过登陆验证也未申请登陆验证，successstate表示此ip通过了认证，checkingstate表示此ip正在验证中，其中只有被标记为successstate的ip才能被允许请求路由器资源。此ds同时具有超时机制，超过一定时间后，ip的状态将会被恢复为初始状态。每个保护代理将会拦截所有在这条线路上的去往路由器或从路由器发出的数据包。

对于保护代理的工作流程，可描述如下：对于访问路由器资源的请求，只有当保护代理验证该请求的源ip的状态由为success后才能通过，否则保护代理将进一步判断请求目标是否为登陆界面，若是则由保护代理将请求的源ip的状态改为checking，不是则引导用户前往登陆界面。当保护代理拦截的数据包不是以路由器为目标的数据包时，需要进一步判断其是否为登陆成功的数据包，若是，则修改数据包目标ip的状态为success，否则判断目标ip是否为路由器，若不是则视为转发包直接转发。本方案同时可防御内网及外网的攻击，可使得路由器的数据资源更加安全，使得网络环境更为可靠。

本案的d-linkdir系列路由器配置接口漏洞的防御方法，具体包括如下步骤：

(1)保护代理对本路线上所有的数据包进行拦截，判断该数据包是否为发往路由器的数据包(根据请求中的端口号进行判断，路由器的80，8080，443，8081端口用来管理和提供服务，其余用来转发数据包的映射端口则不会使用这四个端口)，若该数据包为请求路由器资源的数据包，进行步骤(2)，否则进行步骤(4)。

(2)保护代理判断请求的源ip地址的状态是否为success，若是此ip地址已经认证成功，允许此请求通过，否则进行步骤(3)。

(3)如果请求的源ip地址的状态不为success，我们就会判断其请求的页面是否为登陆页面，如果是登陆页面，则保护代理将此ip的状态更改为checking，如果不是则返回登陆页面给该ip地址，引导其登陆。

(4)如果不是发往路由器的数据包，而是从路由器发出的数据包，那么保护代理会拦截并解析该数据包是否为登陆成功的数据包(此判断依据是登陆成功时路由器返回的数据包中将会带有特征关键字“id”和“key”，登录失败时返回的数据包中关键字“id”和“key”的值为空，并且带有“status”和“error”关键字)，如果是，那么更改目标ip地址的状态为success，如果不是，就判断该数据包的目标ip地址是否为路由器，若不是就视其为转发包，保护代理不做拦截。

本发明提供的可靠的用于解决d-linkdir系列路由器接口漏洞的防御方案，由于该型号的路由器具备接口漏洞，当用户未经登陆向该路由器的漏洞接口发送请求后，路由器直接向用户返回html格式的数据，将该数据转化成xml格式后可以找到该路由器的用户名及密码。本方案可以针对这一漏洞为路由器提供一种安全、廉价、高效的防御方法。本方案通过给路由器接入保护代理来同时防范内网和外网的攻击。本方案既全方位地保证了路由器的安全性，又具有易维护性和实用性，具有较高的研究意义。

以上所述仅是本发明的优选实施方式，应当指出：对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。