路由器漏洞利用實例篡改DNS劫持網(wǎng)絡

2025-10-27 10:09:37
我要分享


微信掃碼分享

事件概述

近期，360安全大腦接到多起用戶反饋，在訪問正常網(wǎng)站時，頁面多次被異常重定向至色情或廣告頁面，需多次刷新后才能正常打開。經(jīng)技術分析排查，發(fā)現(xiàn)該問題系用戶使用的路由器DNS配置被非法篡改所致。攻擊者通過利用路由器漏洞或弱口令，批量篡改DNS設置，實施流量劫持并謀取非法利益。

經(jīng)分析，本次劫持攻擊的鏈路示意圖如下：

圖1. DNS劫持攻擊鏈路示意圖

根據(jù)360安全大腦的大數(shù)據(jù)統(tǒng)計分析，本次DNS劫持事件的攻擊數(shù)據(jù)態(tài)勢如下：

圖2. DNS劫持攻擊數(shù)據(jù)態(tài)勢圖

攻擊原理分析

DNS篡改機制

攻擊者通過利用路由器固件漏洞或默認弱口令，遠程登錄路由器管理界面，篡改WAN側或DHCP服務下發(fā)的DNS服務器地址，將其指向惡意DNS服務器（如185.222.223.125）。

圖3. 被篡改的DNS設置

惡意DNS行為

當用戶發(fā)起域名解析請求時，惡意DNS服務器優(yōu)先返回攻擊者控制的惡意IP地址，導致用戶訪問被重定向至色情或廣告頁面。

圖4. DNS被篡改后導致網(wǎng)絡訪問劫持攻擊?

多次請求后，惡意DNS服務器再返回真實目標站點的IP地址，用戶刷新頁面后可正常訪問，形成“前幾次跳轉、刷新后正?！钡默F(xiàn)象。

攻擊影響范圍

受影響設備主要集中在TP-LINK系列路由器，尤其是TL-WR886N的某些固件版本。

統(tǒng)計數(shù)據(jù)顯示，該惡意DNS服務器的解析請求量最高月度超過237萬次，影響范圍廣泛。??

攻擊過程復現(xiàn)

當用戶訪問正常網(wǎng)站（以baidu.com為例），DNS請求同樣會被惡意DNS服務器解析為惡意IP地址。

圖5. 劫持baidu.com網(wǎng)絡訪問

用戶瀏覽器收到惡意IP后，遠端的惡意服務器會返回一個代碼為302的頁面重定向指令，將頁面重定向至色情或廣告頁面。而在多次刷新頁面后，惡意DNS服務器則會返回真實IP地址。此時，用戶又可以正常訪問目標網(wǎng)站。

圖6. 被重定向后的色情網(wǎng)站示例

攻擊特征總結

特征類別	具體表現(xiàn)
攻擊目標	家用路由器
攻擊方式	利用固件漏洞或弱口令遠程篡改DNS配置
惡意DNS	185.222.223.125
攻擊現(xiàn)象	正常網(wǎng)站前幾次訪問被重定向至色情/廣告頁面，多次刷新后恢復
攻擊目的	流量劫持與非法變現(xiàn)

表1. 攻擊特征總結

應急響應與防護建議

360安全大腦已對該惡意DNS服務器及相關誘導網(wǎng)站進行攔截。建議用戶及網(wǎng)絡維護方立即開展以下排查與加固措施：

1.?更新固件
立即將路由器固件升級至官方最新版本，修復已知漏洞。

2.?核查DNS配置
登錄路由器管理界面，檢查WAN側與LAN/DHCP下發(fā)的DNS服務器地址是否被篡改為惡意IP（如185.222.223.125）。若發(fā)現(xiàn)異常，立即恢復為可信DNS并保存配置。
中國電信、鐵通、移動網(wǎng)絡的用戶可以將DNS設置為：101.226.4.6或218.30.118.6；而中國聯(lián)通網(wǎng)絡的用戶可將DNS設置為：123.125.81.6或140.207.198.6。
也可以直接使用360安全DNS產品（https://sdns.360.net/）來解決此類問題。

圖7. 360安全DNS

3.?清空DNS緩存
重啟路由器與上游光貓后，清空本機與瀏覽器DNS緩存（如Windows系統(tǒng)執(zhí)行'ipconfig /flushdns'命令，清除瀏覽器DNS緩存），再次測試訪問是否恢復正常。

4.?關閉不必要服務
檢查并關閉路由器的“遠程管理/云管理/UPnP/DMZ/端口轉發(fā)”等功能，避免不必要的端口暴露，尤其是HTTP/HTTPS/Telnet/SSH等對外服務。

5.?清理劫持規(guī)則
檢查并清理路由器上的“DNS代理/靜態(tài)DNS/自定義Hosts”等相關條目，確保無殘留劫持規(guī)則。

結語

本次DNS劫持攻擊事件具有隱蔽性強、影響面廣、可持續(xù)反復等特點，且常與已披露的固件漏洞或默認弱口令配置密切相關。廣大用戶及網(wǎng)絡維護人員應提高警惕，及時采取上述防護措施，確保網(wǎng)絡環(huán)境的安全與穩(wěn)定。

而360用戶不必太過擔心，360安全大腦無需升級，即可對此類攻擊進行有效攔截。同時，360安全大腦將持續(xù)監(jiān)測此類攻擊活動，第一時間發(fā)布安全預警與防護建議，保障用戶上網(wǎng)安全。

圖8. 360安全大腦第一時間攔截本次攻擊

熱點排行

91看片淫黄大片-91视频黄色-少妇免费直播-黄色毛片网站-在线观看黄色-999亚洲欲妇-中文字幕在线观看av-亚洲精品久久久一线二线三线-毛片视频网站-日逼视频。

路由器漏洞利用實例篡改DNS劫持網(wǎng)絡

熱點排行

關注我們