今日，国家互联网应急中心（CNCERT）发布风险提示，近期发现部分家庭用户在连接家用路由器Wi-Fi后，访问正常网站或触发网络连通性检测时，会异常跳转至色情、赌博等非法页面。

造成这类问题的主要原因，是家用路由器DNS被恶意篡改，攻击者利用弱口令等漏洞进入路由器后台，随后修改DNS服务器配置。

DNS被篡改后，用户自己往往并不会第一时间察觉，因为网络还能通，网站也能打开，只是访问结果已经被悄悄“带偏”。

根据CNCERT通报，目前已监测到数十个恶意DNS服务器，单日恶意解析次数超过数亿次，单日影响境内独立IP最高超过70余万个。

DNS篡改为什么会导致网站异常跳转？

DNS是网络的“电话簿”。

一旦DNS被恶意修改，用户虽然输入的还是正常网址，但最终解析并访问到的，可能已经是恶意服务器了。

更麻烦的是，因为DNS一般由路由器DHCP统一下发，所以一旦路由器被改，整个Wi-Fi下的手机、电脑、平板等设备，都可能一起“中招”。

如何排查DNS是否被篡改？

CNCERT在风险提示中公布了一批恶意DNS IOC地址：关于家用路由器DNS被恶意篡改导致异常跳转风险的提示

我们可以登录路由器后台查看DNS设置，或检查终端当前DNS服务器地址，看是否存在上述DNS或其他陌生的境外DNS。

家用路由器中招影响的是一个家庭，但在企业级网络中，一旦类似问题发生，影响范围往往会更大。对于这类复杂的网络环境，如果网络中已经部署了派网设备，问题其实就比较容易发现。

很多时候，用户可能并不知道自己的DNS已经被修改，但流量本身总会留下痕迹。

在Panalog Ultra/NTM中，可以在【DNS分析】或【DNS审计】页面，查看网络中所有DNS请求的历史记录，并检索CNCERT公布的恶意DNS IOC，查看哪些终端访问过相关IP。

或者通过LogBot，自动帮我们分析可能的DNS异常。

更直接的方法：DNS管控

除了发现问题，我们还可以利用Panabit，从网络侧直接进行控制。

通过DNS管控能力，Panabit可以在网络边界拦截并重定向DNS请求。即使终端或下挂路由器已经被恶意篡改，Panabit也会在流量出网前将其纠偏，统一转发至合法的DNS。

对于学校、企业、酒店、公共Wi-Fi这些终端不可控的场景，这种方式要更加直接有效。

结语

DNS对于互联网至关重要，但这个基础服务却异常脆弱。

因此，除了提升安全意识、及时修补路由器弱口令外，更有效的手段是在网络侧建立主动防御机制。

例如，通过全流量的审计及时发现异常，并利用网关侧的DNS管控进行统一纠偏，在源头上降低DNS被恶意利用带来的风险。