中文版 Global
首页 > 安全资讯 > 正文

路由器漏洞利用实例篡改DNS劫持网络

  • 2025-10-27 10:09:37

事件概述

近期,360安全大脑接到多起用户反馈,在访问正常网站时,页面多次被异常重定向至色情或广告页面,需多次刷新后才能正常打开。经技术分析排查,发现该问题系用户使用的路由器DNS配置被非法篡改所致。攻击者通过利用路由器漏洞或弱口令,批量篡改DNS设置,实施流量劫持并谋取非法利益。

经分析,本次劫持攻击的链路示意图如下:

 

1. DNS劫持攻击链路示意图

根据360安全大脑的大数据统计分析,本次DNS劫持事件的攻击数据态势如下:

 

2. DNS劫持攻击数据态势图

攻击原理分析

DNS篡改机制

攻击者通过利用路由器固件漏洞或默认弱口令,远程登录路由器管理界面,篡改WAN侧或DHCP服务下发的DNS服务器地址,将其指向恶意DNS服务器(如185.222.223.125)。

 

3. 被篡改的DNS设置

恶意DNS行为

当用户发起域名解析请求时,恶意DNS服务器优先返回攻击者控制的恶意IP地址,导致用户访问被重定向至色情或广告页面。

 

4. DNS被篡改后导致网络访问劫持攻击 

多次请求后,恶意DNS服务器再返回真实目标站点的IP地址,用户刷新页面后可正常访问,形成“前几次跳转、刷新后正常”的现象。

攻击影响范围

受影响设备主要集中在TP-LINK系列路由器,尤其是TL-WR886N的某些固件版本。

统计数据显示,该恶意DNS服务器的解析请求量最高月度超过237万次,影响范围广泛。  

攻击过程复现

用户访问正常网站(baidu.com为例),DNS请求同样会被恶意DNS服务器解析为恶意IP地址。

 

5. 劫持baidu.com网络访问

用户浏览器收到恶意IP后,远端的恶意服务器会返回一个代码为302的页面重定向指令,将页面重定向至色情或广告页面。而在多次刷新页面后,恶意DNS服务器则会返回真实IP地址此时,用户又可以正常访问目标网站。

 

6. 被重定向后的色情网站示例

攻击特征总结

特征类别

具体表现

攻击目标

家用路由器

攻击方式

利用固件漏洞或弱口令远程篡改DNS配置

恶意DNS

185.222.223.125

攻击现象

正常网站前几次访问被重定向至色情/广告页面,多次刷新后恢复

攻击目的

流量劫持与非法变现

1. 攻击特征总结

应急响应与防护建议

360安全大脑已对该恶意DNS服务器及相关诱导网站进行拦截。建议用户及网络维护方立即开展以下排查与加固措施

1. 更新固件
立即将路由器固件升级至官方最新版本,修复已知漏洞。

2. 核查DNS配置
登录路由器管理界面,检查WAN侧与LAN/DHCP下发的DNS服务器地址是否被篡改为恶意IP(如185.222.223.125)。若发现异常,立即恢复为可信DNS并保存配置。
中国电信铁通移动网络的用户可以将DNS设置为101.226.4.6218.30.118.6中国联通网络的用户可将DNS设置为123.125.81.6140.207.198.6
也可以直接使用360安全DNS产品(https://sdns.360.net/)来解决此类问题。

 

7. 360安全DNS

3. 清空DNS缓存
重启路由器与上游光猫后,清空本机与浏览器DNS缓存(如Windows系统执行'ipconfig /flushdns'命令,清除浏览器DNS缓存),再次测试访问是否恢复正常。

4. 关闭不必要服务
检查并关闭路由器的“远程管理/云管理/UPnP/DMZ/端口转发”等功能,避免不必要的端口暴露,尤其是HTTP/HTTPS/Telnet/SSH等对外服务。

5. 清理劫持规则
检查并清理路由器上的“DNS代理/静态DNS/自定义Hosts”等相关条目,确保无残留劫持规则。

结语

本次DNS劫持攻击事件具有隐蔽性强、影响面广、可持续反复特点,且常与已披露的固件漏洞或默认弱口令配置密切相关。广大用户及网络维护人员应提高警惕,及时采取上述防护措施,确保网络环境的安全与稳定。

360用户不必太过担心,360安全大脑无需升级,即可对此类攻击进行有效拦截。同时,360安全大脑将持续监测此类攻击活动,第一时间发布安全预警与防护建议,保障用户上网安全。

 

8. 360安全大脑第一时间拦截本次攻击

360安全卫士

热点排行

用户
反馈 返回
顶部