别让家里的网络门户大开
你有没有想过,家里路由器上的那些端口,其实就像一扇扇没上锁的门?黑客可能正悄悄从这些“门”溜进来。很多人只关心Wi-Fi密码设得够不够复杂,却忽略了端口安全这个更关键的问题。
默认服务端口要关掉
大多数家用路由器出厂时都开启了远程管理功能,比如80端口或8080端口。这就意味着,只要知道你的公网IP,别人就能尝试登录你的路由器后台。建议进路由器设置页面,把远程管理、Telnet、SSH这类非必要服务统统关闭。
以TP-Link为例,进入「系统工具」→「远程管理」,把远程管理状态设为“关闭”,保存设置即可。
善用防火墙规则限制出入站
家用路由器基本都带基础防火墙功能。可以在「安全设置」里添加规则,只允许特定端口对外通信。比如你家没人做视频直播或建私人服务器,那像1935(RTMP)、8554(RTSP)这类流媒体端口就没必要开着。
如果你在用NAS或需要远程访问家里的设备,建议改用非常见端口。比如把默认的3389远程桌面端口改成63389,能有效避开大部分自动化扫描攻击。
# 示例:iptables 规则禁止外部访问本地 3389 端口
<iptables -A INPUT -p tcp --dport 3389 -j DROP>定期检查设备开放了哪些端口
手机连上家里的Wi-Fi后,可以下载一个叫“Fing”的App,它能自动扫描局域网内所有设备,并列出每个设备正在监听的端口。某天你发现孩子的平板突然开了8080端口跑了个Web服务,就得警惕是不是中了恶意软件。
也可以在电脑上用命令行检测。Windows用户打开CMD,输入:
<netstat -an | findstr LISTENING>启用UPnP要三思
很多游戏或视频会议软件提示“网络延迟高”,原因是NAT类型太严格。于是有人开启UPnP想自动开墙,结果反而把一堆端口暴露出去。建议手动配置端口映射,而不是依赖UPnP这种“全自动放行”机制。
比如玩《我的世界》联机,只需要在路由器里做一条规则:把外网请求的25565端口转发到主机的内网IP,其他端口一律不放行。
固件更新不能拖
厂商发布的固件更新,很多时候就是在修补某个端口相关的漏洞。去年就有个关于MiniUPnPd组件的高危漏洞(CVE-2022-29499),影响大量老旧路由器。如果你的设备还在用两年前的固件,风险可想而知。
进一次后台花不了几分钟,但能避免半夜被黑客拿你家摄像头当跳板去攻击别人。