2025-10-28 18:09 北京
360预警:路由器DNS劫持攻击持续高发,政企需及时加固
近期,360数字安全集团监测发现多起因路由器DNS设置被篡改而引发的流量劫持事件。受影响用户在访问正常网站时,页面会被异常重定向至色情或广告内容,需多次刷新才能恢复。360安全智能体在排查后发现,问题根源在于,攻击者利用路由器的安全漏洞或弱口令,批量篡改用户DNS设置,以实施流量劫持并牟取非法利益。
根据360安全智能体的大数据统计分析,本次DNS劫持攻击自3月启动后迅速攀升,4月即达到200万次,并于6月达到峰值。尽管后续月份有所回落,但攻击规模仍维持在近200万的高位,整体态势迅猛。
360安全智能体经深度技术溯源,揭示了此次DNS劫持攻击的完整技术链条与影响维度。攻击者主要利用路由器固件漏洞或默认弱口令,远程登录路由器管理界面,篡改其WAN口或DHCP服务下发的DNS地址,将其指向恶意控制的服务器(例如185.222.223.125)。
该恶意DNS服务器会通过分阶段响应实施劫持:当用户发起域名解析请求时,它优先返回攻击者控制的恶意IP地址,导致访问被重定向至色情或广告页面;当探测到用户多次请求或刷新后,它才返回真实IP地址,使页面恢复正常,从而形成“前几次跳转、刷新后正常”的干扰现象。
据统计,此次攻击影响广泛,月度最高解析请求量超237万次,受影响设备主要集中在TP-LINK系列路由器,TL-WR886N的某些固件版本尤为严重。
攻击特征总结
鉴于本次DNS劫持攻击具有隐蔽性强、影响面广、可持续反复等特点,且与已知的固件漏洞及弱口令配置高度关联。360提醒广大政企单位与网络管理员,应立即对在网路由器展开全面安全排查与加固,从源头阻断攻击路径,筑牢安全基线。
针对此类威胁,360安全智能体依托云端安全大数据与实时防护体系,目前已率先具备完备的防御能力,无需额外升级即可获得全面保护;同时,360安全智能体将持续监测相关攻击活动,第一时间发布安全预警与防护建议,建议广大政企用户尽快完成全域部署,构筑安全防线。
此外,360建议用户及网络维护方立即开展以下排查与加固措施:
1
更新路由器固件
及时将路由器固件升级至官方发布的最新版本,以修复已知安全漏洞。
2
核查DNS配置
登录路由器管理界面,检查WAN侧与LAN/DHCP下发的DNS服务器地址是否被篡改为恶意IP(如185.222.223.125)。若发现异常,立即恢复为可信DNS并保存配置。
中国电信、铁通、移动网络的用户可以将DNS设置为:101.226.4.6或218.30.118.6;
中国联通网络的用户可将DNS设置为:123.125.81.6或140.207.198.6;
也可以直接使用360安全DNS产品(https://sdns.360.net/)来解决此类问题。
3
清空DNS缓存
重启路由器与上游光猫后,清空本机与浏览器DNS缓存(如Windows系统执行`ipconfig /flushdns`命令,清除浏览器DNS缓存),再次测试访问是否恢复正常。
4
关闭不必要服务
检查并关闭路由器的“远程管理/云管理/UPnP/DMZ/端口转发”等功能,避免不必要的端口暴露,尤其是HTTP/HTTPS/Telnet/SSH等对外服务。
5
清理劫持规则
检查并清理路由器上的“DNS代理/静态DNS/自定义Hosts”等相关条目,确保无残留劫持规则。
如需咨询相关服务
请联系电话
400-0309-360
往期推荐
