ahtmatrix Asked: 2021-10-03 17:54:52 +0800 CST2021-10-03 17:54:52 +0800 CST 2021-10-03 17:54:52 +0800 CST 局域网唤醒的端口转发 9 是否会将我的网络暴露给攻击者? 772 我正在尝试设置 Wake on WAN,以便我不在家时可以打开计算机。 通过端口转发 UDP 9 一切正常,但我担心安全风险。 networking wake-on-lan 1 个回答 Voted Best Answer Zac67 2021-10-04T00:28:57+08:002021-10-04T00:28:57+08:00 任何端口转发都存在安全风险。 如果您在路由器中使用静态 ARP 条目转发到特定(单播)IP 地址,则可以将风险降至最低。静态 ARP 条目中的 MAC 地址甚至不相关 - 如果它是未知的或其节点已关闭,无论如何它都会泛滥到整个网络。但是,对于特定的 MAC,所有其他节点的 NIC 甚至都不会接受该帧,而只是忽略它。需要静态 ARP 条目,否则路由器会尝试动态 ARP 单播 IP,如果失败,则丢弃数据包。 转发到广播地址会使所有活动节点都接收到具有潜在危险的 IP 数据包。但是,如果在任何地方都没有应用程序在侦听 UDP 端口 9,则数据报将再次被丢弃/忽略。你可能也很好。(TCP 和 UDP 的端口 9 被丢弃协议正式使用,该协议只是黑洞数据,因此它非常适合 WoL。) 当然,互联网上的任何人都可以通过任何方式唤醒您网络中他们知道(或猜测)其 MAC 地址的机器。如果您使用的是桥接到以太网的 Wi-Fi(常用方式),则这些 MAC 地址可能在无线网络上可见。 做这一切的正确方法是在你的路由器上设置一个 VPN,连接到它,然后通过隧道发送 WoL 魔术包。
任何端口转发都存在安全风险。
如果您在路由器中使用静态 ARP 条目转发到特定(单播)IP 地址,则可以将风险降至最低。静态 ARP 条目中的 MAC 地址甚至不相关 - 如果它是未知的或其节点已关闭,无论如何它都会泛滥到整个网络。但是,对于特定的 MAC,所有其他节点的 NIC 甚至都不会接受该帧,而只是忽略它。需要静态 ARP 条目,否则路由器会尝试动态 ARP 单播 IP,如果失败,则丢弃数据包。
转发到广播地址会使所有活动节点都接收到具有潜在危险的 IP 数据包。但是,如果在任何地方都没有应用程序在侦听 UDP 端口 9,则数据报将再次被丢弃/忽略。你可能也很好。(TCP 和 UDP 的端口 9 被丢弃协议正式使用,该协议只是黑洞数据,因此它非常适合 WoL。)
当然,互联网上的任何人都可以通过任何方式唤醒您网络中他们知道(或猜测)其 MAC 地址的机器。如果您使用的是桥接到以太网的 Wi-Fi(常用方式),则这些 MAC 地址可能在无线网络上可见。
做这一切的正确方法是在你的路由器上设置一个 VPN,连接到它,然后通过隧道发送 WoL 魔术包。