2026年6月1日,国家互联网应急中心CNCERT正式发布全网高危安全预警,监测发现境内出现大规模家用路由器DNS配置恶意篡改攻击事件,大量家庭、小微企业接入Wi-Fi后,访问正规官网、电商平台、银行站点时被强制跳转至色情、网络赌博、虚假理财类钓鱼网站,短短数天内恶意解析请求单日突破数亿次,单日受影响境内独立IP最高达到70余万个,成为6月影响范围最广的DNS安全事件。

本次攻击的核心入侵路径十分清晰:攻击者通过全网扫描工具批量探测公网开放的路由器管理端口,针对使用123456、admin等默认弱口令的设备暴力破解后台,无需复杂漏洞利用即可登录管理页面,直接修改WAN口DNS服务器地址,将公共DNS替换为黑客控制的恶意解析服务器。只要手机、电脑、智能终端接入该Wi-Fi网络,所有域名解析请求都会经过恶意DNS服务器,正规域名被强行解析至黑客搭建的钓鱼站点,普通用户很难分辨页面真伪,极易泄露账号密码、银行卡、身份证等敏感信息,进而遭遇电信诈骗、财产盗刷。
本次DNS篡改攻击并非只针对家庭用户,大量线下门店、小微企业、小型工作室使用的入门级路由器同样成为重灾区。不少中小企业办公网络长期使用路由器默认密码,未关闭外网远程管理功能,黑客篡改DNS后,不仅员工访问官网会被钓鱼劫持,企业后台管理系统、财务对账平台的访问流量还会被中间人窃听,引发商业数据泄露风险。CNCERT本次同步披露了数十个境外恶意DNS服务器IP地址,黑灰产通过搭建分布式恶意解析集群,持续批量劫持国内网络流量,借助世界杯热点大肆开展网络诈骗活动,DNS劫持结合仿冒网站、虚假SSL证书,大幅提升诈骗成功率。

DNS被称为互联网的“域名指路牌”,用户在浏览器输入域名后,终端会向预设的DNS服务器发起解析请求,由DNS服务器将域名翻译成服务器IP地址,才能完成网页访问。路由器作为局域网网关,一旦其DNS配置被篡改,局域网内所有设备都会自动获取异常DNS地址,所有上网行为都会被黑客监控、劫持,属于典型的局域网中间人攻击场景。
本次攻击主要分为两类劫持模式:第一类是全局DNS篡改劫持,路由器全网所有设备解析全部指向恶意服务器,访问任意网站都可能触发异常跳转;第二类是精准域名劫持,黑客仅针对金融、电商、政企类高价值域名配置错误解析记录,普通新闻、娱乐网站正常访问,隐蔽性更强,用户很难第一时间察觉异常。很多用户误以为网页跳转是网站本身弹窗广告,没有意识到自身网络已经被黑客控制,持续在钓鱼页面输入个人隐私信息,造成不可逆的财产损失。
从安全溯源来看,本次大规模攻击暴露出两大行业通病:一是大量老旧路由器固件长期未更新,厂商缺少弱口令强制提醒、异常配置变更告警机制;二是个人与小微企业网络安全意识薄弱,部署路由器后仅设置Wi-Fi密码,忽略管理后台登录密码防护,同时随意开启远程运维功能,直接将网络入口暴露在公网攻击之下。本次6月DNS劫持事件也让行业意识到,DNS作为网络最底层基础设施,一旦防护缺位,上层HTTPS、防火墙等安全防护都会形同虚设。
针对本次大规模DNS篡改安全事件,CNCERT给出标准化三步自查方案,第一,检查终端DNS配置,Windows通过命令行执行ipconfig/all、Linux与Mac执行nslookup命令,查看当前DNS服务器IP是否为运营商、阿里云、Cloudflare等正规公共DNS地址,如果出现陌生境外IP,说明设备已经遭遇DNS劫持。第二,登录路由器管理后台,核对WAN口DNS配置,优先选择自动获取运营商DNS,禁止手动填写陌生DNS服务器地址,同时查看系统日志,确认是否存在异地登录、配置批量修改记录。第三,测试常用域名解析结果,通过权威DNS解析工具查询官网A记录,对比本地返回IP是否一致,若两地解析结果不同,可判定存在缓存投毒或DNS劫持风险。
办公场景下,企业需要重点排查门店、分支机构、远程办公点位的所有网关设备,统一修改路由器后台高强度密码,关闭WAN侧远程管理、UPnP自动端口转发功能,及时升级路由器官方固件,修复已知远程代码执行、越权访问类漏洞。对于已经出现异常跳转的网络,除重置路由器恢复默认DNS配置外,还需要全盘查杀内网终端木马病毒,防止黑客通过终端后门再次篡改网关配置,形成持续性劫持风险。
想要彻底抵御DNS篡改、劫持类攻击,需要搭建多层次防护体系。
网关层,所有政企、商用网络设备必须禁用弱口令,关闭不必要的公网管理权限,优先使用运营商官方DNS或者国内可信公共DNS,禁止使用来源不明的第三方DNS服务;家庭用户定期每季度检查一次路由器配置,及时淘汰停止固件更新的老旧设备,从源头杜绝网关被入侵篡改的可能。
终端层,企业内网部署终端安全管理系统,限制用户手动修改本地DNS配置,通过组策略强制推送可信DNS服务器地址,拦截恶意DNS篡改行为;普通用户不要随意连接陌生公共Wi-Fi,接入公共网络前开启手机VPN加密通道,规避局域网DNS劫持窃听风险。
域名运营层,企业官网、业务域名必须开启DNSSEC域名安全扩展协议,对解析记录进行数字签名校验,抵御DNS缓存投毒、解析篡改攻击,同时开启域名锁定、后台登录双重认证,防止攻击者通过劫持域名管理账号批量篡改NS解析记录。运维人员需要常态化监控域名解析波动、异常NXDOMAIN请求、TTL配置频繁变更等风险指标,一旦出现解析异常立即启动域名安全应急处置流程。
本次6月大规模DNS篡改事件为全网用户敲响安全警钟,DNS安全是网络防护的第一道防线,无论个人用户还是企业经营者,都不能忽视网关与域名解析的基础安全配置。只有规范路由器权限管理、部署DNSSEC校验、常态化开展解析安全巡检,才能抵御日益泛滥的DNS劫持攻击,守住上网数据与财产安全底线。
最新发布
根据《中华人民共和国网络安全法》及相关法律的规定,用户不提供真实身份信息的,网络运营者不得为其提供相关服务!
详情请查看《51DNS.COM账号实名认证公告》
请未完成实名认证的用户尽快完善账户实名认证信息!
未通过实名认证的账户将无法进行正常操作,正在运行/已配置好的的产品服务不受影响,可正常生效。