跳到主体内容

路由器被入侵的12个迹象及应对措施

破解的Wi-Fi路由器

大多数家庭路由器多年运行却很少有人动,这正是攻击者盯上的原因。受损的路由器可以使网络上的每台设备都处于风险之中,而无需直接入侵手机或笔记本电脑。

因为路由器位于你的设备和互联网之间,拥有访问权限的人可能能够监视流量、将你重定向到伪造网站,或在没有明显警告的情况下干扰连接。

及早发现可疑行为能帮助你更快夺回控制权,并降低密码被窃、恶意重定向或网络中其他问题的风险。

要点速览

  • 被入侵的路由器会影响你 Wi‑Fi 网络上的每一台设备,包括手机、笔记本、智能 TVs 和联网家居设备。
  • 若干警示信号可以指出路由器被入侵,本文列出了最有用的12个检查项。
  • 仅仅网速慢并不一定意味着路由器被入侵。信号弱、网络拥堵或 ISP 问题也可能造成类似现象。
  • 如果你怀疑被入侵,请断开路由器连接,并按顺序执行恢复步骤,然后再重新连接到互联网。
  • 弱密码、过时的固件和不安全的设置是家庭路由器被攻破的常见原因。
  • 如果你的路由器不再接收安全更新,长期来看更换设备可能更安全。

路由器被入侵的12个迹象

被入侵的路由器可能表现为不同的形式,从异常的网络行为到设置在你不知情时改变。下面的警示信号可以帮助你区分普通的 Wi‑Fi 问题和可能需要立即处理的情况。

1. 网速异常缓慢

速度下降有很多原因,但如果所有设备都持续变慢,即便是在空闲时段且使用量很低,也需要调查。被劫持的路由器会通过额外的跳点转发流量,或运行占用大量带宽的后台进程。如果有线连接的速度测试也很慢,问题通常在你的设备之外的上游。

2. 无故的数据使用激增

一些互联网服务提供商会在月度流量异常上升时发出提醒。在没有人观看视频或备份文件的安静周内出现激增,通常指向路由器自身产生的后台流量,或网络上某台设备向外发送数据。

3. 空闲时有路由器活动

当所有连接设备都已关闭电源时,状态灯仍持续闪烁,或路由器外壳在凌晨3点异常发热,都应检查。通常在无人使用时路由器的活动有限,所以持续活动值得关注。

4. 网络上出现未知设备

打开管理面板,查看已连接设备列表。如果自上次检查后总数增加,或发现无法说明来源的连接(例如类似“android-1f4b”的通用名称或陌生厂商),请调查。每台已连接设备都有一个 MAC 地址和路由器分配的 IP 地址。将其与你拥有的手机、笔记本、智能灯泡和 TVs 交叉核对。

5. 无法登录路由器管理界面

如果你去年设置的管理员密码突然失效,而家中没人更改过,那就说明你的授权被撤销。攻击者在获得访问后常会更改管理员凭证,将合法所有者锁在外面,以防止你撤除他们。

6. Wi‑Fi 网络名称被更改(SSID

你的网络有一个特定名称,不应突然改变。如果网络名称现在显示不同,或旁边出现几乎相同的克隆网络,可能是被黑客更改。重命名的网络通常意味着有人具有管理员权限进行了修改,或设置了平行网络以诱导你的设备自动连接。

7. Wi‑Fi 密码失效

昨天还能正常连接的手机和笔记本突然拒绝已保存的 Wi‑Fi 密码并不断要求重新验证。常见原因有两种:要么攻击者已更改密码将你锁定,要么加密标准被降级(例如从 WPA3 降到 WPA2 或更低),导致旧的保存配置失效。

8. 路由器设置被更改

打开设置面板,查找你未曾做出的更改。注意远程管理被开启、之前没有的端口转发或防火墙规则被放宽,以及你不认识的管理员账户。

9. 可疑的 DNS 设置

域名系统条目应与服务商或已知服务(如 1.1.1.1 或 8.8.8.8)一致。如果在家中无人更改配置的情况下它们被篡改,或你看到指向你未曾连接国家的随机 IP 地址,那就是危险信号。DNS 劫持可以让攻击者将你的流量从银行重定向到钓鱼克隆网站,但你看到的 URL 栏会显得正确。

10. 浏览器被重定向

你输入熟悉的网址,却加载了不同的页面。URLs 可能看起来几乎一样,只是字母换位或顶级域名异常。重定向会在不同浏览器和设备间发生,因为操控发生在路由器层面,而非终端。

11. 频繁弹窗或假安全警报

在合法新闻网站上出现警告 恶意软件感染 的弹窗,或浏览器窗口不断催促你安装软件或假的“系统更新”,通常是路由器级注入。路由器或其指向的恶意 DNS 服务器正在重写你浏览器接收到的内容。

12. 勒索软件留言

一些路由器入侵会直接在浏览器中投放 勒索软件 留言,要求支付赎金以恢复访问,或威胁泄露从网络流量中抓取的数据。不要支付任何费用。断开连接,记录该信息,并将路由器视为完全被攻破。Overview of 12 warning signs of a hacked router, including slow internet, login issues, DNS changes, and browser redirects

你的路由器是被入侵了还是只是网速慢?

如果网速下降仅影响一台设备、与已知的 ISP 故障一致,或在断电重启后恢复,则你的路由器很可能并未被入侵。

当多台设备同时变慢、网络出现不明设备,或设置在无人操作下发生变化时,应考虑可能被入侵。多项症状同时出现比单一信号更能说明问题。

导致网速慢或不稳定的常见原因

无线信号穿墙会减弱,尤其是较旧的砖墙或灰泥墙。在密集公寓楼中,信道拥堵也是常见问题——你周围可能有数十个网络争夺同一频段。检查设备负载:十个智能家居设备、两个流媒体 TVs,再加上有人通过 Wi‑Fi 备份手机,会迅速拖垮一台入门级路由器。

最后,检查是否为服务商侧的 ISP 故障或限速。快速查看服务商的状态页或本地区的社交媒体报告可以标出已知问题。

排查是否被入侵的快速检查项

在断定最坏情况之前,请按以下清单逐项排查。在不到五分钟且无需专用工具的情况下,以下是检查你的 Wi‑Fi 是否被入侵的方法:

  • 对路由器断电重启。拔掉电源,等待六十秒,然后重新插入。
  • 跨设备比对。如果只有一部手机网速慢,路由器大概率未被攻破。
  • 在有线以太网连接上运行速度测试,以区分无线问题和线路问题。
  • 检查 ISP 状态页或致电支持。
  • 查看已连接设备列表,寻找任何不熟悉的设备。

路由器如何被攻破?

路由器通常通过弱或默认的管理员密码、未修补漏洞的过时固件,以及像 WPS、UPnP 或远程管理等危险设置被攻破。

Common ways a router gets hacked, including weak passwords, outdated firmware, and unsafe settings

路由器入侵通常不是针对个人的定向攻击。大多数家庭设备被攻破来自于攻击者发起的大规模自动扫描,这几乎不花成本。

弱或默认密码

默认管理员凭证是公开信息。厂商在手册中列出它们,攻击者维护着可搜索的数据库。结合自动扫描工具,就会导致大量路由器被攻破。在过去的数据泄露中暴露的重复使用密码也是另一个主要入口。

固件过时

固件补丁能修补已知漏洞,但路由器往往多年不更新,因为没人打开管理面板。如果某个在2023年披露的漏洞在2026年仍未被打补丁,该漏洞仍然可被利用。

不安全的路由器设置

若干设置出厂时默认开启,会削弱路由器的安全性。Wi‑Fi 保护设置(WPS)在数小时内可能被暴力破解。通用即插即用(UPnP)允许网络上的任意设备在不询问的情况下打开防火墙端口。远程管理会把管理面板放在公网中,自动扫描工具在几分钟内就能发现它。

当这些设置被暴露或滥用时,会使路由器更容易从内网或外网被访问。

如果路由器被攻破,该怎么做?

如果你认为路由器被攻破,不要慌。最重要的是按正确的顺序采取行动。直接尝试随机修复可能会使故障排查更困难或让网络的部分仍然暴露。

按照下面的步骤安全夺回路由器控制权并保护网络。

步骤1:断开路由器连接

拔掉连接到调制解调器或墙壁的 WAN 电缆。这会立即停止出站流量。如果设备是调制解调器与路由器一体的组合设备,请先关闭互联网连接,但保持路由器通电,以便你仍可登录。

步骤2:将路由器恢复出厂设置

按住凹陷的重置按钮(可能需要用回形针)十至三十秒,视型号而定。默认设置将恢复,未授权的更改会被清除,设备会干净重启。你的 Wi‑Fi 密码和 SSID 将被重置,家中每台设备都需要重新连接。

步骤3:重新获得路由器访问权限

打开浏览器,输入路由器的默认 IP 地址(通常为 192.168.0.1 或 192.168.1.1,缆线网关有时为 10.0.0.1)。你可以在列有默认管理员凭证的贴纸上找到路由器的 IP 地址,通常贴在路由器底部。

使用厂商的默认管理员凭证登录,通常印在底部贴纸上。立即更改管理员密码以及 Wi‑Fi 密码。将 SSID 设置为一个独一无二且不包含你的住址或姓氏的名称。

Three steps to recover from a hacked router: disconnect, factory reset, and regain access

如何防止路由器再次被入侵?

设置强且唯一的管理员密码,切换到 WPA3 加密,禁用 WPS、UPnP 和远程管理,启用自动固件更新,并将 SSID 改为中性名称。在每台连接的笔记本和手机上安装安全软件,因为路由器设置无法阻止电子邮件或下载中的威胁。

Kaspersky Premium 这样的安全套件可以在网络和设备层面增加一层保护,捕捉路由器设置无法防护的威胁。

保护你的家庭网络

Kaspersky Premium 扫描已连接设备,标记薄弱的 Wi‑Fi 设置,并阻止利用路由器漏洞的恶意网站。为全家提供一体化的防护。

立即获取 Kaspersky Premium

保护你的路由器设置

  • 设置强且唯一的管理员密码。至少十二个字符。
  • 在支持的情况下使用 WPA3 加密,否则使用 WPA2-AES。避免使用 WEP 和已弃用的 TKIP。
  • 禁用 WPS、UPnP 和远程管理。
  • 将 SSID 改为中性名称。
  • 启用路由器内置防火墙和你型号提供的任何默认攻击缓解功能。

保持路由器更新

固件更新是家庭用户能采取的最高价值的安全措施。每月检查管理面板。如果你的型号支持,请开启自动更新。如果制造商已停止发布补丁,则该路由器已到达生命周期终点。它会成为你网络上的永久漏洞,应当更换。

保护你的设备和网络

对每台连接网络的笔记本、手机和平板定期进行恶意软件扫描。干净的路由器无法阻止已被攻破的设备自行泄露数据。

移动设备容易被忽略。经过验证的 G2 评论者 强调 Kaspersky 在文件和网站的“强大恶意软件检测”与实时防护,这就是为什么将路由器防护与 Kaspersky Mobile Security 搭配使用能增加重要的安全层。为访客和 物联网设备 使用访客网络,这样它们无法访问你的主设备。

攻击者可以用被入侵的路由器做什么?

被入侵的路由器让攻击者位于网络上每台设备与互联网之间。从那里,他们可以把路由器加入僵尸网络、收集凭证和浏览数据,或将流量重定向到钓鱼网站。

哪些数据处于风险中

浏览历史(你访问哪些网站、何时以及频率)即便在单页加密时也可能泄露。对不使用 HTTPS 的网站的登录尝试会直接暴露凭证。旧协议、老旧的物联网设备以及任何未加密的连接都可能交出内容和元数据。

攻击者如何利用被劫持的路由器

大多数被劫持的路由器会被加入僵尸网络,用于转发垃圾邮件、挖矿或对其他目标发起拒绝服务攻击。其他路由器则用于窃听家庭流量、将银行流量重定向到钓鱼克隆或向连接设备播种恶意软件。Kaspersky 2025 年第二季度物联网威胁数据 显示 Mirai 变种和 NyaDrop 僵尸网络占家庭路由器感染的最大份额。

在潜在数据泄露后应该做什么

  • 从干净的设备上更改关键账户(电子邮件、银行、主要社交账户)的密码,不要使用通过被入侵路由器访问的设备。
  • 在所有支持的地方开启 双因素认证。如果无法使用,改用 SMS 验证或认证器应用。
  • 在接下来的90天内监控财务报表和电子邮件登录历史。通过信誉良好的监测服务检查你的凭证是否出现在 暗网
  • 此后在受影响的设备上使用 VPN
  • 如果你怀疑金融数据泄露,请通知你的银行以便提前标记账户。

被入侵后是否应更换路由器?

路由器被攻破后并不总是需要更换。恢复出厂设置和更改密码能修复大多数攻击。如果固件不再更新、在干净重置后问题仍然存在,或设备超过五年且不支持 WPA3,则应更换路由器。

延伸阅读:

推荐产品:

FAQs

被入侵的路由器会感染你的设备吗?

会。被入侵的路由器可能会将合法下载替换为恶意文件、推送安装恶意软件的假更新提示,或向你访问的网站注入有害代码。一旦一台设备被感染,可能会传播到其他设备。每部手机和笔记本上运行的杀毒软件可以阻挡大多数此类攻击。

黑客会利用你的路由器进行非法活动吗?

会。被入侵的路由器可能被用来发送垃圾邮件、攻击其他网站,或将犯罪者的身份隐藏在你的网络连接之后。因为流量来自你的 IP 地址,任何调查都会落到你身上,而非攻击者。

应该多久检查一次路由器的安全问题?

每月检查一次路由器。登录管理面板,扫描已连接设备列表,核实 DNS 设置是否与服务商一致,并应用任何待处理的固件更新。处理敏感数据或正在从账户接管中恢复的家庭应每两周检查一次。

路由器被攻破会绕过双因素认证(2FA)吗?

有时会。如果攻击者将你重定向到伪造的登录页面,他们可能会同时截取你的密码和一次性验证码。双因素认证仍然提供强保护,但最好与安全的网络环境配合使用。

路由器被入侵的12个迹象及应对措施

怀疑路由器被入侵?了解12个警示信号、如何检查网络,以及保护你的Wi‑Fi和设备的具体步骤。
Kaspersky logo

相关文章