請儘速關閉分享器 UPnP 功能

UPnP 是什麼?

很多人會把 UPnP (通用隨插即用 Universal Plug and Play) 跟 USB 等周邊設備的 PnP (隨插即用 Plug adn Play) 視為同一個東西,如果你也這樣認為的話,你最好先看一下:[維基百科]UPnP 的說明

UPnP 主要是針對「點對點」網路 (Peer-to-Peer) 所設計出來的解決方案,因為在點對點的網路環境下,一個節點 (Peer) 不但要接收外面來的資料,另一方面也要能在別的節點的請求之下,將你的資料分享給其他節點。

聽起來很繞口?那我們拿我之前說明過的 PPS 為例:在正常的設定下,你會接收來自別台同樣使用 PPS 的電腦傳送給你的影片,而你的電腦也一樣會傳送你已經有的影片給其他台電腦觀看

而別的電腦怎麼知道你這裡有他要的影片呢?透過 PPS 主機查詢是一種方法,而利用 UPnP 協定來查詢也是一種方法

而事實上不只是 PPS,所有其他運用 P2P 技術的網路程式 (MSN, Skype, LINE, 即時通, eMule, BT ...) 都會利用 UPnP 來作相同的事

但是你不一定要用 UPnP

或許有人看了以上的說明會覺得你一定會用到 UPnP?!因為上面提到的程式你或多或少都有在用!

但事實上是這些程式就算沒有運用 UPnP 也可以正常運作,或許速度或是效率會差一點,但是最近網路上一直有警告說:

就跟一直出問題的 Java 程式一樣,我的建議是:先把 UPnP 功能停用,如果感覺沒有什影響的話,那就表示你可以跟 UPnP 說再見

至於為什麼要關閉請看看上面的連結說明,看不懂沒關係,知道怎麼關掉就 OK 了!

如何關閉 IP 分享器的 UPnP 功能

這一次 UPnP 的問題主要是出自許多舊型的網路設備,而跟你最有關係的就是各種有線/無線 IP 分享器(路由器)

如果你沒有使用 IP 分享器那就可以不理這一篇在講什麼

如果你不知道怎麼進 IP 分享器的設定頁面,那就照著「IP 分享器安裝及設定」的方法,進入設定頁面之後找到 UPnP 這樣的字串

請儘速關閉分享器 UPnP 功能

像圖中把它不勾選,然後儲存就搞定了!

至於是不是有什麼程式一定要開 UPnP 的呢?歡迎大家一起來回報吧!

28 則留言

  1. 我的路由器是使用 Buffalo 的,UPnP 的設定躲在第一頁設定->簡單設定->網際網路->Windows (MSN) Messenger 裡面,點進去寫著:

    Windows(MSN)Messenger必須要有UPnP才能正常運作。
    您PC與AirStation上的通用型隨插即用功能都必須啟動。
    Windows Vista 不需要額外的操作。

    寫成這樣會讓一般使用者不會去關掉⋯⋯當然前提是要找得到 UPnP 的設定是躲在這邊^_^

      • 如果要開固定連接埠的話,後端電腦風險程度可能會更高,因為會有固定的連接埠全時露出...畢竟消費級的設備缺乏防火牆的檢驗,不能確定進出的封包是否確實為程式服務所需...

        比較簡單的方法是,使用隨機開啟連接埠的upnp程式,並在電腦上安裝軟體防火牆,可以解析進出封包內容是否屬實,也可以校驗進出的封包規則是否屬於開啟upnp的程式

        至於前端設備的問題比較困難,消費級的設備存在許多漏洞,只能盡可能的選用經常更新韌體的品牌...這個問題說也說不完,但upnp這個功能太多網路程式在使用,便利性太高...真的必須快點解決,因為相容性的關係,短時間內難以有其他代替方案提出

        更令人應該加以注意的是作業系統上的upnp service,以pppoe直接連線的電腦更容易忽略這個問題...

        • 要修正這個漏洞的最大困難在於:幾乎沒有使用者會更新相關硬體設備的韌體,所以漏洞就會一直在那裡,這也就是我會教大家把它關掉的原因,
          如果真的要用BT等服務時,不妨考慮使用一台專屬機以降低風險,
          至於作業系統的漏洞因為有自動更新的機制,那倒不是我擔心的(至少我的客戶都會開自動更新)

  2. 其實不用太過緊張
    之前有拿市面上號稱有支援UPnP的家用Router
    做UPnP Control相容性測試
    10幾台當中 有通過的卻不到4成
    換句話說其餘那六成是沒有辦法 addportmapping
    而那四成當中完全照標準走的僅只有cisco

    不可諱言upnp確實是有被當作是攻擊手段的一種
    因為upnP可以讓lan端躲在nat底下的pc 直接打通一條從外面近來的路
    如果router設備的資安不夠嚴謹 讓wan端也處理upnp的控制封包
    那駭客更可以不用從內部 直接從外部偽造內部ip直接打通

    所以應該要注意的應該是router的UPnP是否照著標準走
    並且注意內部網路是已經被駭過或是被植入木馬
    如果內部網路已經被攻陷我相信關閉UPnP是於事無補的

  3. 請問我用Splashtop Streamer遠端連結的程式用手機連到電腦,我開了UPNP後手機就變得很難連上電腦,關掉又很順利的連上,UPNP是否會影響網速之類的??

      • 了解了,難怪我想說以前不會這樣怎麼換一台分享器就這樣,無意間把它關掉後就變得很順暢,對這東西還是一知半解只覺得連線變很快就是了,也感謝您這篇文章讓我更了解了一點

  4. QNAP的myQNAPcloud功能,是要用家打開UPnP的, 不打開就用不了。 我一直無打開,好多軟件都無問題。看來要問QNAP能不能以指向PORT解決問題。一年后,UPnP還有潛在問題?

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料