基于網絡欺騙的家用無線路由器防護方法

劉奇旭 徐辰晨 劉井強 胡恩澤 靳 澤

1(中國科學院信息工程研究所 北京 100093) 2 (中國科學院大學網絡空間安全學院 北京 100049) (liujingqiang@iie.ac.cn)

近年來，物聯網技術的普及和快速發展讓越來越多的設備智能化，在公共領域、智慧環境(家庭、辦公、工廠)領域、個人和社會領域等方面都有深入應用，然而新的技術和設備的引入也帶來了新的安全和隱私風險[1].隨著智能化應用產品逐漸進入到每個家庭，家用無線路由器也成為了物聯網時代不可或缺的設備.通過無線路由器看劇、打游戲、視頻聊天、辦公等已成常態，可以說現在的家庭生活已經離不開無線路由器[2].在無線路由器市場中，TP-LINK品牌處于霸主地位，無線路由器產品中大多數產品被TP-LINK所占據，25%的關注比例也表明了其強勢地位，斐訊、小米、華為、華碩、騰達等路由器品牌關注比例都在6%～9%之間，如圖1所示.Gartner預測數據顯示，2020年全球聯網設備將達到250億部[3]，遠超過那時的全球人口總數.

Fig. 1 Distribution of market share for Chinese wireless router Q3 in 2017圖1 2017年Q3中國無線路由器市場品牌關注比例分布

隨著智能路由器等終端設備和網絡設備的迅速發展和普及利用，針對物聯網智能設備的網絡攻擊事件比例呈上升趨勢[4].攻擊者利用物聯網智能設備漏洞可獲取設備控制權限，或用于用戶信息數據竊取、網絡流量劫持等其他黑客地下產業交易，或用于被控制形成大規模僵尸網絡.2015年1月，安全研究者發現TP-Link TL-WR840N v1路由器存在跨站請求偽造漏洞(cross-site request forgery, CSRF)，攻擊者可以修改路由器的任意配置，包括域名系統(domain name system, DNS)等.2016年10月22日，導致“美國東海岸斷網事件”的罪魁禍首Mirai僵尸網絡，其目標主要是具有弱口令風險的物聯網設備，包括路由器、機頂盒、攝像頭等.2017年12月，物聯網領域的僵尸網絡Satori，有效利用了華為HG532家庭路由器零日漏洞CVE-2017-17215，在短短12 h控制了數10萬臺家庭路由器.

當前市場上的家用無線路由器安全問題較多，使得家用無線路由器自身和接入無線路由器的設備面臨極大的安全風險，然而針對路由器的防護手段卻極其有限[5]，多數情況下只能等待廠商發布新版本的路由器固件來解決[6].由于家用無線路由器的資源、性能、部署成本、人機交互等因素限制，在家用無線路由器內部安裝安全防護軟件，或者在家用無線路由器外部部署額外的防火墻、入侵檢測系統、入侵防御系統等安全設備均不具備良好的可行性[7]，因此，家用無線路由器亟需一款輕量級的防護方案[8].

針對家用無線路由器的安全困境，本文將網絡欺騙(cyber deception)[9]的思想應用到無線路由器防御方法中，提出一種輕量級的防御框架來保護家用無線路由器.網絡欺騙[10]是由蜜罐演進而來的一種主動防御機制.基于網絡欺騙的防御技術的核心思想是，通過干擾攻擊者的認知以促使攻擊者采取有利于防御方的行動，從而記錄攻擊者的活動與方法、增加其實施攻擊的代價、降低其攻擊成功的概率.輕量級的防御框架在無需安裝外部硬件設備或者修改家用無線路由器系統設置的前提下，利用家用無線路由器在網絡流量匯聚和網絡拓撲結構上的優勢，從路由器面臨的外部攻擊入手保護路由器自身的安全.本文的主要貢獻有2個方面：

1) 提出了一種基于網絡欺騙的家用無線路由器防御方法，在無需外部硬件或者修改設備原有系統的前提下，通過監控HTTP(hypertext transfer protocol)協議網絡攻擊行為，將攻擊流量牽引至影子服務器，欺騙攻擊者的掃描探測、弱口令、CSRF、命令注入等攻擊手段，通過影子服務器收集網絡攻擊流量，為攻擊取證分析[11].

2) 設計并實現了基于家用無線路由器的輕量級防御框架原型系統，針對多種家用無線路由器漏洞，設置相應的實驗環境，在功能上測試驗證了該防御框架對抗主流網絡攻擊的能力，在性能上測試了該框架對原有網絡吞吐能力的影響情況.

1 相關工作

1.1 攻擊面分析

從系統架構的角度考慮，家用無線路由器面臨的攻擊面可以劃分為硬件層面、固件層面[12]、配置管理和應用協議4類：

1) 硬件層面的漏洞主要包括芯片級別的漏洞，路由器芯片的主流廠商有Broadcom,Qualcomm,MTK,Realtek，路由器搭載的處理器(CPU)架構主要包含MIPS,ARM,Intel(x86)等.

2) 固件層面的漏洞也是威脅路由器安全的重要因素，如SQL注入漏洞、CSRF漏洞、遠程命令執行、XSS(cross site scripting)[13]、提權等[14].無線路由器是通過固件進行驅動而運作的，因此固件便成為決定路由器功能與性能的重要元素.目前流行路由器開源固件包括OpenWrt,DD-WRT,TOMATO等.

3) 配置管理層面面臨的攻擊類型以弱口令猜解、暴力破解為主，攻擊者在獲取管理配置界面的登錄權限的基礎上修改DNS解析配置，進而實施路由器流量劫持、篡改等惡意攻擊.導致這類安全威脅發生的主要原因是用戶配置管理不當引起的，例如：用戶使用路由器默認登錄口令，配置簡單易猜解的口令，開放不必要的端口、服務，使用不可信的功能擴展等.

4) 通信協議的缺陷也將家用無線路由器的安全置于不可控的境地，如加密協議WPA(wi-fi protected access)、WPA2協議的缺陷、不安全的通信接口導致路由器升級時的固件劫持等[15].

針對無線路由器面臨的多種安全風險，學術界和工業界也提出一些解決方案：2010年美國Foundry Networks公司提出一種防止遠程攻擊網絡設備(例如交換機和路由器)CPU管理功能的方法[16]；2013年，360公司推出360安全路由器，能夠對惡意網站進行攔截，在一定程度上保護路由器子網內用戶的上網安全[17]；2013年來自葡萄牙阿威羅大學的研究人員在文獻[18]提出了一種基于生成流量的針對有WiFi保護設置WPA路由器攻擊的檢測方法，通過監測流量并進行多維度分析，識別網絡入侵行為.2015年來自CNCERTCC的Fang等人在文獻[19]中提出了基于挖掘模型和接入偽造技術的漏洞檢測方法，可以有效檢測網絡設備中的腳本漏洞.然而這些方法無法有效解決家用無線路由器面臨的固件層面的安全風險.

1.2 攻擊模式分析

針對無線路由器的攻擊案例層出不窮[20]，本文根據攻擊者所處的網絡位置的不同，將針對無線路由器的攻擊簡單劃分為外部攻擊和內部攻擊.攻擊者接入無線路由器之后發起的攻擊稱之為內部攻擊，否則稱之為外部攻擊.內部攻擊一般發生在咖啡館、商場等地的公共WiFi，或者是其他被“蹭網”的WiFi環境下.本文重點分析外部攻擊的常見2種攻擊模式:

1) 攻擊者對互聯網進行大規模掃描，或者利用Shodan,ZoomEye等網絡空間探測引擎，基于無線路由器的指紋特征進行掃描或搜索，并在不需要接入無線路由器的情況下，直接通過互聯網對目標路由器發起遠程攻擊.例如2018年1月公開的D-Link DIR 645無線路由器遠程命令執行漏洞(CNVD-2018-01084)，由于service.cgi中拼接了HTTP POST請求中的數據，造成后臺命令拼接，導致了任意命令執行，攻擊過程如圖2所示:

Fig. 2 Attack process diagram of CNVD-2018-01084圖2 CNVD-2018-01084攻擊過程圖

2) 攻擊者在互聯網中活躍，借助無線路由器子網下的其他主機作為跳板，向無線路由器發起攻擊.例如Pharming網址嫁接攻擊.Pharming通過在網頁中植入網頁木馬或者利用域名服務器上的漏洞將受害者錯誤地引導到偽造的網站中，并伺機竊取受害者證書或敏感信息.如圖3所示，一旦受害者訪問路由器CSRF漏洞利用程序的頁面，攻擊者設置的漏洞利用程序就會對路由器進行攻擊，進入路由器管理頁面后，程序會自動修改路由器的DNS設置，進而將受害者網頁訪問重定向到攻擊者的服務器，可導致受害者更大的財產損失[21].

Fig. 3 Attack process diagram of CSRF圖3 CSRF攻擊過程圖

對于外部攻擊，攻擊流量經過路由器的WAN口進入路由器，如圖2所示的命令注入，在攻擊者向路由器的80端口發送HTTP請求時，我們可以在真正監聽80端口的服務獲得流量之前對流量進行截取分析；對于內部攻擊，以圖3所示的CSRF攻擊為例，LAN內的受害者瀏覽器向路由器進行CSRF攻擊時的流量也可以使用同樣的方法進行截取分析.

Fig. 4 Overall framework model圖4 整體框架模型

2 總體思路

針對無線路由器的外部攻擊場景，本文提出基于網絡欺騙的無線路由器防護方法，面向的主要防護對象為百元價位的家用無線路由器.家用無線路由器作為嵌入式設備，具備可移植的操作系統[22]，擁有一定的計算能力和存儲能力，具備的簡單的安全防護機制，如端口過濾、MAC地址過濾等，但通常只具備安全威脅發生后的簡單響應機制，且對用戶自身的安全意識要求較高，缺少主動防御安全威脅的策略.

基于家用無線路由器存在的安全問題現狀，結合家用無線路由器的性能，我們設計了基于網絡欺騙的家用無線路由器安全防御框架，如圖4所示.流量攔截功能基于中間人攻擊(man in the middle, MITM)中間人技術對經過路由器的網絡流量進行攔截，為流量檢測模塊提供數據分析支撐.流量檢測功能通過流量解包還原處理，根據流量是否存在惡意代碼特征，判定流量是否需要轉發[23].當存在惡意特征時，流量牽引功能負責將攔截的流量牽引至影子服務器，否則直接返回至請求服務的客戶端.影子服務器部署有影子服務模塊，攻擊者對路由器發起的攻擊流量經過篡改、牽引，最終轉移到影子服務器上，以此掩護真實的目標免受黑客攻擊.影子服務克隆和同步真實家用無線路由器的功能，運行虛假的網絡服務，攻擊者可對這些虛假服務發起任意攻擊，進而實現攻擊Payload獲取，為進一步的攻擊者追蹤溯源取證提供依據等.

基于上述總體思路，我們基于OpenWrt設計并實現了原型系統OWCD(openwrt with cyber deception).OpenWrt作為一個功能強大的開源路由器Linux系統，用戶可以很方便地對其進行定制、優化.如圖5所示，OWCD部署于用戶自定義軟件部分，作為OpenWrt系統的應用程序運行.OWCD包含流量處理子系統和影子服務子系統，其中流量處理子系統包含流量攔截模塊、流量檢測模塊、流量牽引模塊，影子服務子系統由影子服務模塊和流量采集模塊構成.

Fig. 5 Architecture of OpenWrt system and diagram of OWCD Deployment Level圖5 OpenWrt系統架構及OWCD部署層次圖

3 設計與實現

3.1 開發語言及相關技術

OWCD的開發語言以及第三方庫使用的情況如表1所示.流量攔截模塊、流量檢測模塊和流量牽引模塊采用C語言開發，使用mipsel-openwrt-linux-gcc交叉編譯成OpenWrt平臺的二進制程序.在流量檢測模塊中引入輕量級Perl語言正則表達式(perl compatible regular expressions, PCRE)庫，用于根據預設規則來識別異常流量.

Table 1 Programing Languages and Iibraries Used in Modules表1 各模塊開發語言及第三方庫使用情況

PCRE功能強大且性能超過了POSIX(portable operating system interface for computing systems)正則表達式庫和一些經典的正則表達式庫.影子系統則采用開源路由器操作系統OpenWrt使用的LUCI Web管理模塊，該模塊采用Lua語言編寫，具備對其功能定制和改進的可行性.

3.2 流量處理子系統

流量處理子系統由流量攔截模塊、流量檢測模塊、流量牽引模塊等3部分組成，功能分述如下：

1) 流量攔截模塊運行在路由器上，通過MITM中間人技術，對目的地址為路由器自身的流量進行預先攔截，并將流量提交給流量處理模塊.流量處理模塊運行在路由器操作系統的內核中，保證在應用程序接收到流量之前，流量攔截模塊就可以將流量攔截.流量攔截模塊使用路由器操作系統中的iptables進行流量轉發，iptables運行在內核中，可以在應用程序接收到網絡流量之前對流量進行攔截.流量檢測模塊的整體運行邏輯偽代碼如圖6所示:

Input:args,data packet source obtained by interception socket,destination IP,buffer;Output:None.∕*Entry point*∕Function detect(args) If args is not null and len(args)=3 Then source_sock=args[0]; destination_ip=args[1]; buffer=args[2]; End If flag=0; If check(buffer) Then ∕*Markup Attack Traffic*∕ flag=1; ∕*Add Attack Information to attack_table*∕ attack_add(source_sock,buffer); ∕*Write Logs*∕ log(source_sock,destination_ip,buffer); End Ifrelay(buffer,flag,source_sock,destination_ip).

Fig. 6 Pseudocode of traffic-detection module
圖6 流量檢測模塊偽代碼

2) 流量檢測模塊主要是對流量攔截模塊所攔截的HTTP協議流量進行檢測，提取出流量中的關鍵數據，并根據自定義檢測規則進行匹配，判定其是否包含攻擊意圖的惡意流量.同時，為了使判斷時間盡量縮短，在對數據包整體進行正則匹配之前，流量處理子系統先對HTTP數據包中的Cookie字段進行分析記錄.如果Cookie與標記為惡意的Cookie列表相匹配，則直接判定為惡意流量.

目前針對路由器Web管理界面的攻擊大多是利用了弱口令、SQL(structured query language)注入漏洞、命令注入漏洞等常見的安全風險.因此，對于Web管理界面的防護來說，流量檢測模塊的主要功能是對于訪問目標是路由器Web管理系統的HTTP數據包進行分析處理，一旦發現數據包中存在惡意攻擊載荷就及時對其進行牽引，將該含有惡意攻擊載荷的數據包交由流量牽引模塊進行處理.但是，由于家用路由器的資源和處理器性能和存儲空間的限制，因此，檢測規則以文件的形式保存在路由器中，當路由器啟動時會從規則文件中加載若干條規則，從而根據規則來進行匹配，同時在無線路由器中還會存在定時任務，定時去云端服務器獲取最新的規則，并重新加載規則.目前的規則所使用的是正則匹配的模式，即程序根據從云端獲取到的正則表達式規則，與數據包中的數據進行正則匹配，一旦匹配成功則代表該數據包存在惡意的參數，程序將標記該數據包為惡意流量數據包，并交由流量牽引模塊進行轉發.規則基于新出現的路由器漏洞定期更新和維護，部分正則規則如圖7所示:

Fig. 7 Part of the traffic monitoring rules
圖7 部分流量檢測規則

Fig. 8 Workflow diagram of traffic processing subsystem圖8 流量處理子系統工作流程圖

3) 流量牽引模塊負責根據流量檢測模塊的結果對數據包進行標記，將正常流量轉發給真實的服務器，將疑似惡意流量牽引至云端的影子服務器.利用TCP(transmission control protocol)UDP(user datagram protocol)Relay技術，流量牽引模塊作為轉發中間人，使正常用戶和攻擊者幾乎察覺不到中間人的存在，流量處理工作流程如圖8所示:

3.3 影子服務器子系統

Fig. 9 Flow diagram of creation and update of shadow service圖9 影子服務創建與更新流程圖

被流量檢測模塊檢測出的惡意流量將被牽引到影子服務器.影子服務的創建與更新流程，如圖9所示，被檢測出來的惡意流量數據包被標識為惡意流量后，通過流量轉發模塊修改數據包，進而被轉發到影子服務器上.影子服務器具有與被保護的路由器相同的Web管理界面，但是該Web管理界面并不具備真實的管理功能，即使惡意用戶使用Web攻擊手段取得了該影子服務器的Web管理界面的權限，也不能夠對路由器進行操作.同時，影子服務器部署在1臺云端服務器上，其內部同樣運行著與所保護的路由器相同的OpenWrt系統和LUCI Web管理界面.

影子服務器子系統主要包含了影子服務模塊和流量采集模塊，其中，影子服務模塊的主要功能就是對無線路由器Web管理系統進行克隆，并進行部分功能的弱化處理，比如設置弱口令等.流量采集模塊則是為了能夠更好地了解攻擊者的攻擊手段，在云服務器中運行流量采集程序，一旦攻擊者的流量進入該影子服務器，則將被完全地捕獲下來，進而為后續的攻擊者的攻擊手段分析和特征提取奠定基礎.

影子服務模塊搭建在云服務器上的OpenWrt虛擬機中，并安裝OpenWrt-luci服務，安裝后對系統進行初始化.流量采集模塊同樣部署在這臺OpenWrt云服務器上，由于OpenWrt系統中帶有tcpdump程序，因此，本文使用tcpdump程序捕獲網絡流量數據，并定時保存.

4 實驗與結果分析

為了測試OWCD的實際效果，本文選取斐訊PHICOMM K1無線路由器產品作為實驗平臺部署基于網絡欺騙的路由器防護框架原型系統.我們利用無線路由器的SSH(secure shell)協議管理功能，通過Shell管理工具將OWCD系統主程序上傳到無線路由器中并運行，進而完成路由器的測試環境部署.本文主要進行功能測試和性能測試：在功能測試中，主要測試OWCD對于常見的針對無線路由器Web管理界面的攻擊是否能夠有效發現并牽引到影子服務器；而性能測試則是通過部署系統前后網絡吞吐能力的對比，分析系統對于無線路由器吞吐能力的影響情況.

4.1 實驗環境

具體的功能測試和性能測試的實驗環境如圖10所示.其中無線路由器PHICOMM K1(安裝系統為OpenWrt 15.05)運行著OWCD的主程序；1臺PC(操作系統為Windows 10 pro 64 b，CPU為Intel Core i7-4700MQ 2.4 GHz，內存為8 GB)接入到該無線路由器作為性能測試和功能測試的操作設備；1臺云主機(安裝系統為OpenWrt 15.05，CPU為1 GHz，內存為1 GB)作為云端服務器，部署影子服務子系統.

Fig. 10 Experimental test environment network topology圖10 實驗測試環境網絡拓撲圖

4.2 功能測試

功能測試部分主要測試OWCD針對利用CSRF、遠程命令執行等目前常見的Web漏洞進行攻擊時的實際防御效果.主要包括2個方面：

1) 惡意流量識別測試.測試對惡意流量識別的準確度.

2) 流量牽引和記錄能力測試.測試惡意流量是否被牽引到影子服務器，以及影子服務對惡意流量的記錄能力.

4.2.1 惡意流量識別能力測試

針對家用路由器的惡意攻擊主要包括口令爆破和遠程命令注入.為了使實驗更加真實，本文利用近年來公開的無線路由器的漏洞利用程序對部署OWCD的路由器進行攻擊，并在影子服務器端進行流量監控.若發起攻擊時，影子服務器收到了攻擊流量，則判定識別成功.

本文采用的惡意流量識別能力測試包含5種實驗：

實驗1,2采用弱口令字典針對Web管理界面的密碼進行5次秒的爆破.

實驗3,4,5采用已知的路由器高危漏洞對路由器系統進行攻擊.其中：實驗3采用TP-Link WR940N路由器的CVE-2017-13772遠程命令注入漏洞驗證程序進行測試；實驗4采用華為HG532路由器的CVE-2017-17215遠程命令注入漏洞利用程序進行攻擊測試；實驗5采用D-Link dir600M CSRF漏洞驗證程序進行測試.表2的實驗結果顯示，基于網絡欺騙的路由器防護框架原型系統能夠成功識別上述網絡攻擊.

Table2TestResultsofAttackTrafficIdentificationAbilitytoProtectedDevices

表2 對針對被保護設備的攻擊流量識別能力測試結果

同時，我們也模擬了用戶的正常操作，如添加網卡、修改IP(internet protocol)地址、更改防火墻信息、添加定時重啟服務等.經測試發現，OWCD不會對正常操作造成影響.針對口令暴力破解，實驗進行了正常的用戶忘記口令后的“試密碼”操作，手工進行錯誤密碼的輸入嘗試，在正常的鍵盤敲擊口令的情況下，沒有發生流量誤判的情況.

4.2.2 影子服務異常流量捕獲測試

對于上述被牽引至影子服務器的7種攻擊流量， 我們在影子服務中檢查定期保存的流量二進制文件，可以看到所有的攻擊流量及日志文件，如圖11所示:

Fig. 11 The shadow server captures the abnormal traffic log圖11 影子服務器捕獲異常流量日志

4.3 性能測試

4.3.1 路由器管理性能測試

OWCD流量處理子系統采用正則匹配和流量牽引的方式工作，首先對無線路由器Web管理操作的進行延遲測試，測試過程如下，測試結果如表3所示：

Table 3 Results of Router Management Performance Test表3 路由器管理性能測試結果 s

2) 登錄管理界面，在用戶名密碼中輸入記錄登錄過程所需要的時間.

3) 更改靜態路由，在管理界面中更改靜態路由，并記錄點擊確定后網頁響應的時間.

4) 更改管理密碼，在路由器管理頁面中修改管理密碼，并記錄網頁響應的時間.

測試結果表明：部署OWCD系統后的無線路由器，對路由器管理性能影響較小，不影響正常的配置路由器操作.

4.3.2 流量吞吐能力測試

OWCD在運行時對HTTP協議網絡流量進行檢測處理，因此需要對測試無線路由器的網絡吞吐能力進行測試，并與部署之前進行對比.為了便于比對測試效果，我們依次模擬Ping命令、打開網頁、下載文件等常用操作，性能測試結果如表4所示:

Table 4 Results of Traffic Throughput Performance Test表4 性能測試結果 s

1) Ping操作.通過執行命令Ping www.baidu.com 測試網絡響應時間.

2) HTTP下載文件.使用Chrome 瀏覽器(版本66.0.3330.0 canary 64 b)下載文件，下載地址：http:down10.zol.com.cnxiezuosogou_pinyin_89a.exe.

3) 打開網頁.使用Chrome瀏覽器(版本66.0.3330.0 canary 64位)打開簡單網頁(18個請求、288 KB)和復雜網頁(506個請求、5.2 MB)記錄頁面加載時間，每次打開網頁后對瀏覽器緩存進行清理.

各測試項對應的耗費時間，如圖12所示，部署OWCD后，在3項的測試中，未部署和已部署原型系統耗費時間差別不大.使用PHICOMM K1路由器進行文件下載測試，對CPU和內存占用率性能進行對比，如圖13所示，隨著下載速率的提升，CPU占用率呈上升趨勢，而內存占用率基本不受影響.對比部署前后的數據可知，正常使用路由器時，OWCD系統對CPU占用率幾乎沒有影響，內存占用率只增加0.7%左右.總的來說，我們的系統對于無線路由器的吞吐能力影響微乎其微，效果良好.

Fig. 12 Simple Web page, complex Web page, HTTP download file performance test圖12 簡單網頁、復雜網頁、HTTP文件下載性能測試

Fig. 13 CPU, memory utilization percentage comparison before and after the deployment of OWCD圖13 部署OWCD前后CPU、內存利用率對比

5 討 論

在無線路由器所處的網絡環境中部署防火墻、入侵檢測系統、入侵防御系統等安全防護設備，一定程度上能夠從攻擊行為入手及時發現并阻斷對無線路由器的攻擊.但此類防護設備部署成本高，通常被企業級應用采用，普通家庭用戶由于成本和接入無線路由器設備數量少等原因一般不會部署此類設備.一些可在智能終端安裝的第三方防護軟件，如360路由器衛士，只提供簡單的限速管理、防蹭網、網絡異常診斷等功能，并不具備攻擊檢測能力.另外，從家用無線路由器設備自身來看，目前主流家用無線路由器設備無法進行有效的攻擊檢測和應急響應，使得家用無線路由器面臨極大的安全風險.

本文提出的基于網絡欺騙的家用無線路由器安全防御框架，充分考慮家用無線路由器的計算和存儲能力的基礎上在路由器內部進行網絡流量攔截，通過檢測處理流經家用無線路由器的網絡流量，發現應對常見家用無線路由器設備的攻擊行為；同時，使用部署在云端的影子服務進行網絡欺騙，收集攻擊利用代碼，發現攻擊者的意圖，為攻擊者追蹤溯源提供依據.另外，影子服務部署于云端，不單獨接入外部硬件設備和改變原有路由器的操作流程，有利于在普通家庭用戶中推廣使用.

然而本文提出的方法也存在一些局限性：

1) 基于網絡欺騙的家用無線路由器安全防御框架是基于應用層的，面對諸如TCP,UDP等網絡層發起的通信協議層面的網絡攻擊，并不能做出有效的防御；

2) 在實際的功能測試過程中，針對低速口令暴力破解的網絡攻擊行為，OWCD會在爆破的第10次左右進行響應，如果判斷過于敏感，很可能會造成誤判；

3) 在實際的性能測試過程中，網絡流量分析在一定程度上帶來了傳輸延遲，當然隨著帶寬的升級和云端網絡節點的優化，此類問題會逐漸得到改善；

4) 額外引入了云端的影子服務器，增加了新的部署成本，當然隨著邊緣計算[24-25]等新技術的發展，無線路由器作為邊緣設備配合云端的模式將得到廣泛的認可；

5) 本文對HTTP協議進行了流量分析，然而對于HTTPS協議產生的網絡流量無法處理.

6 總 結

物聯網技術的飛速發展，使得無線路由器被家庭用戶廣泛使用，但目前學術界和工業界并沒有明確提出針對家用無線路由器的專用安全防護方案.當某一型號的家用無線路由器出現安全問題時，最常用的解決方案是等待廠商發布修復版本的固件讓用戶自行更新，通常面臨的問題廠商提供固件更新不及時、普通用戶自行更新固件難度大、用戶更新固件不及時等問題，進而導致家用無線路由器自身以及接入無線路由器的智能終端面臨極大的安全風險.本文將網絡欺騙的思路應用于家用無線路由器的防御，通過監測HTTP協議網絡攻擊行為，將疑似網絡攻擊流量牽引到部署在云端的影子服務器，進而降低無線路由器自身的安全風險，同時也為進一步攻擊取證分析以及攻擊者追蹤溯源提供數據支撐.基于上述方法，我們設計并實現了基于OpenWrt的無線路由器防御框架原型系統OWCD，并部署于斐訊Phicomm K1無線路由器中進行實際的功能測試和性能測試.實驗驗證結果表明：OWCD在不影響正常功能的情況下，能夠有效對抗針對無線路由器的弱口令、CSRF、命令注入等攻擊手段是一種有效可行的防護方案.