家用路由器很悲劇的是：已經(jīng)被黑色產(chǎn)業(yè)鏈的同學(xué)們盯上了。

路由器如：TP-Link、D-Link、一堆國產(chǎn)的、開源固件打造或改改用的，都存在各類安全問題，比如老外做了個匯總頁面，大家可以去圍觀下：http://routerpwn.com/，還比如ZoomEye團隊前段時間繪制出了全球存在D-Link后門的受影響路由分布：http://www.zoomeye.org/lab/dlink(關(guān)于D-Link后門的科普圖，大家可以看這：http://weibo.com/1652595727/AfFkAegd3?mod=weibotime)。

我們知道一個攻擊要風(fēng)靡，不僅是在“學(xué)院”或“實驗室”里進行概念驗證，一旦工業(yè)化就會流行，今年有個非常重要的趨勢：黑產(chǎn)盯上了家庭/公司路由器，通過漏洞技巧去篡改這些路由器的DNS服務(wù)器。這意味著：

用這個路由器上網(wǎng)的一批用戶都被“劫持”了;

上網(wǎng)流量被劫持，意味著上網(wǎng)隱私?jīng)]了，密碼、證書等都可能泄露;

返回的頁面可能被篡改植入廣告、掛馬之類的;

上周百度搜索上線了一個非常重要的策略，如果發(fā)現(xiàn)有網(wǎng)站被植入惡意篡改用戶路由DNS的代碼時，就會攔截頁面，打出提示!據(jù)安全聯(lián)盟的統(tǒng)計發(fā)現(xiàn)過萬的網(wǎng)站被黑，植入了路由DNS劫持代碼，這個數(shù)量非常之大。居然我身邊的幾位同學(xué)都來和我說自己被劫持了!我是安全圈的，我的同學(xué)根本不是這個圈子，只是普通的網(wǎng)民!這說明路由DNS劫持攻擊已經(jīng)在風(fēng)靡。

過去一段時間，我們團隊就捕獲了至少5個變種。這類攻擊的模式一般是：

攻擊者黑下一批網(wǎng)站;

攻擊者往這批網(wǎng)站里植入路由DNS劫持代碼(各種變形);

攻擊者傳播或坐等目標用戶訪問這批網(wǎng)站;

用戶訪問這些網(wǎng)站后，瀏覽器就會執(zhí)行“路由DNS劫持代碼”;

用戶的家庭/公司路由器如果存在漏洞就會中招;

用戶上網(wǎng)流量被“假DNS服務(wù)器”劫持，并出現(xiàn)奇怪的廣告等現(xiàn)象;

雖然這次攻擊主要針對Tp-Link路由器，不過中招的路由不僅TP-Link!我們捕獲的樣本還發(fā)現(xiàn)其他的，我們特別弄了一個專題：http://zhanzhang.anquan.org/topic/dns_hijacking/。隨時更新，歡迎大家圍觀。

攻擊還在不斷升級，我隨時更新該回答。

關(guān)于解決方案我們已經(jīng)放到我們的專題里了：

http://zhanzhang.anquan.org/topic/dns_hijacking/

大家請挪步查看，解決方案不僅針對網(wǎng)民還針對站長，解決方案我們本周會持續(xù)優(yōu)化，因為技術(shù)上完美還存在一些問題(我們想讓解決方案看起來最傻瓜化)。

但是如果你是網(wǎng)民的話，參考我們專題里列的教程去操作，那就沒問題了。

而，如果你是站長的話，除了查出自己的網(wǎng)站被黑植入了路由DNS劫持代碼之外，清理惡意代碼后，還得好好修補網(wǎng)站漏洞……小心反復(fù)被黑……