家用路由器被劫持的分析与应对(2)

这就导致了网络罪犯可以利用路由器的高危漏洞，比如安全研究人员发现的台湾合勤科技、德国Speedport等公司的路由器产品存在7547端口对外开放的现象，攻击者可以通过发送基于TR-069和 TR-064协议的指令利用漏洞，存在漏洞的路由器可能多达数百万部。

我国正在大规模推进大网IPv6部署，这方面的技术风险需要格外关注。

德国电信向客户提供的路由器上周末就遭到了攻击，多达90万客户受到影响，他们需要重启路由器接收紧急补丁。

物联网搜索引擎Shodan报告有4100万设备开放了7547端口，有大约500万设备暴露了TR-064服务。

而TR-064在设置NTP时间服务时存在命令注入漏洞，攻击者通过对7547端口发送特定命令的数据包，执行的命令为“busybox iptables -I INPUT -p tcp –dport 80 -j ACCEPT”，开启防火墙80端口，使攻击者远程访问网络管理界面。

针对DNS劫持，我们还有其他方法：

• 直接使用服务器IP地址，从根本上遏制了DNS劫持;
• 如果服务器IP总是变化，那么我们可以选择手工设置114.114.114.114或8.8.8.8知名的DNS服务器;
• 虽然设置了知名的DNS服务器，但是被黑客控制了电脑，那么我们可以安装杀毒软件防攻击;
• 安装杀毒软件后，没有被黑客攻击，反而被杀毒软件劫持了，那么我们选择卸载软件或重装系统;
• 以上均解决不了问题的话，可以联系专业厂商，如选择购买Panabit+Panalog服务器进行处理;

如何使用Panalog进行检查

1. 在DNS统计处进行查询

可以发现出现被劫持DNS服务器的IP地址，可以判断在该网络中可能存在被劫持的用户。

2. 会话日志处进行筛查

直接选择“异常分析”选项，直接找到异常的用户IP和异常的协议名称 (注意在Panalog上输入IP地址段时要采用“x.x.x.x-x.x.x.y”的格式)

3. Panabit用户对自己网络进行核查

对劫持的DNS重新指到正常DNS服务商(DNSPod)。

具体操作界面如下:

最后，此次DNS劫持事件，希望能够引起大家的足够重视，只要我们懂得如何正确的使用互联网，了解掌握预防网络安全的方法，真正做到未雨绸缪，防患于未然，那么DNS劫持又有什么可担心的呢。

【编辑推荐】

1. 黑客这么厉害，为啥不去攻击支付宝？
2. 4G/5G再曝新漏洞 攻击者可拦截电话和追踪用户位置
3. 扒一扒DDoS攻击发展史
4. 黑客攻击基础设施建设之弱点扫描
5. 什么是DNS劫持攻击以及如何避免此类攻击？

（编辑：ASP站长网）