家用路由器很悲劇的是：已經(jīng)被黑色產(chǎn)業(yè)鏈的同學(xué)們盯上了。

路由器如：TP-Link、D-Link、一堆國(guó)產(chǎn)的、開源固件打造或改改用的，都存在各類安全問(wèn)題，比如老外做了個(gè)匯總頁(yè)面，大家可以去圍觀下：http://routerpwn.com/，還比如ZoomEye團(tuán)隊(duì)前段時(shí)間繪制出了全球存在D-Link后門的受影響路由分布：http://www.zoomeye.org/lab/dlink(關(guān)于D-Link后門的科普?qǐng)D，大家可以看這：http://weibo.com/1652595727/AfFkAegd3?mod=weibotime)。

我們知道一個(gè)攻擊要風(fēng)靡，不僅是在“學(xué)院”或“實(shí)驗(yàn)室”里進(jìn)行概念驗(yàn)證，一旦工業(yè)化就會(huì)流行，今年有個(gè)非常重要的趨勢(shì)：黑產(chǎn)盯上了家庭/公司路由器，通過(guò)漏洞技巧去篡改這些路由器的DNS服務(wù)器。這意味著：

用這個(gè)路由器上網(wǎng)的一批用戶都被“劫持”了;

上網(wǎng)流量被劫持，意味著上網(wǎng)隱私?jīng)]了，密碼、證書等都可能泄露;

返回的頁(yè)面可能被篡改植入廣告、掛馬之類的;

上周百度搜索上線了一個(gè)非常重要的策略，如果發(fā)現(xiàn)有網(wǎng)站被植入惡意篡改用戶路由DNS的代碼時(shí)，就會(huì)攔截頁(yè)面，打出提示!據(jù)安全聯(lián)盟的統(tǒng)計(jì)發(fā)現(xiàn)過(guò)萬(wàn)的網(wǎng)站被黑，植入了路由DNS劫持代碼，這個(gè)數(shù)量非常之大。居然我身邊的幾位同學(xué)都來(lái)和我說(shuō)自己被劫持了!我是安全圈的，我的同學(xué)根本不是這個(gè)圈子，只是普通的網(wǎng)民!這說(shuō)明路由DNS劫持攻擊已經(jīng)在風(fēng)靡。

過(guò)去一段時(shí)間，我們團(tuán)隊(duì)就捕獲了至少5個(gè)變種。這類攻擊的模式一般是：

攻擊者黑下一批網(wǎng)站;

攻擊者往這批網(wǎng)站里植入路由DNS劫持代碼(各種變形);

攻擊者傳播或坐等目標(biāo)用戶訪問(wèn)這批網(wǎng)站;

用戶訪問(wèn)這些網(wǎng)站后，瀏覽器就會(huì)執(zhí)行“路由DNS劫持代碼”;

用戶的家庭/公司路由器如果存在漏洞就會(huì)中招;

用戶上網(wǎng)流量被“假DNS服務(wù)器”劫持，并出現(xiàn)奇怪的廣告等現(xiàn)象;

雖然這次攻擊主要針對(duì)Tp-Link路由器，不過(guò)中招的路由不僅TP-Link!我們捕獲的樣本還發(fā)現(xiàn)其他的，我們特別弄了一個(gè)專題：http://zhanzhang.anquan.org/topic/dns_hijacking/。隨時(shí)更新，歡迎大家圍觀。

攻擊還在不斷升級(jí)，我隨時(shí)更新該回答。

關(guān)于解決方案我們已經(jīng)放到我們的專題里了：

http://zhanzhang.anquan.org/topic/dns_hijacking/

大家請(qǐng)挪步查看，解決方案不僅針對(duì)網(wǎng)民還針對(duì)站長(zhǎng)，解決方案我們本周會(huì)持續(xù)優(yōu)化，因?yàn)榧夹g(shù)上完美還存在一些問(wèn)題(我們想讓解決方案看起來(lái)最傻瓜化)。

但是如果你是網(wǎng)民的話，參考我們專題里列的教程去操作，那就沒(méi)問(wèn)題了。

而，如果你是站長(zhǎng)的話，除了查出自己的網(wǎng)站被黑植入了路由DNS劫持代碼之外，清理惡意代碼后，還得好好修補(bǔ)網(wǎng)站漏洞……小心反復(fù)被黑……