如果你有很多设备的话，转发路由器上的端口以便设备可以与外界通信可能是件麻烦的事，所以像UPnP这样的技术听起来如此方便是有道理的。这个自动过程假设，当内部程序请求访问时，向internet公开您的网络是安全的，这通常是正确的，除非是恶意软件在请求。

看到问题了吗？一般来说，攻击者会找到创造性的方法，利用过度信任的UPnP协议来执行各种有趣的操作，包括端口扫描您的网络以寻找其他攻击向量。

你没有真正的理由运行UPnP。这种便利不值得冒网络安全的风险。如果一个应用程序不能工作，比如你最喜欢的BitTorrent下载工具，转发端口并不是一个困难的过程。当然很烦人，但比依赖UPnP安全多了。

如果您需要更具说服力的话，Ars Technica提供了一个全新的概念验证攻击的健康报告，该攻击利用UPnP中的另一个漏洞，利用易受影响的设备创建一个巨大的分布式拒绝服务（DDoS）网络。有趣！

正如丹·古丁所写：

该漏洞的工作原理是滥用UPnP SUBSCRIBE功能，当某些事件（如播放视频或音乐曲目）发生时，设备使用UPnP SUBSCRIBE功能从其他设备接收通知。具体来说，call陌生人发送订阅请求，伪造接收结果“回调”的URL

为了执行DDoS攻击，Call陌生人会发送一系列订阅请求，欺骗互联网上第三方网站的地址。当攻击与其他设备协同执行时，冗长的回调会给站点带来大量垃圾流量。在其他情况下，接收回调的URL指向内部网络中的设备。这些响应会造成类似于服务器端请求伪造的情况，使攻击者能够入侵网络防火墙后面的内部设备。”

所以，已经禁用upnp了

最简单的方法，以确保您的网络不参与这个孩子的僵尸网络是禁用UPnP在您的路由器。这很容易做到，但如果存在的话，这个选项很可能隐藏在高级设置菜单下。例如，在典型的TP-Link Archer A20上，您可以在以下位置找到它：Advanced&gt；NAT转发&gt；通用即插即用。如果你以前在路由器配置上搞砸了，这是有道理的，但这可能不是普通用户首先会看的地方。

即使是在更为用户友好的路由器（如Google Nest Wifi）上，您也必须挖掘一些内容才能找到UPnP设置（同样，通过Nest Wifi的高级设置）：

另一方面，如果您的网络中有任何硬件或软件需要它工作，您现在还可以知道在哪里转发路由器上的端口。通常，路由器的UPnP设置位于其端口转发设置附近，设置端口转发所需的只是要转发到的设备的IP地址以及所需的端口范围(很容易弄清楚！）

一旦你做了调整，如果有，它是值得使用一些在线工具来检查你的网络安全。我建议你在ShieldsUp尝试一下“即时UPnP暴露测试”！！，以及F-Secure的路由器检查器，看看您的网络是否向世界开放了比它应该开放的更多端口。