无线路由器是您整个家庭网络的网关，从无线婴儿监视器到您进行银行业务的安全计算机。控制此网关使攻击者可以访问网络内的设备以及通过它的数据。

毫不奇怪，家庭路由器成为地下犯罪分子的新前沿，默认密码是主要的攻击媒介之一。2011 年和 2012 年，攻击者利用漏洞更改巴西超过 450 万个 DSL 调制解调器的 DNS 设置。2014年3 月，Cymru 团队报告称，超过 300,000 台家用路由器在全球攻击活动中遭到入侵，并更改了其 DNS 设置。2014年9月，巴西路由器再次遭到大规模攻击。

这些攻击中的大多数都涉及两个漏洞，一个存在于许多品牌路由器中的 CSRF（跨站点请求伪造）和默认密码。这意味着访问恶意网站将强制您的网络浏览器登录您的家庭路由器并进行配置更改。本文描述了类似的攻击及其严重后果。

这一切都始于 2007 年发布此攻击时。攻击成功的主要条件是攻击者猜出路由器密码，因为当时即使是思科也有 77 台路由器易受 CSRF 攻击。

而默认密码的问题在 2014 年依然存在：

Tripwire 与美国和英国的 653 名 IT 和安全专业人员以及 1009 名远程工作人员进行了交谈，结果令人震惊。30% 的 IT 专业人员和 46% 的受访员工甚至没有更改其无线路由器的默认密码。更多（分别为 55% 和 85%）不更改其路由器上的默认 IP 地址（使跨站点请求伪造 - CSRF - 攻击更容易）。（来源）

使用默认密码的面向互联网的管理面板的危险应该是显而易见的。但是管理面板对本地网络开放的开放网络很容易受到本地攻击。具有良好天线的Wardriving可以覆盖大面积并发现许多易受攻击的路由器。

一旦获得访问权限，攻击者就可以更改 DNS 设置并拦截数据以提供恶意软件、广告或网络钓鱼。或者它可以打开内部网络并攻击一些未打补丁的旧 Android 手机，并可能希望其中一个设备能够旅行并成为另一个更高价值网络的入口点。

此外，路由器最有可能存储连接到 ISP 的凭据，攻击者可以重复使用或滥用这些凭据。我听说过有一个为客人开放的网络和一个受密码保护的网络的无线路由器。连接到开放网络并使用默认凭据访问管理面板允许访问具有密码保护网络的 WPA 密钥的路由器配置文件。

虽然有些用户对安全性一无所知，但有些路由器制造商并不对用户的安全性一无所知，并为每个路由器提供唯一的管理员密码。大多数密码与型号和 MAC 地址等其他详细信息一起印在永久贴纸上。这不如我最近购买的路由器安全，后者的密码印在卡片上，需要在首次使用时更改。

正如 Malavos 在评论中提到的，有些 ISP 使用默认密码租用路由器，甚至有些 ISP 禁止更改这些默认密码。我要补充的是，一些 ISP 会更改默认密码并使用它来远程配置路由器，但他们会为所有客户的路由器设置相同的密码。这是有问题的，因为该密码可以通过硬件黑客来恢复，因此每个具有该密码的路由器都可能被破坏，甚至是远程攻击。

保护无线路由器的主要规则：

• 更新路由器固件
• 关闭不需要的服务
• 设置强管理员密码

对于直接危险，您有可能将控制面板暴露在互联网上（我只见过没有此功能或默认设置为关闭的路由器，但它在可能的范围内它是默认开启的，或者是不知道其含义的用户意外设置的）。此外，网络上受感染的计算机可能允许外部人员控制路由器。

也就是说，我们不应该假设前面的防御层没有失败来判断一层防御。正确构建的路由器不会将其控制面板暴露在互联网上，并且只有干净的合法计算机始终拥有合法用户，这可能意味着将密码设置为默认值没有危险（据我所知） . 问问自己，这种情况有多大可能是真实的，并且在你的网络的整个生命周期内都保持真实？具体的危险是其他一些防御层最终会倒塌，因此您希望这层防御层能够更好地保护自己。

“您可以假设任何合法连接到路由器的人都可以访问和更改其配置。”

但是，如果默认密码类似于“密码”，您无法确定某人是否合法连接。

我们现在谈到一个术语问题。如果您的密码在安装时由（例如）ISP 承包商设置为某个随机序列，则它比使用“密码”之类的默认值要安全得多。