UPnP在许多新路由器上默认启用。有一次，联邦调查局和其他安全专家出于安全原因建议禁用UPnP。但是UPnP现在有多安全呢？使用UPnP时，我们是否为了方便而进行安全交易？

UPnP代表“通用即插即用”。使用UPnP，应用程序可以自动转发路由器上的端口，省去了手动转发端口的麻烦。我们将研究人们建议禁用UPnP的原因，这样我们就可以清楚地了解安全风险。

图片来源：Flickr上的喜剧

网络上的恶意软件可以使用upnp

病毒、特洛伊木马、蠕虫或其他恶意程序可以使用UPnP，就像合法程序一样。虽然路由器通常会阻止传入的连接，防止一些恶意访问，但UPnP可以允许恶意程序完全绕过防火墙。例如，特洛伊木马可以在您的计算机上安装远程控制程序，并在路由器的防火墙中为其打开一个漏洞，从而允许从Internet全天候访问您的计算机。如果UPnP被禁用，程序将无法打开端口，尽管它可以通过其他方式绕过防火墙并打电话回家。

这有问题吗？对。这是绕不开的——UPnP假设本地程序是可信的，并允许它们转发端口。如果恶意软件不能转发端口对您很重要，您将需要禁用UPnP。

fbi告诉人们禁用upnp

2001年底，联邦调查局国家基础设施保护中心建议所有用户禁用UPnP，因为windowsxp中存在缓冲区溢出。此错误已由安全修补程序修复。后来，NIPC意识到问题不在UPnP本身之后，实际上对这个建议进行了修正。（来源）

这有问题吗？不，虽然有些人可能还记得NIPC的建议，对UPnP持否定态度，但这个建议在当时被误导了，而且这个特定的问题在10年前被一个windowsxp补丁修复了。

图片来源：Carsten Lorentzen在Flickr上

flash-upnp攻击

UPnP不需要用户的任何身份验证。在你的计算机上运行的任何应用程序都可以请求路由器通过UPnP转发端口，这就是为什么上面的恶意软件可以滥用UPnP。你可能认为只要本地设备上没有恶意软件，你就安全了，但你可能错了。

Flash-UPnP攻击是在2008年发现的。一个巧尽心思构建的flashapplet，运行在您的web浏览器内的网页上，可以向您的路由器发送UPnP请求并请求它转发端口。例如，小程序可以要求路由器将端口1-65535转发到您的计算机，从而有效地将其暴露在整个互联网上。不过，攻击者必须在完成此操作后利用计算机上运行的网络服务中的漏洞进行攻击–使用计算机上的防火墙将有助于保护您。

不幸的是，情况变得更糟-在某些路由器上，Flash applet可能会通过UPnP请求更改主DNS服务器。端口转发将是你最不担心的-一个恶意的DNS服务器可以重定向流量到其他网站。例如，它可以指向脸谱网在另一个IP地址完全-你的网页浏览器的地址栏会说脸谱，但你会使用恶意组织建立的网站。

这有问题吗？对。我找不到任何迹象表明这个问题已经解决了。即使它是固定的（这将是困难的，因为这是一个UPnP协议本身的问题），许多仍然在使用的旧路由器将是脆弱的。

路由器上的upnp实现错误

UPnP黑客网站包含了不同路由器实现UPnP的安全问题的详细列表。这些不一定是UPnP本身的问题；它们通常是UPnP实现的问题。例如，许多路由器的UPnP实现不能正确地检查输入。恶意应用程序可能会要求路由器将网络流量重定向到Internet上的远程IP地址（而不是本地IP地址），并且路由器会遵守。在一些基于Linux的路由器上，可以利用UPnP在路由器上运行命令。（来源）该网站列出了许多其他此类问题。

这有问题吗？对！野外数百万路由器易受攻击。许多路由器**商在保护其UPnP实现方面做得不好。

图片来源：Flickr上的本·梅森

你应该禁用upnp吗？

当我开始写这篇文章的时候，我希望能得出这样的结论：UPnP的缺陷是相当小的，一个简单的问题就是为了一些方便而交易一点安全性。不幸的是，UPnP确实有很多问题。如果您不使用需要端口转发的应用程序，例如对等应用程序、游戏服务器和许多VoIP程序，那么最好完全禁用UPnP。这些应用程序的大量用户会考虑是否准备为了方便而放弃一些安全性。您仍然可以在不使用UPnP的情况下转发端口；这只是需要更多的工作。查看我们的港口转运指南。

另一方面，这些路由器的缺陷并没有被广泛使用，所以你遇到恶意软件利用路由器UPnP实现中的缺陷的实际机会是相当低的。一些恶意软件确实使用UPnP转发端口（例如Conficker蠕虫），但我还没有遇到一个恶意软件利用这些路由器缺陷的例子。

如何禁用它？如果你的路由器支持UPnP，你可以在它的web界面中找到一个选项来禁用它。有关更多信息，请参阅路由器手册。

你不同意UPnP的安全性吗？请留言！