路由器漏洞利用實(shí)例篡改DNS劫持網(wǎng)絡(luò)

2025-10-27 10:09:37
我要分享


微信掃碼分享

事件概述

近期，360安全大腦接到多起用戶反饋，在訪問正常網(wǎng)站時(shí)，頁面多次被異常重定向至色情或廣告頁面，需多次刷新后才能正常打開。經(jīng)技術(shù)分析排查，發(fā)現(xiàn)該問題系用戶使用的路由器DNS配置被非法篡改所致。攻擊者通過利用路由器漏洞或弱口令，批量篡改DNS設(shè)置，實(shí)施流量劫持并謀取非法利益。

經(jīng)分析，本次劫持攻擊的鏈路示意圖如下：

圖1. DNS劫持攻擊鏈路示意圖

根據(jù)360安全大腦的大數(shù)據(jù)統(tǒng)計(jì)分析，本次DNS劫持事件的攻擊數(shù)據(jù)態(tài)勢如下：

圖2. DNS劫持攻擊數(shù)據(jù)態(tài)勢圖

攻擊原理分析

DNS篡改機(jī)制

攻擊者通過利用路由器固件漏洞或默認(rèn)弱口令，遠(yuǎn)程登錄路由器管理界面，篡改WAN側(cè)或DHCP服務(wù)下發(fā)的DNS服務(wù)器地址，將其指向惡意DNS服務(wù)器（如185.222.223.125）。

圖3. 被篡改的DNS設(shè)置

惡意DNS行為

當(dāng)用戶發(fā)起域名解析請求時(shí)，惡意DNS服務(wù)器優(yōu)先返回攻擊者控制的惡意IP地址，導(dǎo)致用戶訪問被重定向至色情或廣告頁面。

圖4. DNS被篡改后導(dǎo)致網(wǎng)絡(luò)訪問劫持攻擊?

多次請求后，惡意DNS服務(wù)器再返回真實(shí)目標(biāo)站點(diǎn)的IP地址，用戶刷新頁面后可正常訪問，形成“前幾次跳轉(zhuǎn)、刷新后正常”的現(xiàn)象。

攻擊影響范圍

受影響設(shè)備主要集中在TP-LINK系列路由器，尤其是TL-WR886N的某些固件版本。

統(tǒng)計(jì)數(shù)據(jù)顯示，該惡意DNS服務(wù)器的解析請求量最高月度超過237萬次，影響范圍廣泛。??

攻擊過程復(fù)現(xiàn)

當(dāng)用戶訪問正常網(wǎng)站（以baidu.com為例），DNS請求同樣會被惡意DNS服務(wù)器解析為惡意IP地址。

圖5. 劫持baidu.com網(wǎng)絡(luò)訪問

用戶瀏覽器收到惡意IP后，遠(yuǎn)端的惡意服務(wù)器會返回一個(gè)代碼為302的頁面重定向指令，將頁面重定向至色情或廣告頁面。而在多次刷新頁面后，惡意DNS服務(wù)器則會返回真實(shí)IP地址。此時(shí)，用戶又可以正常訪問目標(biāo)網(wǎng)站。

圖6. 被重定向后的色情網(wǎng)站示例

攻擊特征總結(jié)

特征類別	具體表現(xiàn)
攻擊目標(biāo)	家用路由器
攻擊方式	利用固件漏洞或弱口令遠(yuǎn)程篡改DNS配置
惡意DNS	185.222.223.125
攻擊現(xiàn)象	正常網(wǎng)站前幾次訪問被重定向至色情/廣告頁面，多次刷新后恢復(fù)
攻擊目的	流量劫持與非法變現(xiàn)

表1. 攻擊特征總結(jié)

應(yīng)急響應(yīng)與防護(hù)建議

360安全大腦已對該惡意DNS服務(wù)器及相關(guān)誘導(dǎo)網(wǎng)站進(jìn)行攔截。建議用戶及網(wǎng)絡(luò)維護(hù)方立即開展以下排查與加固措施：

1.?更新固件
立即將路由器固件升級至官方最新版本，修復(fù)已知漏洞。

2.?核查DNS配置
登錄路由器管理界面，檢查WAN側(cè)與LAN/DHCP下發(fā)的DNS服務(wù)器地址是否被篡改為惡意IP（如185.222.223.125）。若發(fā)現(xiàn)異常，立即恢復(fù)為可信DNS并保存配置。
中國電信、鐵通、移動(dòng)網(wǎng)絡(luò)的用戶可以將DNS設(shè)置為：101.226.4.6或218.30.118.6；而中國聯(lián)通網(wǎng)絡(luò)的用戶可將DNS設(shè)置為：123.125.81.6或140.207.198.6。
也可以直接使用360安全DNS產(chǎn)品（https://sdns.360.net/）來解決此類問題。

圖7. 360安全DNS

3.?清空DNS緩存
重啟路由器與上游光貓后，清空本機(jī)與瀏覽器DNS緩存（如Windows系統(tǒng)執(zhí)行'ipconfig /flushdns'命令，清除瀏覽器DNS緩存），再次測試訪問是否恢復(fù)正常。

4.?關(guān)閉不必要服務(wù)
檢查并關(guān)閉路由器的“遠(yuǎn)程管理/云管理/UPnP/DMZ/端口轉(zhuǎn)發(fā)”等功能，避免不必要的端口暴露，尤其是HTTP/HTTPS/Telnet/SSH等對外服務(wù)。

5.?清理劫持規(guī)則
檢查并清理路由器上的“DNS代理/靜態(tài)DNS/自定義Hosts”等相關(guān)條目，確保無殘留劫持規(guī)則。

結(jié)語

本次DNS劫持攻擊事件具有隱蔽性強(qiáng)、影響面廣、可持續(xù)反復(fù)等特點(diǎn)，且常與已披露的固件漏洞或默認(rèn)弱口令配置密切相關(guān)。廣大用戶及網(wǎng)絡(luò)維護(hù)人員應(yīng)提高警惕，及時(shí)采取上述防護(hù)措施，確保網(wǎng)絡(luò)環(huán)境的安全與穩(wěn)定。

而360用戶不必太過擔(dān)心，360安全大腦無需升級，即可對此類攻擊進(jìn)行有效攔截。同時(shí)，360安全大腦將持續(xù)監(jiān)測此類攻擊活動(dòng)，第一時(shí)間發(fā)布安全預(yù)警與防護(hù)建議，保障用戶上網(wǎng)安全。

圖8. 360安全大腦第一時(shí)間攔截本次攻擊

熱點(diǎn)排行

路由器漏洞利用實(shí)例篡改DNS劫持網(wǎng)絡(luò)

熱點(diǎn)排行

關(guān)注我們