主题
第 10 章 网络与路由
本章导读:你上网的每一个动作,都要经过"网络"这条管道,而这条管道最关键的枢纽就是路由器——家里那台常被忽视的盒子,以及咖啡馆、机场里那些诱人的免费热点。如果管道本身被动手脚,你终端上的密码、加密、权限设置都可能形同虚设。读完本章,你将建立对"网络层"的风险认知:学会在公共网络中保护自己,把家用路由器从"出厂默认状态"升级到"足够安全状态",并理解中间人攻击、DNS劫持、ARP欺骗等常见网络威胁的机制与合法防御手段。
🟢 基础:公共WiFi的风险意识
在谈具体设置之前,先回到本书第3章的五类威胁主体。公共网络场景下,你最可能遇到的是:
- ①诈骗与犯罪分子:搭建伪热点窃取你的通信;
- ②商业公司:通过WiFi探针采集你的设备MAC地址进行线下画像;
- ⑤物理接触者:在同一空间内窥探你的屏幕和操作。
公共WiFi的三类主要风险
当你连接一个开放热点(无需密码或同一密码全员共享)时,要意识到:
- 明文通信可能被同一网络内的他人观测。现代主流网站和App已普遍启用HTTPS加密,这意味着别人能看到"你连了哪个网站域名",但看不到"你输入了什么密码"。然而,部分老旧网站、App的后台接口仍可能走明文HTTP,这部分内容可能被观测。
- 伪热点(钓鱼WiFi):攻击者搭建一个名称与正规热点相似(如"Starbucks-Free""ChinaNet-Free")的热点,诱使你连接,从而把你所有的网络流量导向他的设备。这是公共网络最典型的威胁之一。
- WiFi探针:部分商业机构通过采集路过设备的MAC地址、信号强度,对你进行"线下行踪画像"。这类采集不依赖你主动连接,只要手机WiFi开关打开即可被探测。这类行踪信息在《个人信息保护法》中属于敏感个人信息(行踪轨迹),处理者需取得单独同意并采取严格保护措施,但实践中普通用户很难逐个核实合规性。
三条人人可做的对策
对策一:能用移动数据,就不用公共WiFi。这是最简单也最有效的原则。在4G/5G移动网络下,你的通信走运营商的加密通道,比开放热点安全得多。涉及登录银行、支付、邮箱等敏感操作时,务必切换到移动数据。
对策二:若必须用公共WiFi,做到"三不":
- 不登录敏感账号(银行、支付、主邮箱、工作系统);
- 不进行涉及身份验证的交易;
- 不输入任何密码。
只用来查资料、看新闻等低风险操作。
对策三:用完即关。在公共场合不用WiFi时,关闭手机WiFi开关——既省电,也避免自动连接陌生热点,减少被WiFi探针采集的机会。手机系统的"自动连接已知网络"功能也建议关闭,改为每次手动确认。
特殊提示:酒店、机场那种"输入房间号/手机号+验证码"的WiFi,虽然需要登录,但仍是多人共享的公共网络,不要因为"要登录"就误以为它私密。公共WiFi的"安全"是相对的,不要在上面做"输密码、转账"级别的事。
🟢 基础:家用路由器的三个必改项
家用路由器是你全部上网设备的"总闸门",但绝大多数人买回来插上电就用,从未进入管理界面。这种"出厂默认状态"是家庭网络最大的脆弱点,对应本书第3章"纵深防御"的第3层(权限与配置最小化)。
必改项一:管理员密码
路由器出厂时通常带一个默认管理员账号密码,常见组合如 admin/admin、admin/password,运营商定制设备则是设备背面贴纸上的初始密码。这些默认值在公开数据库中可查,任何能访问你路由器管理界面的人,只要对照型号一试便知。
操作步骤(以主流品牌为例,具体路径以你的型号为准):
- 查看路由器背面贴纸,获取管理地址(通常是
192.168.1.1、192.168.0.1、192.168.31.1、tplogin.cn等)和默认账号密码; - 用电脑或手机连接自家WiFi后,在浏览器地址栏输入管理地址;
- 用默认密码登录后,找到"系统工具""管理""账户设置"等栏目;
- 把管理员密码改成至少12位、包含大小写字母+数字+符号的独立密码(不要和WiFi密码相同);
- 把这个密码存入你的密码管理器(见第5章),不要写在路由器背面或贴在墙上。
必改项二:WiFi加密方式与密码
进入"无线设置",确认两件事:
- 加密方式选 WPA2-PSK(AES) 或 WPA3-Personal(较新设备支持)。不要选已被淘汰的 WEP 或 WPA,它们的加密可被快速破解。如果你的手机、笔记本都支持WPA3(2020年后的设备基本都支持),优先选WPA3或"WPA2/WPA3混合模式"。
- WiFi密码至少12位,避免用手机号、生日、门牌号等可猜测信息。WiFi密码被破解,意味着任何路人都能进入你的家庭内网——这是后面"物联网隔离"会进一步讨论的严重风险。
必改项三:固件及时更新
路由器固件(内部的操作系统)会修复已知安全漏洞。但绝大多数人从未手动更新过路由器固件,导致几年前的已知漏洞一直敞开着。历史上多起大规模物联网蠕虫(如Mirai及其变种)正是利用路由器和摄像头等设备的已知未修复漏洞传播,影响规模以百万级设备计(据国家互联网应急中心CNCERT历年报告估算)。
操作步骤:
- 在管理界面找到"系统升级""固件更新"栏目(不同品牌位置不同);
- 选择"检查更新"或"在线升级";
- 若有新版本,阅读更新说明后执行升级(升级过程中请勿断电,通常需要1-3分钟,期间网络会中断);
- 部分品牌支持"自动更新",建议开启。
优先选"自动更新"的品牌:购买新路由器时,优先选择支持固件自动更新的主流品牌。这是长期安全的基础——你不能指望手动更新一辈子。这一点也适用于所有联网设备:固件可更新性是购买决策的重要维度。
🟡 进阶:DNS与加密DNS
理解DNS与加密DNS,是理解"网络流量如何被观测和引导"的关键一步。
DNS是什么?为什么它重要
DNS(域名系统)可以理解成"互联网的电话簿"。当你在浏览器输入 www.example.com,DNS负责把这个域名翻译成服务器能理解的IP地址(如 93.184.216.34)。每一次上网,你都在进行几十上百次DNS查询。
默认情况下,DNS查询是明文的。这意味着:
- 同一网络内的观测者能看到你访问了哪些域名(即便具体页面内容是HTTPS加密的);
- 网络管理者(运营商、公共WiFi提供者)能记录和修改你的DNS响应,把你的访问导向其他地址——这被称为DNS劫持。
历史上,DNS劫持被用于多种场景:运营商插入广告、把不存在的域名导向自家搜索页、把特定网站导向错误地址等。理解DNS的中立性,是理解"你看到的网页是否真实"的前提。
加密DNS:DoH与DoT
加密DNS的核心思路是:把DNS查询也加密,让网络中的观测者看不到你查了什么。主流方案有两种:
- DoH(DNS over HTTPS):通过HTTPS通道传输DNS查询,端口443,与正常网页流量混合,难以单独识别和干扰。
- DoT(DNS over TLS):通过TLS通道传输DNS查询,端口853,独立通道,易于管理但易被识别。
两者对应的公开技术规范分别是 IETF RFC 8484 和 RFC 7858。
主流浏览器配置DoH(以常见浏览器为例,具体路径以实际版本为准):
- Chrome/Edge:设置 → 隐私和安全 → 安全 → 使用安全DNS → 选择服务商(可选内置的可信服务商,或"自定义"填入DoH模板);
- Firefox:设置 → 隐私与安全 → DNS over HTTPS → 最严格模式,选择服务商;
- 手机浏览器同理,在对应隐私设置中开启。
操作系统级DoH/DoT配置:
- Windows 10/11:设置 → 网络和 Internet → 以太网/WiFi → DNS 服务器分配 → 编辑,选"手动",开启IPv4,首选DNS填入支持加密DNS的服务商地址,DNS over HTTPS 选"已启用"并填入模板;
- Android:设置 → 网络 → 私人DNS,填入支持DoT的服务商域名(如
dns.alidns.com或one.one.one.one); - iOS/iPadOS:iOS 14起支持,需安装描述文件(从可信服务商获取)或使用支持DoH的App。
服务商选择提示:中国境内用户选择DNS服务商时,建议选用境内可正常访问、有公开隐私政策的服务。本书不对具体服务商做推荐,只提示选择维度:① 是否承诺不记录查询日志;② 是否在国内有就近节点(影响速度);③ 是否为可信机构运营。
DoH/DoT不能解决什么
需要客观说明:加密DNS解决的是"DNS查询被观测和劫持"这一个问题,它不能:
- 隐藏你访问的具体IP地址(建立连接时的IP对网络管理者仍可见);
- 替代任何形式的访问控制(见第11章);
- 绕过任何合法的网络管理机制。
它是网络卫生的一部分,不是全部。
🟡 进阶:路由器管理面与无线安全
进入路由器管理界面,以下几个设置能显著提升安全性:
关闭远程管理(WAN侧管理)
部分路由器默认开启"远程管理"功能,允许从互联网(而非家庭内网)访问路由器管理界面。这意味着全世界任何人都可以尝试登录你的路由器——一旦成功,攻击者就能改你的DNS、改你的密码、把你所有流量导向他的服务器。
操作:在管理界面找到"远程管理""WEB管理""WAN口管理"等选项,关闭"允许从互联网管理"。管理界面应当只能从家庭内网(连上你家WiFi的设备)访问。
关闭WPS与UPnP(按需)
- WPS(WiFi保护设置):那个"按一下按钮就连WiFi"的功能,其PIN码机制存在已知弱点,可能被暴力破解。除非你确实依赖WPS连接设备,否则建议关闭。
- UPnP(通用即插即用):它让局域网内的应用能自动在路由器上开放端口,方便了P2P下载、游戏联机等,但也被恶意程序利用——任何能运行在你设备上的恶意软件,都能借UPnP在路由器上开洞。安全意识强的用户可以关闭UPnP,改为需要时手动端口映射;但这会影响部分应用体验,请自行权衡。
启用访客网络
家里来客人需要连WiFi?不要直接告诉他们主WiFi密码。主流路由器都提供访客网络功能:
- 它是一个独立的SSID(独立WiFi名);
- 连接到访客网络的设备,通常无法访问主网络中的其他设备(如你的电脑、NAS、摄像头);
- 你可以单独设置访客密码,客人离开后可随时改密码或关闭。
操作:管理界面 → 访客网络 → 开启,设置独立SSID和密码,勾选"隔离客户端"或"禁止访问内网"选项。
开启WPA3(若设备支持)
WPA3相比WPA2,在密码强度较弱时提供更好的防护(抵抗离线字典攻击),并对开放网络提供"机会性加密"(OWE)。2020年后的手机、笔记本基本支持,主流新路由器也支持。
操作:无线设置 → 安全模式,选 WPA3-Personal 或 "WPA2/WPA3 混合模式"(混合模式保证老设备兼容)。
老旧设备连不上WPA3网络时,退而求其次用WPA2-PSK(AES),不要降级到WEP或TKIP——这两种已被实际淘汰的加密方式,在公开资料中均可被快速破解。
🟡 进阶:家庭物联网设备的网络隔离意识
现代家庭的智能设备越来越多:网络摄像头、智能音箱、扫地机器人、智能电视、智能门锁、智能插座……这些设备统称为物联网(IoT)设备,它们是家庭网络安全的薄弱环节:
- 物联网设备的固件更新频率远低于手机电脑,许多设备出厂后从未收到安全补丁;
- 它们普遍使用弱默认密码,历史上多起大规模物联网僵尸网络正是利用默认密码传播;
- 它们随时在线,持续与厂商云服务器通信,一旦被入侵可能成为窥探家庭隐私的入口(尤其是摄像头、音箱、门锁)。
防御思路:把物联网设备关进"沙盒"。理想方案是后文🔴深度部分讲的VLAN分段,普通路由器用户可先做这几步:
- 改默认密码:每个物联网设备的默认账号密码第一时间改掉。尤其摄像头,这是被入侵后危害最大的设备(涉及家庭私密空间的影像,属于核心隐私)。
- 启用访客网络给物联网:把摄像头、音箱这类敏感度低、更新慢的设备,接入路由器的访客网络而非主网络。这样即便它们被入侵,攻击者也难以接触你的电脑、NAS等高价值设备。
- 关闭不必要的云功能:能局域网使用就不要开"云查看""远程控制"。比如摄像头,若仅本地查看录像,关闭"上传云端";智能音箱不用时物理断电。
- 定期检查设备在线情况:管理界面或配套App里,定期查看有多少设备连着你的WiFi,发现陌生设备及时排查。
🔒 摄像头特别提示:卧室、卫生间等私密空间的摄像头,强烈建议不联网,只用本地存储;若必须远程查看,选购有"端到端加密"明确承诺、可改默认密码、有持续固件更新的知名品牌。摄像头被入侵后在暗网流传的案件,在公开报道中屡见不鲜。
🔴 深度:中间人攻击、ARP欺骗与伪热点的机制
理解这些攻击的机制,有助于你明白前面那些防御措施"为什么有效"。本节止于机制与影响,不含任何可操作攻击步骤。
中间人攻击(Man-in-the-Middle, MITM)
中间人攻击的核心是:攻击者把自己插入你和服务器之间,冒充服务器和你说话,同时冒充你和服务器说话。你以为是和服务器直接通信,实际上所有流量都经过攻击者。
MITM能让攻击者:
- 观测你的明文通信(HTTP流量、未加密协议);
- 篡改传输内容(如修改网页里显示的信息、替换下载的文件);
- 但对HTTPS流量,攻击者只能"看到连接存在",无法读取或修改内容(除非有证书问题——见下文)。
MITM在物理上可以通过几种方式实现:控制你连接的网络设备(伪热点)、在你的网络中欺骗协议(ARP欺骗)、控制网络路径上的路由设备等。其中前两种是普通人在公共WiFi中最可能遇到的形态。
ARP欺骗(Address Resolution Protocol Spoofing)
在一个局域网(比如公共WiFi)里,设备之间通过ARP协议把IP地址对应到MAC地址。ARP协议设计上有一个弱点:它信任局域网内任何人主动发出的"我是xxx"声明,不验证真实性。
ARP欺骗的机制:攻击者在同一局域网内向其他设备广播"我就是网关(路由器)",同时向网关广播"我就是那台目标设备"。于是,受害者的所有上网流量都先发到攻击者那里,攻击者转发后再回到正常路径——中间人位置就此建立。这一过程对普通用户完全透明,不会看到任何提示。
防御手段:
- HTTPS:即便流量经过攻击者,他也无法解密HTTPS内容,只能看到密文;
- VPN:在不可信网络中使用可信VPN服务,把所有流量封装在加密隧道里,中间人只能看到密文;
- 避免在公共WiFi做敏感操作:回到🟢基础的原则,这是最朴素也最有效的方式。
伪热点(Evil Twin)
伪热点是公共网络最常见的MITM载体。攻击者架设一个SSID(网络名)与你期望连接的热点相同或相似的热点,且信号更强,你的手机若开启了"自动连接已知网络"就会优先连上它。
连接后,攻击者可能:
- 要求你"登录"或"认证"(实际是窃取你输入的凭据);
- 观测你的非加密流量;
- 进行DNS劫持,把你导向钓鱼页面。
防御手段:关闭"自动连接";优先使用移动数据;在公共WiFi上坚持"三不"原则(不登录敏感账号、不交易、不输密码)。
🔴 深度:HTTPS、证书与降级风险
HTTPS提供了什么
HTTPS = HTTP + TLS/SSL。它提供了三重保障:
- 机密性:通信内容加密,中间人只能看到密文;
- 完整性:内容在传输过程中若被篡改,浏览器会检测到;
- 身份认证:服务器向你出示数字证书,证明"我就是 example.com",而不是别人冒充的。
浏览器对证书的有效性有一套校验机制:证书由受信任的**证书颁发机构(CA)**签发,有效期、域名匹配、信任链都要验证。证书有问题时,浏览器会显示醒目的警告页面。
证书警告:不要轻易点"继续访问"
当浏览器提示"您的连接不是私密连接""证书错误"时,可能意味着:
- 网站证书过期或配置错误(常见,通常无害);
- 你正在遭受MITM攻击,有人用假证书冒充目标网站(危险);
- 网络被劫持(危险)。
普通人很难现场分辨这几种情况,因此本书的建议是:除非你能100%确认是网站自身证书过期(如访问的是你熟悉且信任的内部系统),否则一律不要点"高级 → 继续访问"。尤其是银行、支付、邮箱类网站出现证书警告,应当立即关闭,换网络环境重试,并通过官方渠道核实。
降级攻击与HSTS
降级攻击的思路:攻击者迫使你的浏览器从HTTPS"降级"到HTTP(明文),从而重新获得可观测、可篡改的能力。常见手段包括:
- 阻断HTTPS连接,诱导浏览器回退到HTTP;
- 利用某些网站"HTTP自动跳转HTTPS"的初始那一跳还没加密的窗口。
防御:
- 浏览器普遍已支持"HTTPS优先"模式(在设置里开启),默认所有网站都先尝试HTTPS;
- HSTS(HTTP严格传输安全):正规网站通过HTTP响应头声明"以后只能通过HTTPS访问我",浏览器记住后,即便你输入HTTP地址也会强制走HTTPS;
- 部分浏览器内置"HSTS预加载列表",对主要网站默认启用HSTS。
给从业者的补充:若你运营自己的网站,务必启用HTTPS并设置HSTS响应头,并考虑加入主流浏览器的HSTS预加载列表。这是对用户负责的基本配置。
🔴 深度:家庭网络的网段与VLAN分段思路
当你对家庭网络安全有更高要求时,可以把"所有设备都在同一个局域网"这个假设打破,改为网络分段。
为什么要分段
默认情况下,你家里所有连上WiFi的设备都在同一个局域网(LAN)里——你的手机、电脑、摄像头、智能音箱、客人的手机彼此"可见"。这意味着任何一台设备被入侵,都可能成为攻击其他设备的跳板。本书前文建议的"物联网接访客网络"就是一种粗粒度的分段。
网段分段 vs VLAN分段
- 网段(IP子网)分段:用不同的IP子网(如
192.168.1.x和192.168.2.x)配合路由规则,实现设备间的访问控制。这是软件层面的隔离,成本较低。 - VLAN(虚拟局域网)分段:在交换机/路由器层面,把物理上同一个网络逻辑上划分为多个独立的广播域。VLAN间的通信必须经过路由器,可在路由器上配置精细的访问控制策略。隔离强度更高。
一个典型的家庭分段思路(供参考)
具备相应技术能力且使用支持VLAN的路由器/交换机的读者,可考虑:
- 管理网段:路由器、AP等基础设施;
- 可信网段:你本人常用的高价值设备(电脑、手机、NAS);
- 物联网网段:摄像头、音箱、扫地机、智能家电,禁止访问可信网段;
- 访客网段:客人手机,只上网、不能访问任何内网设备。
各VLAN之间通过防火墙规则控制,默认遵循"最小权限"——物联网/访客不可访问可信/管理网段。
客观说明:VLAN配置门槛较高,需要相应的硬件(管理型交换机、支持VLAN的路由器或软路由)和知识储备。普通读者做到前文"物联网接访客网络"已能显著降低风险,不必强求VLAN。本节只是为你建立"网络可以分段"的认知,具体实施请参考专业资料。
关于"软路由"的说明
部分爱好者使用"软路由"(在小主机上运行 OpenWrt、pfSense、OPNsense 等路由系统)以获得更强的策略能力(如自定义DNS、策略路由、VLAN、广告过滤)。软路由是中性技术工具,本书不展开教学,只提示两点:① 它增加灵活性也增加配置复杂度和出错面,需要持续维护;② 任何"绕过合法网络管理"的用法不在本书范围,请遵守国家法律法规与运营商协议。
本章检查清单
读完本章,请逐项自检:
🟢 基础
- [ ] 我知道公共WiFi的主要风险(明文观测、伪热点、WiFi探针)
- [ ] 我养成"敏感操作走移动数据"的习惯
- [ ] 我在公共WiFi坚持"三不"(不登录敏感账号、不交易、不输密码)
- [ ] 我已修改路由器默认管理员密码(至少12位独立密码)
- [ ] 我的WiFi加密方式是 WPA2/WPA3,密码足够强
- [ ] 我检查并更新过路由器固件,或开启了自动更新
🟡 进阶
- [ ] 我理解DNS的作用和明文查询的风险
- [ ] 我已在主流浏览器或系统中配置DoH/DoT加密DNS
- [ ] 我已关闭路由器远程管理
- [ ] 我已启用访客网络,客人不连主WiFi
- [ ] 我把物联网设备(尤其摄像头)改了默认密码,并考虑隔离
🔴 深度
- [ ] 我理解中间人攻击、ARP欺骗、伪热点的机制
- [ ] 我知道HTTPS证书警告的含义,不轻易点"继续访问"
- [ ] 我理解降级攻击与HSTS的防御原理
- [ ] 我理解网络分段/VLAN的思路,能判断自己是否需要
延伸阅读与参考来源
- 本章法律依据可回溯第1章:《个人信息保护法》对敏感个人信息(行踪轨迹)的定义,以及个人信息处理者安全保障义务的规定。
- 本章威胁分类沿用第3章的五类威胁主体与纵深防御模型。
- 技术细节参考(均为公开技术标准与公开报告):
- IETF RFC 8484(DoH)、RFC 7858(DoT)——协议规范。
- Wi-Fi Alliance 关于 WPA3 的官方说明。
- 国家互联网应急中心(CNCERT/CC)历年《中国互联网网络安全报告》。
- 中国信息通信研究院相关互联网安全公开报告。
- 历史DNS劫持、伪热点、物联网僵尸网络案例,均可通过上述公开权威渠道核实;涉及具体数字处,本书采用"约/估算"措辞,部分数据待复核。
⚠️ 本书仅作防御科普,不构成法律建议;部分设置(如关闭UPnP、配置VLAN、启用DoH、改路由器管理方式)可能影响部分App或设备的正常功能,请读者结合自身情况评估后实施。本章对攻击机制的描述仅用于帮助读者理解风险原理,不含任何可运行攻击代码,也不涉及任何规避合法网络管理的手段。
⬅ 上一章 第 9 章 浏览器与追踪 | ➡ 下一章 第 11 章 理解网络访问控制