你家路由器的管理页面,是不是还用着默认密码 admin/admin?公司防火墙规则,是不是三年没更新过?这些看似小事,恰恰是黑客最常下手的地方。网络边界就像小区大门,门锁坏了、保安打盹、访客登记形同虚设,再好的楼道监控也白搭。
端口扫描:小偷先摸清你家几扇窗
攻击者用工具(比如 nmap)快速扫一遍你的公网 IP,看哪些端口开着——80(网页)、22(远程登录)、3389(Windows 远程桌面)……哪个开着,就相当于哪扇窗没关严。家里老款摄像头如果开了 8080 端口又没改密码,扫到就等于送钥匙。
SYN Flood:堵死门口不让进人
正常访问网站要“三次握手”:你发个 SYN 请求,服务器回 SYN-ACK,你再回 ACK。SYN Flood 就是狂发一堆 SYN 包,但不完成握手,把服务器的连接队列占满。结果真用户连不上邮箱、打不开后台,像早高峰地铁口被塞满纸箱,谁也进不去。
DNS 劫持:你输的是淘宝,打开却是假银行
黑客篡改你路由器或 ISP 的 DNS 设置,把你查 “www.icbc.com.cn” 的请求,悄悄指向他控制的钓鱼网站。页面做得一模一样,连地址栏小锁图标都有,输完卡号密码,钱就进了黑产账户。去年有用户反映,自家路由器后台 DNS 被改成 114.114.115.115 以外的陌生地址,就是中招迹象。
Web 应用层攻击:专挑网站后台漏洞钻
比如 SQL 注入,攻击者在登录框输入:
' OR '1'='1<script>alert('xss')</script>,别人一打开帖子,弹窗就出来了——这说明站点没对用户输入做转义,边界防护漏了一环。伪装成合法流量的 C2 回连
木马上线后,并不直连黑客服务器,而是伪装成百度统计、微信 JS SDK 请求,走 HTTPS,域名看着也正经。传统防火墙只看端口和 IP,很难拦住这种“穿马甲”的通信。某次企业内网失窃,溯源发现异常流量混在每天几千条腾讯 CDN 请求里,靠行为分析才揪出来。
边界不是贴张膜就万事大吉。路由器改密、关闭 UPnP、禁用远程管理;防火墙开日志、定期审规则;Web 服务加 WAF、过滤特殊字符——这些动作不炫酷,但真管用。