家用网络中的机器，会不会被入侵？会有哪些安全隐患呢？

資深大佬 : sillydaddy 4

一般提到网络安全，都是指公网上的服务器。那么对于一般家庭中的联网机器，会不会被网络入侵呢？这里的入侵是指通过主动入侵的方式，而不是像诱导用户下载带木马的文件这种。

感觉家庭主机因为不直接暴露在公网上，安全性比服务器要好，这是不是一种错觉呢？

大佬有話說 (46)

資深大佬 : kiracyan

你不对外提供服务的话一般没人有空入侵你
資深大佬 : hanssx

相对公网机器要好一些，但是公网机器如果有漏洞，相当于单点安全了，这个比较容易理解。
但是如果 IoT 设备有漏洞，交互就能触发，绕过公网拿设备漏洞了。
資深大佬 : Variazioni

只要不主动对外暴露。。闲着没事不会有人入侵你的。。而且现在宽带都是多层 nat 。。不会直接被扫描到。。
家里有台 nas 。。公网 ip 开了 dmz 。。一天几万次访问。。全是用 root 用户登录的。。
資深大佬 : doveyoung

> 感觉家庭主机因为不直接暴露在公网上，安全性比服务器要好，这是不是一种错觉呢？
不是错觉，不过严格来说，服务器也可以不暴露在公网上

家用的机器一般不会被主动入侵
資深大佬 : towser

除了自己执行恶意软件外一般不会入侵。运营商的多层 NAT 和家用路由器都是天然的防火墙。
資深大佬 : jinsongzhao

入侵一次消耗的时间和使用的技术,转换为高级工程师的工作量, 最少也值几 k 以上薪水吧, 入侵你家值不值这个价格? 就算有入侵, 多半都是练手.
資深大佬 : naix1573

家里的扫地机，被入侵之后疯狂扫地
資深大佬 : imdong

其实大多数人的机器,包括服务器都没有入侵的价值(指针对性)

更多的可能是 bot 全自动扫描,检测到弱点后自动执行.

然后就拿来做勒索,挖矿等肉鸡行为.
資深大佬 : tankren

会啊都是 bot 自动扫描的或者是肉鸡什么的根本不要什么成本黑到一个是一个加密勒索之类的
資深大佬 : no1xsyzy

都是全自动扫描，公网+横向移动
主資深大佬 : sillydaddy

@no1xsyzy “横向移动” 是指啥？
資深大佬 : wanguorui123

每天我都会遇到大量渗透测试工具扫描我的端口，我已经见惯不惊了，IP 有来自：圣彼得堡、乌克兰、德国、美国一概不鸟他。
怕啥，只要不乱开端口，软件及时打补丁没什么问题！
值得注意的是自己安装在服务器端的软件是否可信，防止监守自盗！
資深大佬 : shilyx

NAT 给一般人提供了极大的保护

没有 NAT，网络世界会很不安全
資深大佬 : lshero

本世纪初利用 ADSL 猫的默认密码盗取别人上网账号到互联星空充腾讯增值业务的不要太多
資深大佬 : jadeborner

顺便问下，光猫改桥接了，电脑直连主路由，有几层 NAT ？
資深大佬 : cmdOptionKana

比如一些大型企业的高管、明星等，其个人电脑，或都其家人的电脑还是有很高的入侵价值，不知道他们是否需要特别防范。
資深大佬 : no1xsyzy

@sillydaddy 蠕虫等进入了一个内网后在内网的不同机器间传播

@jadeborner 如有 CGNAT 则是两层，否则（能拿到公网 IP ）就是一层。
資深大佬 : des

上好多观点我不认同
* 不提供服务没人入侵
家庭设备好多安全性都差的很，好多出厂就不更新固件的，开一堆莫名端口的，甚至还有内置后门的

* 你不值钱 / 人家没那么无聊
亲，现在都是全自动扫描，一个漏洞能拿上万台设备。更别说局域网的安全性和安全意识大都差到不行

* NAT 是天然防火墙
ipv6 都普及多久了，你们都用上了吗？
别说还有 UPnP 这种功能呢，多重 NAT 也不是全部运营商

另外说一句，网络上无聊的多了去了。不能因为你觉得没人这么无聊就忽视安全意识
資深大佬 : no1xsyzy

@cmdOptionKana 送修的时候记得备份+格式化就行了（
資深大佬 : no1xsyzy

@des ipv6 不能枚举，也没人有足够的资源可以遍历。
資深大佬 : ladypxy

现在都是自动扫描
有漏洞拿来做肉鸡做代理挖矿不香么
資深大佬 : 77alex

@lshero 哈哈，互联星空一点通
資深大佬 : des

@no1xsyzy
用枚举的话，你思路就错了
有些 iot 设备是会自动 ddns 以及 ip 上报的
另外还能在网页上挂马主动泄漏你的 ip 也是可行的
資深大佬 : xz410236056

我家 NAS 一天不被攻击个百八十次都不正常
資深大佬 : lithiumii

一般人家的默认设置，没有公网 ip，路由器还自带防火墙，主动攻击比较难吧，更多是靠钓鱼，让你下载个病毒什么的。
暴露了公网服务就要像服务器一样防御了，比如你开了 SSH 就要做好安全配置不然人家扫到了进来给你装个挖矿脚本。或者特定的服务也可能被利用，比如前阵子 Plex 被发现如果暴露在公网，即使没有账号密码也能拿来做 DDoS 攻击
資深大佬 : iloveayu

家用宽带，没公网 IP，你躲在运营商的墙后面，这种情况下对于防御你所说的主动入侵，已经足够安全。
如果不放心从运营商网络到自己路由器这段，那就用 nmap 把你路由器 WAN 口上的 IP 地址，从 0-65535 端口都扫一遍，看看有哪些洞洞，你不乱开口子，他怎么钻进来？
如果对这方面非常敏感，可以考虑损失一部分性能上硬防火墙，入站全干掉，成本也不高。
資深大佬 : faceRollingKB

与其说是安全隐患，倒不如说是隐私隐患，比如你的家具使用信息被人窃取，小偷、推销、诈骗就能按照你的生活方式、个人喜好制定有针对性的方案，就看你身上有没有值得被针对的目标了
資深大佬 : way2create

借大佬们那我的电脑之前因为老间歇性丢包掉线维修人员上门后说给我分配个公网 Ip 啥的这样有什么好处跟风险吗
資深大佬 : Greatshu

开个防火墙吧，OPNSense 就很不错
資深大佬 : libook

安全是个比较复杂的问题，要真想做好就要去学很多知识。

日常家用的话就注意一些日常防范吧。

路由器尽量不把内网端口映射出去，联网的电器最好用大牌有保障的，电脑上装杀毒软件和防火墙，系统即时升级打补丁，不去高风险网站，不随意下载不可信来源的文件，不打开不信任来源的链接、邮件附件。

这些做到基本问题不大，除非你有什么怀疑的东西可以直接讲一讲，让大家判断一下。
資深大佬 : guo4224

可以把 ipv6 关掉，现在每个设备都有公网 ipv6 地址了，还是有些危险的。
主資深大佬 : sillydaddy

@libook 可以看一下另一个帖子，里面有说明为什么我要考虑内网主机的网络安全。 /t/757579
資深大佬 : lixuda

做过智能家居，漏洞那多如牛毛。只不过，没有什么大价值，也没有人去关心这个。
資深大佬 : someonesnone

小心 IPv6，每一个设备都暴露公网
資深大佬 : matatabi

看标题想到那个被黑客黑了的贞操锁
資深大佬 : wowodavid

2021 了，还有人觉得“因为没有价值，所以没人入侵”？？ 0day 扫你全家才几个成本？在你路由器、机顶盒、nas 上挂个矿机啥的，这不是价值？
資深大佬 : cxe2v

@lixuda 扫地机被黑了疯狂扫地
資深大佬 : stillyu

之前家里有公网 IP，做了 DDNS 把一台 Ubuntu 暴露出去了，还是弱密码，不知道怎么被搞了，家里的网络异常的卡，路由器重启过两分钟就卡了，还以为是路由器坏了，后来发现，这台 Ubuntu 的数据包特别多。。
資深大佬 : lixuda

@cxe2v 对用户跟黑的人而言，各自损失和收益，不多，甚至毫无意义。所以不受重视。
哪天金钱上会损失和收益，那双方都重视起来。
資深大佬 : maobukui

我的机器暴露了公网，用了三四年了。没有遇到问题。经验是不要用常用端口。
之前因为开放了 22 端口，装了防火墙，一天大概有三百左右的 root 登录尝试，登录失败超过 3 次自动封禁 ip 。
后来更换了端口，很少来试探的。
資深大佬 : q197

有公网 ipv4 的全是网上的全自动扫描，之前买的云服务器硬盘小，默认的 ssh 端口没改，登录失败的日志都把硬盘塞满了
資深大佬 : alfredsun

openvpn 的服务端挂了 DDNS 每天被人扫描十几次，只要暴露在公网上的设备都要做好权限认证。
資深大佬 : vmos

@way2create 有了公网 IP，只要不开 DMZ,不做端口映射影响不大，每次拨号 IP 地址会换
資深大佬 : NetCobra

相对来说是比较安全的，除非你开 DMZ 或者做端口转发。

我的 HP Gen8 MicroServer 因为把 iLO 远程控制端口暴露到公网，结果被利用 iLO 漏洞感染勒索病毒，所幸损失不大。
資深大佬 : wulinn

所谓的入侵，基本都是脚本尝试密码登陆，只要不设置弱密码，被入侵的概率小的可怜。
而真正有能力漏洞入侵的人一般都看不上入侵家庭主机带来的收益。
資深大佬 : Pinochao

华硕路由器开了 DDNS，主要是为了远程访问硬盘，存档备份资料，有什么好的办法做安全防护吗，怎么查看尝试访问的日志？