【突发】国内大量家用路由器网络访问异常和流量劫持事件分析

最新推荐文章于 2025-07-18 14:07:23 发布
原创 最新推荐文章于 2025-07-18 14:07:23 发布 · 2.4k 阅读 · 21 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #智能路由器

以下内容由WebRAY和Panabit联合发布

图片

0x01 事件背景

从2024年5月开始,国内部分家用路由器开始出现间歇性断网、域名解析延迟高以及解析到海外IP等情况,今年8月该现象变得尤为严重。前几天在做应急响应时候发现某企业暴露在公网上的路由器配置的DNS地址被莫名其妙篡改了,主DNS地址是一个阿里云上的节点,备用DNS地址为1.1.1.1。起初以为这次事件跟近期的攻防演习相关,后面经过深入分析发现该事件并不是个例,我们已排查到有大量暴露在公网上的路由器都存在DNS被篡改的情况,且大部分用户基本没有感知。经过初步统计,攻击者使用的劫持DNS节点数已有百余个,用户访问受影响的目标主要覆盖了阿里云CDN、腾讯云CDN、华为云CDN等,导致了一系列的解析异常。短时间范围内,大量用户投诉对国内重要目标单位访问异常,造成严重安全隐患。

0x02 事件分析

盛邦安全烽火台实验室联合Panabit对该事件进行了专项分析,这起事件是属于典型的DNS劫持攻击事件,符合国外黑灰产组织的攻击特征。攻击者通过搜集公网可访问的路由器地址,利用漏洞或弱口令获取路由器控制权限,修改路由器DNS服务器地址,达到中间人攻击的效果。整体的攻击流程如下图所示:

(图中假设攻击者对webray.com.cn进行了dns劫持)

最低0.47元/天 解锁文章
盛邦安全
关注
路由器HTTP劫持由入门到精通
weixin_68076304的博客
03-11 1621
HTTP劫持(HTTP hijacking)是一种恶意攻击方式,攻击者利用中间人的方式劫持HTTP通信过程,获取用户敏感信息,或者篡改服务器返回的数据,让用户误以为是合法的服务器返回的结果。路由器是一种网络设备,用于将本地网络互联网连接起来,它也可以被攻击者用来进行HTTP劫持攻击。路由器网络中的位置往往是比较靠前的,攻击者可以通过路由器对所有流经路由器的HTTP通信进行劫持篡改。
路由器安全事件.doc
07-12
路由器安全事件 一·事件引例 2014年3月28日,国家互联网应急中心(CNCERT)在北京举办了"2013年我国互联网网络 安全态势综述"(简称"态势综述")发布会,对2013年我国互联网网络安全的总体形势 主要特点进行了发布说明。据《2013年我国互联网网络安全态势综述》报告称,国家信 息安全漏洞共享平台在分析验证D- Link、Cisco、Linksys、Netgear、Tenda等多家厂商的路由器产品后,发现它们都存在 后门,黑客可由此直接控制路由器,进一步发起DNS劫持、窃取信息、网络钓鱼等攻击, 直接威胁用户网上交易数据存储安全,使得相关产品变成随时可被引爆的安全"地雷" 。以D- Link部分路由器产品为例,攻击者利用后门可取得路由器的完全控制权。CNVD分析发现 ,受该后门影响的D- Link路由器在互联网上对应的IP地址至少有1.2万个,影响大量用户。 一份来自ZoomEye的数据显示,全球范围使用这种有缺陷的D- Link路由器的用户在63000名左右,遍布中国、美国、加拿大、巴西等地。而在国内,有 大约10万台TP- Link路由器存在后门缺陷,受影响用户达
斐讯dns劫持路由器DNS被劫持的解决办法
huazai520064的博客
12-13 3405
DNS劫持又称域名劫持,是指在劫持网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则返回假的IP地址或者什么都不做使请求失去响应,其效果就是对特定的网络不能访问访问的是假网址。 DNS(域名系统)的作用是把网络地址(域名,以一个字符串的形式)对应到真实的计算机能够识别的网络地址(IP地址),以便计算机能够进一步通信,传递网址内容等。由于域名劫持往往只能在特定的被劫持网络范围内进行,所以在此范围外的域名服务器(DNS)能够返回正常的IP地址,高级用户可以在网络设置把DNS指向
路由器攻击
06-23
TP-Link路由器DOS攻击防范图解教程
突发国内大量家用路由器遭 DNS 劫持,附自查与解决方案
民工哥的博客
08-09 6302
戳下方名片,关注并星标!回复“1024”获取2TB学习资源!????体系化学习:运维工程师打怪升级进阶之路 4.0— 特色专栏—MySQL/PostgreSQL/MongoDBElasticSearch/Hadoop/RedisKubernetes/Docker/DevOpsKafka/RabbitMQ/Zookeeper监控平台/应用与服务/集群管理N...
国内大量家用路由器惨遭DNS劫持,你中招了吗?
DNSPod
08-09 4069
近期,D妹收到不少用户反馈,在访问网站或APP时都遭遇了访问失败的问题。经深入排查,我们监测到大量家用路由器的DNS解析配置被篡改,从而影响到了正常的网站APP访问。该情况于2024年5月开始出现,于8月5日集中爆发达到峰值,截止8月7日,经过测试确认,导致本次故障大规模爆发的域名在异常 DNS 服务器上已经恢复,但受 TTL 及客户端本地缓存的影响,客户端的恢复时间会有一定的滞后性。虽然本次较...
Wireshark抓包实操:深度分析ESP32 TCP三次握手异常(SYN_SYN-ACK故障诊断)
# 1. Wireshark抓包与TCP协议基础 网络通信的稳定性依赖于底层协议的可靠执行,而TCP作为传输...掌握这些基础知识是深入后续ESP32网络行为分析的前提。 ```tcp Flags: 0x002 (SYN) # 初始连接请求 Sequence number: 0
Wireshark过滤技巧实战:6条高效命令精准捕获ESP32目标流量
通过将Wireshark与ESP32结合,开发者可直观观察Wi-Fi关联过程、TCP握手时序、MQTT报文交互等关键事件,进而分析出认证失败、重连频繁等异常背后的协议层原因。本系列将系统讲解如何构建精准过滤规则,从海量流量中...
Wi-Fi Beacon帧异常诊断:3类AP不稳定模式精准识别ESP32断连根源
# 1. Wi-Fi Beacon帧的作用与AP不稳定现象解析 ## 1.1 Beacon帧在网络通信中的核心作用 ...当AP出现异常时,常表现为Beacon帧发送紊乱:如周期性丢失导致客户端频繁重连、信标间隔抖动引发时间同步失败,或参
低功耗场景下的Smart Config与Fast Connect权衡:3种典型应用对比分析
# 1. 低功耗场景下Wi-Fi配网技术概述 在物联网(IoT)设备快速普及的背景下,低功耗Wi-Fi终端对高效、节能的配网技术提出了更高要求。传统手动输入SSID与密码的方式难以满足用户体验需求,而主流配网方案需在能耗、...
路由器劫持是什么意思 如何查看路由器是否被劫持
10-01
近段时间有不少媒体报道,全球拥有大量路由器遭入侵、路由器劫持等等。另外,蹭网也是常常被人们提及,那么路由器劫持是什么意思?怎么看路由器是否被劫持?针对这两个不少用户还不够了解的话题,小编为大家通俗易懂的介绍一下
网站被流量攻击
m0_67852911的博客
03-15 372
网站、APP,以及服务器每天都会遭受到DDOS流量攻击,据统计,目前互联网2019年上半年的流量攻击趋势明显增加,每天接触到的流量攻击事件达到两千多次,与去年的攻击数据相比较有所微上升。国内大部分的网站,APP应用都使用的是阿里云,以及腾讯云,百度云的服务器,通过上述三家公开的一些流量攻击报告,从流量攻击事件,挖矿病毒,僵尸肉鸡,网站篡改攻击事件中。 1、定期扫描 定期扫描现有网络主节点,清点可能存在的安全漏洞,及时清理新漏洞。由于带宽较高,骨干节点上的计算机最适合黑客,因此加强这些主机本身的主机安全性
家用路由器劫持?如何正确的分析与应对
cpongo011702
02-28 1683
2019年2月20日,DNSPod发布一则通知,称监控到有大规模的黑产攻击事件发生,导致被攻击的用户在访问所有网络服务时DNS解析被调度到江苏电信或周边线路。为何会出现如此现象?是因为用户使用了病毒的DNS进行解析,病毒DNS再递归给114.114.114.114或者其他公共DNS。此时,公共DNS会认为用户就来自病毒DNS所在的网段。如果病毒DNS所在电信网络,那么公共DNS就会优先输出电信的C...
无线路由的攻击与防御
chengying332
08-14 458
无线路由的攻击与防御 如今,无线网络的使用已经遍布身边每个角落,无线网络安全问题日渐成为全民关注的热点问题。由于缺乏安全防范意识,很多人每到一处都会习惯性地连接上公众场所提供的免费WiFi进行网上活动,这样的行为存在着很大的安全隐患。 详细解读 小伙伴们一起来吐槽
基于流量分析网络故障分析思路与典型案例分享
最新发布
2401_84578953的博客
07-18 978
1.HTTPS数据加密传输流程2.抓包过程中看到的交互3.网站响应慢分析过程,首先是DNS时延,然后再看三次握手时延、SSL握手时延、HTTP请求时延、HTTP响应时延等。5.SYN 包需要重点关注的内容存活时间(TTL)、MSS(最大报文长度)、窗口大小、分段标志等。SYN ACK包需要关注的内容也是MSS、窗口大小、存活时间(TTL)、分段标识等,其中还有与SYN时间差,这是抓包点到服务器的双倍时间,可以认为是抓包点到服务器的网络延时。
流量攻击
qq_40237472的博客
12-02 806
Rinetd重定向 1. 安装rinetd:apt-get install rinetd 2. 配置:/etc/rinetd.conf文件中输入bindadd bindport connectadd connectport4个参数即:侦听主机ip,侦听端口,转发主机,转发端口 3. 运行:rinetd: a) 查看运行进程:ps aux | grep rin...
路由器dns被劫持怎么办 路由器DNS被劫持解决方法
douya0012的博客
12-19 2309
一个朋友遇到了“路由器DNS被劫持”,不知道怎么办?小编告诉他路由器DNS被劫持的解决方法,今天小编整理了一下路由器DNS被劫持的方法,分享给大家。   DNS劫持是什么?   路由器DNS被劫持是指路由器DNS地址遭到篡改,无论你是登录百度、某宝,网页都会跳转到某些固定的网页上。   路由器DNS未被篡改时正常的网址:   路由器DNS被劫持   路由器DNS遭篡改后的网址:   路由器被DNS劫持的危害: 危害一:会造成连接这个路由器上网的所有设备被监控,被记录; IIS7网站监控工具可以做到提前预防各
常见异常流量及蠕虫案例
可木的专栏
03-19 4562
异常流量的数据包类型 1、TCP SYN flood(40字节)   11.*.64.3|2.*.38.180|64821|as10|5|4|1013|18|6|1|40|1   从NetFlow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为6(TCP),数据流大小为40字节(通常为TCP的SYN连接请求)。  2、ICMP flood   2.*.33.1|1.*.97
网络异常流量监测:原理、技术与用户行为分析
网络异常流量监测与用户行为分析是现代网络管理中的重要课题,它对于确保网络系统的稳定性安全性至关重要。本文档由中国科技网网络中心技术部的韩春静撰写,发表于2005年7月,主要探讨了网络异常流量监测的必要性...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值