国内大量家用路由器遭DNS劫持

一、事件背景与影响范围概述

自2024年5月起，国内家用路由器遭遇大规模DNS劫持攻击。攻击者巧妙地篡改路由器的DNS配置，将用户的网络流量悄无声息地引流至恶意服务器。这一事件在2024年8月5日集中爆发，导致众多用户无法正常访问各类网站和应用，甚至有些用户被导向钓鱼网站或非法页面。截至8月7日，异常的DNS服务器虽已恢复，但由于缓存时间（TTL）和本地缓存的影响，部分用户的恢复存在明显的滞后性。

二、攻击手法与技术

1. 攻击路径介绍

攻击者利用路由器存在的漏洞或弱口令获取了控制权限，随后将默认的DNS服务器更改为恶意IP（如`122.9.187.125`、`58.140.21.95`），并且常常将辅DNS设置为`1.1.1.1`。恶意DNS服务器通过伪造域名记录，如将TTL修改为86秒，以此来延长缓存时间并扩大影响范围。

2. 技术特征详述

异常行为：攻击中的间歇性返回`NXDOMAIN`（域名不存在）和错误的SOA记录，而非正常的A/CNAME记录，是识别攻击的重要标志。

中间人攻击：用户的请求通过攻击者的服务器代理转发，这导致了HTTPS访问的失败（因为证书不受信任）和明显的访问延迟。

DNS版本标识：这次劫持事件中，服务器多数使用`unbound 1.16.2`版本。

三、用户自查与修复建议指南

我们强烈建议用户进行自查并采取相应修复措施。

1. 自查方法：

检查路由器的DNS配置，登录管理页面，确认主DNS是否涉及上述提到的恶意IP。通过命令行使用`dig`命令检查域名记录和DNS版本。

2. 修复措施：

建议用户重置路由器，恢复到出厂设置并修改默认的账号密码。及时升级固件，修补已知漏洞以防止二次攻击。手动配置可信的DNS，如`114.114.114.114`或`119.29.29.29`（腾讯DNS）。

四、事件后续进展与长期防护建议

当前，服务器端的DNS已恢复正常，但此次攻击事件暴露出家用路由器存在的普遍安全隐患，如弱口令、固件漏洞等。为了长期防护，我们提出以下建议：

1. 定期更新路由器固件，及时修补安全漏洞。

2. 禁用远程管理功能，避免不必要的风险。

3. 采用强密码认证，避免使用默认的账号密码。

4. 关注厂商发布的安全通告，及时响应并安装漏洞修复补丁。

此次事件也反映出针对物联网设备的黑灰产攻击正趋于专业化，需要用户和厂商共同提升安全防护意识。网络安全需要每一个人的参与和努力，让我们共同守护自己的网络家园。