TeamViewer工作原理分析，有的放矢封堵软件，保护 络安全

TeamViewer被入侵，存在安全风险，建议停用。

近期江苏 警在微博上发布公告，深圳市也发布了相关通 ，通 表示境外黑客组织APT41对远程控制软件TeamViewer 实施了 络攻击，并已成功地拿下了软件的管理后台。据此对相关单位发布风险提示，要求做好 络安全防护，近期停用该软件。

知己知彼百战不殆，我们来了解一下软件的工作原理。安装软件后，打开运行，软件先解析TeamViewer官方域名，得到服务器的IP地址后连接到服务器，通过路由器里面的主机监控，可以看到服务器遍布各国，国内也有。而后软件连接到服务器获得一个ID（相当于主机编 ，全球唯一，通过这个ID可以连接到主机），还有一个随机密码。

分析联 及客户端控制原理。

软件解析到服务器IP并联 后，获取到服务器分配的ID和随机密码，随机密码可以手动重置。其他人获取到ID，就可以通过软件连接到你的客户端，通过密码验证后连接成功即可控制电脑。由此可见，ID和随机密码非常重要，这次 络入侵事件，猜测是通过入侵服务器获取到了ID和随机密码，或者是有高级权限直接通过ID即可连接，具体情况没有披露不得而知。

昨天通过相关资料，写文章介绍了，如果通过路由器防火墙规则，封堵端口，保护 络安全。今天测试了一下，仅仅封堵端口5938软件还可以联 （连接端口自动换成其他端口了），获取到ID和随机密码，看似还能正常工作。

针对性彻底封堵外 入侵风险。

既然了解了软件的工作原理，我们从根源彻底封堵其联 ，通过DNS过滤禁止路由器解析TeamViewer，这样软件获取不到服务器IP，也就不能连接到服务器获取ID了。另外研究还发现，软件连接到服务器是通过443端口加密传输的，而各种https 站访问请求都是通过该端口，显然不能封堵该端口，因此只能是封堵软件连接服务器。这样软件虽然不能获取ID，但是还可以在局域 使用。

综上，TeamViewer工作原理是先解析域名获得服务器IP，然后通过443端口加密访问服务器，服务器给客户端分配ID和随机密码。软件常用端口5938，端口不通或被占用时自动更换为其他端口，因此仅仅通过封堵5938端口不能防止入侵风险。

由于443端口是https 站访问时常用端口，因此我们不可能因噎废食封堵该端口。我们可以从第一步入手，直接通过路由器的DNS过滤功能，禁止解析TeamViewer域名就可以阻止获取ID。阻止解析后，再次打开软件即可安全的在局域 内使用了。