首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  DNS

家用路由器 DNS 被劫持,想问问怎么做到的

  •  
  •   justtoxic · 84 天前 via iPhone · 4362 次点击
    这是一个创建于 84 天前的主题,其中的信息可能已经有所发展或是发生改变。
    放假回家一趟,家里是移动光纤,猫后面接了一个便宜的迅捷路由器 FW325R,移动是内网 IP。
    可是呢 Wi-Fi 连接上路由器之后总感觉不流畅。经检查发现路由器的 DNS 被改成了 45.113.201.46 。
    应该是被劫持了,改 DNS 之后网络访问正常了。
    问题是这个路由器后台是强密码特殊字符加数字字母 1Password 生成的,即便是被蹭了也应该不会被轻易登陆改掉 DNS 才对,想了解下这个怎么发生的以及如何避免。
    22 回复  |  直到 2019-07-22 20:02:23 +08:00
        1
    bluehr   84 天前
    开启了 wps 功能吗?开启后很容易被破解 pin 了,不过若是特地破解你的路由器就为了改你的 dns 好像也没多大意义吧。。
        2
    bfdh   84 天前
    关注下,不好说话。
        3
    arrow8899   84 天前
    自动获取的吧
        4
    celeron533   84 天前
    wifi 万能钥匙用户连接过?然后被邻居中病毒的电脑蹭网连上,木马病毒使用已知路由软件漏洞直接管理员登陆然后修改 DNS ?
        5
    ysc3839   84 天前 via Android
    路由器有安全漏洞?
        6
    ShareDuck   84 天前 via Android
    确定路由器不是移动获取运营商 DNS ?没听说过有人入侵后就改你 DNS 的。
        7
    wunonglin   84 天前
    换路由器,不用所谓的互联网路由器,用传统的
        8
    leavic   84 天前
    你怎么确定这个不是 ISP 下发的默认 DNS ?
        9
    justtoxic   84 天前 via iPhone
    @bluehr 没有开 wps,只开了 upnp
        10
    justtoxic   84 天前 via iPhone
    @leavic 这个不是下发的 dns,是 Wi-Fi 的 dhcp 下发的 dns
        11
    justtoxic   84 天前 via iPhone
    @ShareDuck 移动光猫的 dns 是 pppoe 获得的,那个是正常的。问题出在 Wi-Fi 的 dhcp 下发的 dns,这个 dns 我没有设置过,默认是继承 pppoe 的 dns 吧,可是这个被改成了 45 那个 dns,还有一个 114dns
        12
    Mac   84 天前 via Android
    wifi 不下发 DNS 吧,没有制定都是默认网关做 DNS,比如 192.168.1.1,你应该是被本地某软件改的本机 DNS 吧
        13
    justtoxic   84 天前 via iPhone
    @Mac 不是本机 dns 被改,我路由器后台看过了,是 Lan 侧 dhcp 下发的 dns 被改了
        14
    vmebeh   84 天前 via iPhone
    登录了没退出没关过浏览器某些打开的网页访问了修改 dns 的 url 就能实现改路由器参数
    搜了一下叫 CSRF

    远古路由器接受类似这种设置方式:hxxp://192.168.1.1/start_apply.htm?dnsserver=66.66.66.66
        15
    wwbfred   84 天前
    既然是路由下发的 DNS 被修改,那最关键的就是检查 dhcp 的日志.只有这个能告诉你具体发生了什么.
    如果猜测的话,原因太多了.内核漏洞被利用从 wan 入侵,连接管理路由器使用的连接未加密被人抓包到密码,内网设备中毒传染到路由器,wifi 本身使用弱密码弱加密算法...
    管理路由器要谨慎.因为这是网络的看门狗,它被攻破了后果难以承担.个人的建议是:
    1.对于没有有相关知识的人管理的局域网,请使用 TP-LINK 等传统路由器并实时更新固件.
    2.互联网路由器拿回来后第一件事情就是刷开源固件和 uboot,如 Openwrt.固件内核不能有已知的重大漏洞,尤其是可从 wan 攻击的漏洞.内核可以不保持最新,但出现了重大漏洞一定要及时更新.
    3.wifi 本身的密码并不要求特别复杂,但一定要使用强密码算法,同时管理请尽量使用 ssh.在没有 https 的情况下,尽量减少使用 luci 或其他图形界面.
        16
    starsriver   84 天前 via Android
    上面的人怎么这么多疑神疑鬼。一个个人家庭路由器没必要入侵吧。有可能是家里人自己改的。
        17
    johnjiang85   84 天前
    春节时候的事情了,可以关注下 DNSPod 公众号有相关文章推送,cncert、派网等公众号也有推送,感染了国内超过 400 万家用路由器。
        18
    johnjiang85   84 天前   ♥ 1
    可以搜索 “关于部分用户路由器被黑客攻击影响用户解析的初步说明”,“关于境内大量家用路由器 DNS 被篡改情况通报”,“家用路由器被劫持的分析与应对”等文章,会对该事件有一定的了解,虽然不是全部了解。
        19
    tankren   84 天前
    楼主是不是扬州的?这个应该是本市的 ISP DNS 吧
        20
    justtoxic   84 天前 via iPhone
    @johnjiang85 看到了,确实是这个症状
        21
    catcalse   83 天前
    你确定这个 dns 是被劫持了吗?
        22
    justtoxic   83 天前 via iPhone
    @catcalse 是的,如果你打开一个不知名的网站会跳转到一个色情网页然后重新跳转
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   4277 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 26ms · UTC 03:25 · PVG 11:25 · LAX 20:25 · JFK 23:25
    ♥ Do have faith in what you're doing.