2013年

中国家用路由器安全报告

2013年10月30日

摘要

✧绝大多数网民只知道需要设置WiFi密码，却不知道应该如何设置路由器管理密码。根

据用户调查和“360WiFi体检”检测情况，没有更换路由器出厂时默认管理帐号和密码的比例高达98.6%；

✧如果路由器没有更换出厂默认管理帐号和密码，就可能被黑客通过CSRF（跨站请求伪

造）攻击手段篡改DNS网络设置。经360分析检测的344款无线路由器型号中，有104个型号存在此类“弱密码漏洞”，占比达到30.2%；

✧自今年6月份以来，360安全中心已经拦截到多次大规模的路由器黑客攻击事件，黑客

攻击手段主要是入侵高流量网站植入恶意脚本。如果网站访问者没有更换路由器管理密码、没有开启360网盾防护、同时又是存在“弱密码漏洞”路由器的用户，就会被恶意脚本自动篡改DNS等网络设置；

✧从黑客攻击者篡改DNS设置的目的上来看，49.5%是为了推送色情网页和游戏广告；

28.0%是为了劫持电商网站、网址导航、搜索引擎等网站赚取推广佣金；

✧在DNS设置被篡改的用户中，70%以上指向了境外恶意DNS服务器。其中韩国最多，

美国和日本次之。而广东湛江、浙江绍兴和安徽铜陵则是恶意DNS服务器在内地的三大源头。

关键词：路由器、DNS、WiFi、密码、CSRF攻击

目录

第一章数据来源及说明 (1)

第二章路由器密码安全性统计分析 (2)

一、W I F I密码安全性分析 (2)

二、账号管理密码安全性分析 (3)

三、路由器密码设置建议 (4)

第三章CSRF攻击与DNS篡改统计分析 (5)

一、CSRF漏洞与漏洞攻击 (5)

二、路由器DNS篡改统计分析 (5)

三、路由器安全防护建议 (7)

第一章数据来源及说明

本次报告的样本数据来自360安全卫士“WiFi体检”功能的用户体检改善计划结果反馈和360论坛用户反馈与调查。为保证数据统计的准确性与客观性，本次报告针对2013年9月的WiFi体检结果进行了随机抽样统计，共包含国内34个省、直辖市、自治区和特别行政区，合计7,001,504次的数据样本统计。下表根据WiFi体检的多少排序，给出了各地区的样本量分布。

地区广东浙江江苏山东河北河南北京数量987665 592929 523194 409150 366202 358979 353696 比例14.1% 8.5% 7.5% 5.8% 5.2% 5.1% 5.1% 地区四川福建湖北上海辽宁湖南安徽数量303390 302600 278009 263357 213437 206438 162338 比例 4.3% 4.3% 4.0% 3.8% 3.0% 2.9% 2.3% 地区山西江西陕西云南重庆黑龙江吉林数量156668 150396 146598 140403 130155 128233 124677 比例 2.2% 2.1% 2.1% 2.0% 1.9% 1.8% 1.8% 地区天津贵州甘肃广西内蒙古海南新疆数量122132 93672 59383 165303 122807 36066 62330 比例 1.7% 1.3% 0.8% 2.4% 1.8% 0.5% 0.9% 地区青海宁夏香港台湾澳门西藏

数量10930 19804 6219 1827 1327 1190

比例0.2% 0.3% 0.1% 0.0% 0.0% 0.0%

表1 ：WiFi体检人次数地域分布

1

第二章路由器密码安全性统计分析

随着家用电脑、笔记本、智能手机、平板电脑和智能电视的普及，通过无线路由器接入互联网的设备越来越多。家用无线路由器已经成为各种智能设备上网的必要通道。而随着今年以来，各种针对路由器的攻击手法被曝光，路由器的安全性受到业内越来越多的关注。

家用无线路由器的密码设置是其安全性的重要保证。一般来说，家用无线路由器有两个重要的密码：一个是WiFi密码，一个是路由器管理密码。

WiFi密码用于管理电脑、智能手机、平板电脑、PSP等无线设备的接入。如果WiFi密码被破解，他人就能轻易的获取到用户上网资源，也就是俗话说的“蹭网”。

路由器管理帐号和密码是登录路由器时需要输入的帐号和密码，用于进行路由器上网账号、WiFi密码、DNS等各项设置的管理。该密码拥有路由器的最高管理权限，一旦被破解，他人可以随意对路由器各项设置进行篡改，劫持用户访问钓鱼网站（输入网址A、实际打开的却是网址B），并能够通过上网数据包窃取到用户账号密码、QQ聊天记录、网购交易流程、网银账号密码等。

一、WiFi密码安全性分析

WiFi体检显示，99.2%的家用无线路由器用户给自己的路由器设置了WiFi密码，没有设置任何密码的比例仅为0.8%。但是在香港、台湾和澳门地区，没有设置WiFi密码的用户比例分别高达5.3%，3.9%和2.7%，分别为全国平均水平的6.6倍，4.9倍和3.4倍。

相比之下，内地用户不设置WiFi密码的比例则普遍较低，比例最大的河北，山东和江苏分别只有1.3%、1.2%和1.1%，而比例最低的辽宁、湖北和广东则分别为0.6%，0.6%和0.5%。

需要说明的一点是，平均99.2%以上的用户会设置WiFi密码，并不能充分说明所有用户都有足够的无线安全意识。大量相关的用户调查都显示，很多用户习惯设置比较简单好记的WiFi密码，这样很容易被一些自动破解工具在短时间内暴力破解，事实上仍然很不安全。常见的WiFi密码设置不良习惯包括：简短的数字组合、电话号码、生日等容易被暴力破解或猜破的密码。

下图是没有设置WiFi密码的地域分布统计详情（即空密码可以接入Wifi网络）。

2

3

WiFi 密码最常见的加密认证方式有三种，分别是WPA 、WPA2和WEP 。其中，WEP 加密认证的加密强度相对较低，最容易被黑客 …… 此处隐藏：4326字，全部文档内容请下载后查看。喜欢就下载吧 ……