無公網(wǎng)ip的內(nèi)網(wǎng)穿透方案知乎_內(nèi)網(wǎng)穿透和公網(wǎng)ip哪個(gè)網(wǎng)速快

本文內(nèi)容來自「知乎」

觀點(diǎn)歸原作者所有

　　事件描述

　　2017 年 5 月 12 日全球多個(gè)國家和地區(qū)爆發(fā)的一次黑客利用先前泄露的 NSA 攻擊工具「永恒之藍(lán)」（Eternal Blue）進(jìn)行的大規(guī)模攻擊勒索，該攻擊導(dǎo)致大量用戶文檔和圖片無法打開，并被要求支付贖金。

　　網(wǎng)友分析

　　根據(jù)部分公開報(bào)道來看，已經(jīng)有一些公共服務(wù)/民生設(shè)施收到影響，石油，電信，銀行，甚至公安網(wǎng)都有受波及。答主此時(shí)的內(nèi)心是絕望的...作為半個(gè)軟粉，看到因?yàn)槲④浀南到y(tǒng)捅無公網(wǎng)ip的內(nèi)網(wǎng)穿透方案知乎了這么大簍子，心里不太好受

　　但是仍然有可以樂觀的理由無公網(wǎng)ip的內(nèi)網(wǎng)穿透方案知乎：這些國計(jì)民生的關(guān)鍵服務(wù)的核心系統(tǒng)大多是unix/solaris或者其他“不常見”的系統(tǒng)，并不會(huì)收到感染無公網(wǎng)ip的內(nèi)網(wǎng)穿透方案知乎；受感染的僅是終端設(shè)備，數(shù)據(jù)應(yīng)該是安全的。因?yàn)椴簧婕皵?shù)據(jù)，修復(fù)起來相對比較容易。向所有被叫回去加班的各部門、公司技術(shù)/運(yùn)維人員表示感謝。

　　1，個(gè)人寬帶/家庭用戶方面，運(yùn)營商應(yīng)該已經(jīng)主動(dòng)屏蔽了445端口無公網(wǎng)ip的內(nèi)網(wǎng)穿透方案知乎；即使未屏蔽，一般家庭都在使用無線路由器，默認(rèn)情況下不對公網(wǎng)開放/轉(zhuǎn)發(fā)任何端口，也可以避免被攻擊。

　　2，校園網(wǎng)方面，教育網(wǎng)雖然未主動(dòng)屏蔽445。但很多高校對師生個(gè)人計(jì)算機(jī)的IP地址的公網(wǎng)訪問采用白名單方式，也可以避免。

　　2.1，學(xué)校歷來是病毒的重災(zāi)區(qū)，主客觀原因都有;想要解決起來問題也不少而且也不容易解決。

　　3，Win10用戶被微軟強(qiáng)制開啟自動(dòng)更新了，應(yīng)該已經(jīng)更新ms17-010補(bǔ)丁了;但是校園網(wǎng)中存在了大量關(guān)閉了自動(dòng)更新的Win7(或其他低版本W(wǎng)indows)用戶，可能會(huì)成為重災(zāi)區(qū)。

　　4，如果中招了，請做好丟失那些文件的準(zhǔn)備。根據(jù)以往經(jīng)驗(yàn)，交錢并不能消災(zāi)。文件應(yīng)該是被aes128加密(后續(xù)版本有沒有用aes256不知道)，在當(dāng)前技術(shù)條件下，全球絕大多數(shù)人并沒有足夠的計(jì)算能力來對其進(jìn)行暴力破解。想通過暴力破解來救回文件的可以死心了。

　　5，現(xiàn)在判斷該病毒僅通過主機(jī)主動(dòng)掃描發(fā)動(dòng)的攻擊，對于很多不開放公網(wǎng)權(quán)限的學(xué)校及單位還相對威脅不大。如果進(jìn)一步的變種具備了蠕蟲特性，受感染的主機(jī)進(jìn)一步掃描其局域網(wǎng)內(nèi)設(shè)備并進(jìn)行攻擊，可能受災(zāi)面會(huì)進(jìn)一步擴(kuò)大。希望在這一天到來之前，大家都把補(bǔ)丁補(bǔ)齊了。

　　6，請(希望)所以看到這個(gè)回答的人盡快著手備份自己的重要文件，并養(yǎng)成異地多活備份的習(xí)慣。不要等數(shù)據(jù)丟了才意識到備份的重要性。

　　平時(shí)多備份，災(zāi)時(shí)少流淚

–––––腦洞分割線–––––

　　這個(gè)漏洞(后門)是先被人曝光出來了，并且微軟已經(jīng)及時(shí)發(fā)布了補(bǔ)丁而且在還有Win10強(qiáng)制自動(dòng)更新這種有益Buff加成情況下，依然造成了嚴(yán)重危害。

　　如果有類似的后門在戰(zhàn)時(shí)被精心策劃使用，其破壞力可能可以相當(dāng)于在敵國首都扔了一顆大伊萬。雖然不一定能造成人員傷亡，但使該國的生活水平倒退到20世紀(jì)90年代不成問題。

————補(bǔ)充————

　　殺毒方案：https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/ransom_wcry.c

　　360解決方案：https://dl.360safe.com/nsa/nsatool.exe

　　微軟官方解決方案（不是殺毒）：Microsoft 安全公告 MS17-010 - 嚴(yán)重

　　其他預(yù)防方案：如果自己并不需要使用smb共享文件，可以考慮直接使用windows自帶防火墻主動(dòng)屏蔽445端口來達(dá)到“臨時(shí)解決”的目的

　　不過其實(shí)對于已經(jīng)中毒的用戶并沒有什么實(shí)質(zhì)性作用，毒可以清除了，數(shù)據(jù)還是回不來

　　Wcry前世今生：Wcry Ransomware

　　關(guān)于被加密資料無法被解密的原因：

　　根據(jù)上文提及的Wcry Ransomeware 中的說法，病毒采用AES-128{什么是AES？

　　密碼算法詳解--AEShttps://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86}

　　方式加密用戶數(shù)據(jù)，主密鑰長度為128bit=16Byte，約為0.016KB；病毒編寫者理智的做法是在每臺電腦上進(jìn)行加密操作時(shí)，隨機(jī)生成個(gè)128bit的密鑰并對用戶數(shù)據(jù)進(jìn)行加密，同時(shí)或等加密完成后，將該密鑰提交回自己的服務(wù)器并刪除受感染用戶計(jì)算機(jī)上的密鑰。一切處理妥當(dāng)，彈出勒索界面，用戶終于知道了自己被感染了，然而已經(jīng)晚了。

　　AES的暴力破解是世界性難題，以AES-128為例，其密鑰總個(gè)數(shù)為2的128次方個(gè)，約為3.4×10的38次方個(gè)，如果生成所有密鑰并存儲(chǔ)在一個(gè)文本文檔中，忽略換行等其他開銷，大概需要占用4.95×10的27次方TB。

　　病毒體本身不保存密鑰，無密鑰情況下暴力破解又是不可能完成的任務(wù)，利用Windows的高危漏洞進(jìn)行傳播，可以在用戶不進(jìn)行任何操作的情況下感染，這大概就是這個(gè)勒索病毒最令人感到絕望的地方了。

　　還好，國內(nèi)運(yùn)營商反應(yīng)夠快；還好，無線路由普及了（所以我要吐槽IPv6沒有NAT6了，把所有設(shè)備暴露在公網(wǎng)上，一旦出現(xiàn)類似情況必死無疑）；還好，微軟被人罵慘了的強(qiáng)制開啟Win10的自動(dòng)更新終于還是立大功了

　　在校園網(wǎng)又不想裝第三方殺毒的人（今后）能做什么：開啟自動(dòng)更新；開啟Windows自帶的防火墻；聯(lián)系學(xué)校把所有師生的IP地址禁用公網(wǎng)訪問權(quán)限，僅開放白名單內(nèi)的IP（大誤，我會(huì)被打死的）；如果有可能，在電腦和校園網(wǎng)直接加一個(gè)路由器以避免個(gè)人電腦被直接暴露在公網(wǎng)上（我打賭，以后不會(huì)出現(xiàn)路由器和Windows操作系統(tǒng)同時(shí)爆出0day，就算是同時(shí)爆0day了，現(xiàn)在路由器廠商/系統(tǒng)這么多，我賭它不會(huì)出現(xiàn)所有路由器都被0day）。

　　ps:經(jīng)評論區(qū)提醒，現(xiàn)在的家用路由也一堆0day沒（法）修復(fù)

　　涉密不上網(wǎng)，上網(wǎng)不涉密，這是保證安全的最好途徑了

　　如果必須要聯(lián)網(wǎng)，安全就只能是相對的安全了。

　　如果懶得根據(jù)教程手動(dòng)添加防火墻規(guī)則，或者不放心自己設(shè)置是否正確，可以使用如下方案：

　　以管理員模式運(yùn)行cmd或powershell，并依次執(zhí)行以下兩條命令（Windows7及以上，vista沒測試，應(yīng)該也行）

　　netsh advfirewall set allprofile state on netsh advfirewall firewall add rule name=deny445 dir=in action=block protocol=TCP localport=445

　　WindowsXP直接在cmd窗口中運(yùn)行（不保證一定有效）：

　　netsh firewall set opmode enable netsh firewall set portopening protocol=TCP port=445 mode=disable name=deny445 net stop rdr net stop srv net stop netbt

　　第一條命令為開啟防火墻（無論防火墻是否開啟都可以執(zhí)行）

　　第二條命令為添加一條inbound記錄，名字為band445，內(nèi)容為拒絕445端口的tcp連接

　　雖然病毒危害很大，但我們?nèi)孕枰３只镜睦碇?/p>

　　1、雖然用路由可以避免遭受攻擊，但是校園網(wǎng)不讓用路由，一人一號一IP這些規(guī)定不應(yīng)該為這件事背鍋。這件事的鍋只能甩到NSA頭上。

　　答主上學(xué)的學(xué)校采用的白名單制，雖然用著公網(wǎng)ip，但只要不在白名單里，所有入口請求都會(huì)被學(xué)校給攔截掉。說實(shí)話即使現(xiàn)在依然羨慕你們這些有手里能拿的IP有公網(wǎng)權(quán)限的學(xué)校/人。

　　2、我仍然不建議把445甚至是135，137，138，139端口一關(guān)了事，正統(tǒng)的解決方案是打補(bǔ)丁，因噎廢食就不好了。smb服務(wù)提供了很方便的局域網(wǎng)共享服務(wù)，可以很簡單的共享文件及打印機(jī)。在建議別人關(guān)掉端口的時(shí)候，同時(shí)也要告知，一旦端口關(guān)了，通過“網(wǎng)絡(luò)”或者“網(wǎng)上鄰居”共享文件/打印機(jī)就不能用了；所以雖然我在上面給出了如果在防火墻里設(shè)置攔截目標(biāo)端口為445的tcp請求的方法，但這這只是一種臨時(shí)措施，用來避免在打補(bǔ)丁的同時(shí)被感染。在補(bǔ)丁打完后，如果有共享文件的需要請把deny445的規(guī)則刪除；即使暫時(shí)沒有相關(guān)需求，也希望用戶知道自己在防火墻里設(shè)置了什么。

　　Smb是一個(gè)好東西，即使答主現(xiàn)在使用Osx或者Linux，都會(huì)安裝/開啟這個(gè)服務(wù)（用來替代Nfs來進(jìn)行局域網(wǎng)文件共享）。

　　3、這次爆發(fā)的Wcry Ransomware目前并沒有看到有殺毒軟件廠商更新病毒庫，不知道其是不是蠕蟲。

　　如果不是蠕蟲，其攻擊特點(diǎn)是需要有人來操控，受感染的計(jì)算機(jī)不具備互相傳染的能力。但同時(shí)，受感染的計(jì)算機(jī)中也不會(huì)存在完整的病毒體；用來進(jìn)行加密操作的主體很可能在加密操作完成后就被刪除了，只留下一個(gè)能彈窗讓用戶付錢的小程序即可。

　　如果是蠕蟲，特點(diǎn)是一臺機(jī)器感染，蠕蟲會(huì)嘗試傳染到它能訪問到的其他機(jī)器。如果是這種情況，則可以在受感染的計(jì)算機(jī)中找到完整的病毒（雖然找到了也沒啥用）。并可以分析其是否有“將主密鑰回傳的操作”。不過，我個(gè)人懷疑不可能有，因?yàn)檫@一操作太脆弱了。無論是向目標(biāo)服務(wù)器的ip還是域名發(fā)請求，在病毒主體被截獲后，這個(gè)ip/域名很容易就被屏蔽了，而且這么招搖留個(gè)ip在那兒并不會(huì)增加攻擊者的“預(yù)期收益”。嗯，這段話的意思是，想著花錢消災(zāi)的人大概可以放棄這個(gè)想法了。

　　根據(jù)cnbeta報(bào)道，若報(bào)道屬實(shí)，期待wcry“疫情”能盡快得到控制。