NAS 、Router 一直被攻擊,怎麼辦?

我常常在社群網路上聽到這個問題,但大部份網友提供的解法不外是關閉 admin 帳號,或者是改 Port 之類消極的做法,其實 NAS 或 Router 被攻擊是很正常的,每天在發生的,不止是你的 NAS,如果你有網路的偵測軟體,或是你有常去看看你路由器的 Log,會發現網路的世界是非常的繁忙的,攻擊的事件分分秒秒的一直在你不知情的情況下,不斷的在傳送及接收一些你根本不需要的資料。

這在網管人員的眼中已經是習以為常的事了,除非是有人發現了重大的 Bug,不然所謂的入侵事件,100%都是用窮舉法去測試你的帳號密碼,來達成破解的,所以網友們提供的方法的確是蠻正確的。

但是考慮到此,我則是提供了另一種解決的方案,供大家參考,我使用的方式是反其道而行,將 admin 帳號打開,Port 也不另外設定,採用預設值,但是我的密碼長度設定的很長,即使是使用窮舉法,也得花數百年才能測試出來,所以不知道密碼而想登入是不太可能的,會做如此的設定是有原因的,可以用來學習黑名單。

因為我接著就將密碼輸入錯誤只能允許 1 次,等於說對方只能有 1 次的輸入機會,一輸入錯誤,其 IP 就會被封鎖,而黑名單上就會再增加一筆資料,我又多知道了一各有問題的 IP 了,我未來也可以一直使用這個名單來同步至我的其它網站,至於會不會有誤判的問題,如是 80 Port 可能會,但如果會去玩你的 22 Port 的,肯定不會是什麼積善之家,放心的封了吧。

這裡的 NAS 或 Router 都是我私人的,所以可以這麼做,但如果你的設備是公司的或是要服務於大眾的,就不太適合使用這種方式了,去除某些連自己密碼都搞不太清楚的,主要是有些 IP 只是跳板而已,當你把這些 IP 封了之後,不幸未來你的客戶又拿到這個 IP,他就無法使用你的服務了。

這時可能有人會問,當你將密碼錯誤次數設定成一次時,風險不會變得很大嗎?萬一自己要登入,結果輸錯了密碼,那不就整台機器變成磚頭了,所以這時候就要設定白名單,我是將區網:192.168開頭的 IP 都設白名單,不管輸入幾次錯誤都不會被封鎖,而區網就是你家裡的成員而已,原則上都是可信任的,何況就算要去試登入你的帳號,也需要幾年的時間,所以如果你從外面要登進你的 NAS,萬一輸錯密碼當時的 IP 被封掉了,也能回家解鎖。

那如果有人手上握有一堆 IP 或是有永遠用不完的 IP 呢?事實上這對攻擊者是基本功而已,我已經使用此方法在我的 NAS 幾年了,到現在每天還是會封到一堆 IP,可見有問題的 IP 是封不完的,這時候長密碼就發揮功效了,設定密碼的重點在於長度,就算你的密碼都是數字,只要長度夠,依然解不開,例如設定個十幾二十位的密碼,幾乎對方就要試到死,更何況你只給他一次的機會,就算他手上有一堆 IP,遲早也會被你封光,或是他借用疆屍電腦,也要做整合,以確保猜過的帳密不重覆,但是還有一個問題,他有幾十億台電腦需要破解,你的 NAS 是多重要,需要他浪費這麼多時間在你身上。

這麼長的密碼我記不住怎麼辦,其實你會記不住是因為密碼可能夾雜了英文、數字、還有大小寫,但如果你全部改成單純的數字,然後將家人的手機號碼做一下排列,好記的長密碼就出現了,最好還是將密碼紀錄下來,說不定你會連排列都忘了,至於怎麼藏或紀錄密碼,我這裡就不做討論了,也許你可以參考自己怎麼藏比特幣私鑰的方法。

總之,防護 NAS 的方法有很多種,就看個人,這裡只是提供你一個另類的方式,說了這麼多其實還是希望你們去 Freebitco.in 網站加入會員,成為我的下線,在你們領免費比特幣的同事,也分一點利潤給我:https://freebitco.in/?r=11846985

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *