前面提到了软路由实际上对普通用户来说是一种无用技能。但还是要写文章,因此咱们从选购一台MikroTik路由器做真正的教程开篇。
为什么不用WRT呢?简单的说WRT默认是给小白用的,你如果真的想了解网络,增加网络技能那么MikroTik是起点。
聊到这里,就会有人说了MikroTik的Router OS系统有安全问题,这是一个很好的开头!要了解一个系统或者要部署一个系统,首先看到安全性的问题是最明智的做法,iN觉得如果首先能想到这个问题的人,是有网络系统的天赋的。
MikroTik的Router OS在历史上有四次主要的安全事件:
2018年三月,Slingshot木马被发现感染了Router OS路由器。其主要的运作方式是通过Router OS的WinBox控制管理软件进行传播的。一个被名为IPV4.dll的木马文件被放置于Router OS路由器中,当管理员利用WinBox连接到被感染的路由器后,这个文件会在管理员的计算机上被运行,木马就干三件事,第一把自己伪装成系统应用Serveice.dll;第二、截获被感染的计算机上的所有屏幕、按键和特定文件的信息;第三,当winbox再连到其他Router OS路由器后,将一份IPV4.dll文件放入路由器中。
这是一个长期威胁木马并不以感染Router OS为目的,而是利用了其管理软件的漏洞通过Router OS为介质感染其他安装了WinBox的计算机。
2018年五月,黑客组织Fancy Bear的VPNFilter蠕虫被发现存在于Router OS路由器中,这是思科给出的报告,不过Router OS路由器只是感染目标之一,这个蠕虫入侵的是所有嵌入式Linux系统的网络设备,因此,以Linux为内核的Router OS也赶上了这轮病毒传播中镖了而已。在思科给出的报告中显示华硕、D-link、华为、中兴、linksys、网件、甚至微联通NAS都有感染蠕虫的报告。这个蠕虫的行为就比较可怕了,蠕虫在遭受感染的设备中对该设备所在网络位置的网络流量进行数据包分析,获取该网络下的密码、用户名、数字签名等安全认证信息,在某些时候还会执行数据篡改、对设备进行其它控制操作,包括作为往后使用这些窃取的认证信息进行攻击的中继点,并隐藏这些攻击行为。
2018年八月,还是利用了VPNFilter的相同机制,在Router OS的路由器中发现了cryptojacking蠕虫。通过被感染的路由器浏览网页的时候,会在网页中添加一个JS脚本,使被入侵的设备为攻击者挖掘门罗币。
2021年6月,基于MikroTik Router OS名为“Meris”的僵尸网络被发现,同年9月Yandex(俄罗斯人的百度)发布消息,声称成功击退了来自于Meris网络的DDos攻击。当时这是一个大新闻,Yandex的报告显示Meris的DDos攻击次数在9月5日达到峰值,其攻击次数达到每秒2200万次。这件事平息之后,人们的乐趣就成了究竟是多么强悍的设备可以达到这样的性能,反而给Router OS一次逆向公关的机会。
其实相对于Router OS的漏洞来说,WRT的漏洞更多。咱们说路由器的选购,这件事就暂时不展开说了。
下面我们来说一下如何获得一个Router OS的路由器,
Router OS是MikroTik的路由器操作系统品牌,一方面这个系统可以运行在MikroTik出产的一系列路由器中,另外一方面,这个系统也有可以下载的软件包,可以安装在基于X86的软路由系统中。同时,它还包括云主机版本(CHR),可以方便的安装在各种云平台的云主机中。
具体说:
和大家很熟悉的小米、华硕这类的家用路由器不同,MikroTik更倾向于商用网络。其产品家族很大。
虽然家用路由器业务MikroTik也在做,不过并不是这家公司发展的重点,单纯以家用为目的可以选择的型号其实并不多。
如果仅仅选择有线路由器,可以从HEX系列入手,这些路由器是MikroTik为小型办公室准备的产品,通常,网络接口数量并不多,内存量并不大,但是依旧包括了全部的Router OS功能。
如果需要选用无线路由器的话,就可以从HaP系列入手
这类的路由器和普通家用的无线路由器外观基本相同,不仅仅提供了5个左右的有线接口,还依据不同的Wi-Fi标准提供了无线接入能力。
如果要选择更高端的路由器来扩展自己家的网络,还可以选择L系列或者RB系列,其中L系列的路由器是RB系列的简化版,主要是MikroTik做高端家用市场的尝试。
而RB系列则是基于MikroTik的他家RouterBroad(路由电路板)的产品实现。
最新版的RB系列路由器和L系列路由器没什么太大外观差别,但内部采用的SoC不同,性能也比L系列高出一截(价格亦然)。
再往上走就是CCR系列的企业级路由器了,一般这种路由器在家里用得就比较少了。
好在MikroTik本身在Router OS的系统进行统一,哪怕你使用一台价格200块钱的入门路由器,你也可以体验到Router OS的大部分功能。
路由器会挑花眼吗?也并不会,记住两个要点:
第一,他家的路由器有性能测试报告,到官网上,进入任何一个路由器的产品介绍页面中都可以看到相应的产品的性能信息。
这个部分不掺假、也不会有任何广告话术上的忽悠,就是实打实的测试数据。可以根据自己的预算来选择一个合适性能的路由。
第二,型号规则,尤其是RB系列的路由器,在型号中已经说明了路由器的特点,MikroTik的规则为:
<板名称> <板功能>-<内置无线> <无线卡功能>-<连接器类型>-<外壳类型>
例如:RB912UAG-5HPnD
表示了RB(路由器板)
912 - 第 9 系列板,带有 1 个有线(以太网)接口和 2 个无线接口(内置和 miniPCIe)
UAG - 具有 USB 端口、更多内存和千兆以太网端口
5HPnD - 内置 5GHz 高功率双链无线卡,支持 802.11n。
这样的标识就相当清晰明了了。
如果你选用稍微高一点的路由器,对你更有意义的是外壳类型:
BU - 板单元(无外壳) - 适用于需要仅板选项但主要产品已装在箱中的情况RM——机架式外壳IN——室内外壳EM--扩展内存LM--精简内存BE-黑色版外壳TC - 塔式(立式)案例PC - 被动冷却外壳(用于 CCR)TC - 塔式(垂直)外壳(适用于 hEX、hAP 和其他家用路由器。)OUT——室外外壳以及端口类型:
F 100M以太网端口数量Fi 100M 以太网端口数量,带 PoE 输出注入器具有受控 PoE 输出的 100M 以太网端口的 Fp 数量Fr 具有反向 PoE (PoE-in) 的 100M 以太网端口数量G 个 1G 以太网端口P 具有 PoE 输出的 1G 以太网端口数量C 组合 1G 以太网/SFP 端口数量S 1G SFP 端口数量G+ 2.5G 以太网端口数量P+ 具有 PoE 输出的 2.5G 以太网端口数量C+ 组合 10G 以太网/SFP 端口数量S+ 10G SFP+ 端口数量XG 5G/10G 以太网端口数量XP 具有 PoE 输出的 5G/10G 以太网端口数量XC 组合 10G/25G SFP+ 端口数量XS 25G SFP+ 端口数量Q+ 40G QSFP+ 端口数量XQ 100G QSFP+ 端口数量例如我们刚刚提到的CCR2216-1G-12XS-2XQ
后面的1G-12XS-2XQ代表了有1个1G端口,12个10G光口,和2个100G光口。
通过型号,你就可以更清晰的看到这台路由器的基本配置了。
还有一点和家用路由器不同,Router OS并不一定要求安装在MikroTik的产品中,你可以在官网下载Router OS的安装包:
如果家里有旧电脑,或者软路由,我们可以采取这种方式自行构建一个Router OS兼容的软路由。
只不过,要注意的一点是,官方生产的路由器产品是带有许可证的。而自己构建的兼容软路由是没有任何许可证的。很多人使用自己的系统安装Router OS或者在云主机上安装CHR会表示觉得Router OS运行速度慢,网络卡顿。其实就是没有更新许可证,这也是很多人刚刚接触Router OS的时候觉得不好用的一个主要原因。
不过要注意的一点是,Router OS系统虽然本身免费下载,但许可证是要收费的,所以X86软路由弄个Router OS,还真的不如直接购买一个MikroTik的硬件来的划算一些。