×

路由器劫持(Router Hijacking)指的是攻击者通过非法手段控制你的路由器,从而篡改网络流量的去向或内容。一旦被劫持,你所有通过该路由器上网的设备(手机、电脑、电视等)都会受到影响。

下面我用“原理 + 手法 + 危害 + 识别 + 防范”给你系统讲清楚:

一、核心原理(本质在改“流量路径”)

正常上网流程是:

👉 你设备 → 路由器 → DNS解析 → 正常网站

被劫持后变成:

👉 你设备 → 被控制的路由器恶意DNS/代理服务器 → 假网站 / 广告 / 钓鱼页

本质就是:

攻击者控制路由器,让你访问“他们想让你去的地方”

二、常见劫持方式

1️⃣ 弱密码入侵(最常见)

很多人路由器还是:

  • admin / admin

  • admin / 123456

攻击者可以:

  • 扫描公网IP

  • 尝试默认密码登录

一旦进去就可以:

  • 修改DNS

  • 开远程管理

  • 植入恶意规则

2️⃣ DNS篡改(核心手段)

攻击者把你的DNS改成:

👉 他们控制的DNS服务器

效果:

  • 访问“百度” → 实际跳转到假百度

  • 访问“银行” → 进入钓鱼页面

这是最隐蔽、最常见的劫持形式。

3️⃣ 固件漏洞攻击

某些路由器存在漏洞,比如:

  • 未授权访问

  • 命令注入

  • CSRF攻击

攻击者甚至不需要密码就能控制路由器。

4️⃣ 恶意脚本(网页触发)

你访问一个网页时:

👉 页面偷偷发请求到路由器后台
👉 利用浏览器已登录状态修改设置

这叫:

CSRF劫持路由器

5️⃣ 远程管理暴露

如果开启了:

  • WAN远程管理

攻击者可以直接从互联网访问你的路由器后台。

三、劫持后能做什么(非常关键)

⚠️ 1. 流量变现(灰黑产核心用途)

  • 插入广告

  • 跳转博彩/色情网站

  • 推APP下载

👉 这就是“流量劫持变现”

⚠️ 2. 钓鱼攻击

  • 假银行页面

  • 假登录页(微信 / 邮箱 / 支付宝)

👉 偷账号 + 密码 + 验证码

⚠️ 3. 中间人攻击(MITM)

攻击者可以:

  • 监听流量

  • 篡改网页内容

  • 注入脚本

⚠️ 4. 控制设备(进一步入侵)

  • 推送恶意软件

  • 劫持下载文件

⚠️ 5. 建立“肉鸡网络”

你的路由器可能被用来:

  • 发起攻击(DDoS)

  • 代理流量(翻墙 / 黑产)

四、典型异常表现

如果你遇到这些情况,要警惕:

  • 打开网站会跳到奇怪页面

  • 浏览器突然出现大量广告

  • 输入正确网址却进入假网站

  • 网速变慢(被转发/代理)

  • DNS莫名被改

五、如何检测是否被劫持

✅ 方法1:检查DNS

登录路由器后台,看是否是异常DNS:

常见安全DNS:

  • 8.8.8.8

  • 1.1.1.1

如果看到奇怪IP → 高度可疑

✅ 方法2:查看管理密码是否被改

如果你发现:

  • 密码登不上

  • 配置异常

说明可能被入侵

✅ 方法3:查看远程管理

是否开启:

  • WAN管理

  • 云管理

✅ 方法4:对比多网络

用手机:

  • 切换到4G/5G

  • 再访问同一个网站

如果表现不同 → 很可能是路由器问题

六、防范措施(非常重要)

🔒 1. 改默认密码(第一优先级)

  • 管理后台密码

  • WiFi密码

🔒 2. 关闭远程管理

除非必要,否则关闭:

  • WAN访问

  • UPnP(可选)

🔒 3. 固件升级

保持路由器:

  • 最新版本

  • 修复漏洞

🔒 4. 手动设置安全DNS

推荐:

  • 1.1.1.1

  • 8.8.8.8

🔒 5. 定期重置(怀疑被劫持时)

  • 恢复出厂设置

  • 重新配置

🔒 6. 使用HTTPS

浏览器地址栏:

  • 🔒 小锁标志

避免被篡改内容

七、一句话总结

👉 路由器劫持 = 控制你“网络入口”的攻击

它的危险在于:

不是攻击某一台设备,而是“控制你整个网络”。