2026-04-26 05:05:18 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档分析了攻击者利用普通联网设备（如家用路由器、摄像头、打印机）构建隐蔽网络的新趋势。这些设备因数量大、维护薄弱、来源看似正常，被用于隐藏攻击源、绕过IP信誉防护及支撑低频分布式探测。NCSC等机构指出此类网络正被用于针对关键基础设施的长期潜伏活动。建议企业通过资产治理、行为分析、蜜罐诱捕和多维关联识别此类威胁，并加强边缘设备生命周期管理。 综合评分： 85 文章分类： 威胁情报,网络安全,安全运营,IoT安全,漏洞分析

cover_image

攻击企业的流量，可能来自一台家用路由器

原创

JacobWang JacobWang

NowSec

2026年4月24日 14:18 新加坡

在小说阅读器读本章

去阅读

从路由器、摄像头到打印机，普通联网设备正在成为攻击者隐藏身份的新型基础设施

很多人以为，路由器、摄像头、打印机这类设备只是“家用设备”或者“边缘设备”，和企业安全没什么关系。

但现实是，攻击者越来越喜欢控制这些看起来不起眼的普通设备。

它们可能是一台家用路由器，也可能是一台长期没人更新的摄像头，甚至是一台暴露在公网的打印机。被控制之后，这些设备不一定立刻用来发起大规模攻击，而是会被编织成一张隐蔽网络，成为攻击者隐藏身份、绕过溯源、接近企业目标的跳板。

也就是说，企业看到的攻击源 IP，未必是真正的攻击者。

它可能只是别人家里一台已经失守的路由器。

近期，英国国家网络安全中心 NCSC 联合多个国家和地区的网络安全机构发布安全建议，提醒组织关注由被攻陷设备组成的“隐蔽网络”。这些网络主要由 SOHO 路由器、物联网设备、智能设备等组成，用于隐藏恶意网络活动。NCSC 还提到，多数中国背景威胁行为者正在使用这类网络来隐藏活动来源，并且多个攻击组织可能共享同一套隐蔽网络。(National Cyber Security Centre)

这说明一个趋势正在变得越来越明显：攻击者不只是在攻击服务器、网站和业务系统，他们也在大规模控制那些“看起来很普通”的联网设备。

#

一、为什么攻击者盯上了普通设备？

普通设备之所以被攻击者看中，不是因为它们本身价值很高，而是因为它们具备几个非常适合攻击基础设施的特点。

1. 数量巨大，而且长期在线

路由器、摄像头、NAS、打印机、网关、防火墙、VPN 设备，广泛存在于家庭、小型办公室、门店、分支机构和企业边缘网络中。

这些设备往往有一个共同点：一旦部署，就会长期在线。

服务器可能会被安全团队重点监控，业务系统可能有 WAF、防火墙、日志审计和漏洞扫描。但很多边缘设备部署之后，后续维护频率很低，甚至几年都不会有人主动检查它的固件版本和安全配置。

从攻击者视角看，这类设备就像一批分散在互联网边缘的“免费节点”。

只要控制足够多，就可以形成一张庞大的代理网络。

2. 维护薄弱，容易长期失守

很多普通设备存在几个典型问题：

1.&nbsp;默认口令没有修改2.&nbsp;管理端口暴露在公网3.&nbsp;固件长期不更新4.&nbsp;厂商已经停止维护5.&nbsp;漏洞修复依赖用户手动升级6.&nbsp;日志能力弱，被攻击后不容易发现这类问题对攻击者来说非常有吸引力。

2024 年，CISA、NSA、FBI 等机构发布关于 Volt Typhoon 的联合安全建议，其中提到，Volt Typhoon 曾使用植入 KV Botnet 恶意软件的 Cisco 和 NETGEAR 终止支持 SOHO 路由器来支撑攻击行动。(网络安全和基础设施安全局)

美国司法部也曾披露，Volt Typhoon 使用被感染的个人 SOHO 路由器来隐藏其针对美国及其他目标的攻击来源。(司法部)

这里有一个非常关键的点：这些设备很多并不是企业核心系统，而是一些已经过保、停更、没人维护的边缘设备。

但一旦它们被控制，就可能成为攻击关键基础设施、企业网络和业务系统的跳板。

3. 来源“看起来正常”，更容易降低防守方警惕

如果攻击流量来自某个明显异常的境外 VPS、IDC 机房或者已知恶意 IP，安全设备和运营人员可能会比较敏感。

但如果流量来自普通家庭宽带、小型办公室出口、摄像头网络或者运营商动态地址段，情况就复杂得多。

这类 IP 不一定出现在威胁情报黑名单里，也不一定具备明显的恶意标签。它们看起来可能只是一个普通用户的网络出口。

这也是攻击者喜欢它们的原因。

攻击者不是为了让这些设备“看起来强大”，而是为了让攻击流量“看起来普通”。

#

二、控制普通设备，不只是为了 DDoS

过去一提到 IoT 僵尸网络，很多人的第一反应是 DDoS。

确实，很多被控摄像头、路由器和 IoT 设备曾经被用来制造大规模流量攻击。但现在更值得关注的是，这些设备正在成为一种新的隐蔽攻击基础设施。

传统僵尸网络更像是一把“大锤”，用于制造流量洪峰。

而现在的隐蔽网络，更像是一件“伪装外衣”。

攻击者不一定追求瞬间打垮目标，而是利用这些设备作为代理节点，把扫描、探测、爆破、漏洞利用、数据回传等行为拆散到大量普通设备上。

这样做有几个好处。

1. 隐藏真实攻击源

企业安全设备看到的是源 IP，但这个源 IP 可能只是某个被控路由器。

真正的攻击者躲在后面。

即使企业封禁了这个 IP，也只是封掉了一个跳板，未必能触碰到真正的攻击基础设施。

2. 绕过部分基于 IP 信誉的防护策略

很多安全系统会依赖 IP 信誉库、黑名单、地理位置、ASN、历史攻击记录来判断风险。

但如果攻击流量来自大量普通宽带和边缘设备，这种判断就会变得困难。

攻击者可以不断切换节点，让每个节点只承担很少的请求，避免单个 IP 暴露出明显攻击特征。

3. 支撑低频、分布式、长周期探测

企业经常会看到一些很“碎”的异常请求：

一个 IP 扫了一下登录接口；
另一个 IP 访问了一个不存在的漏洞路径；
第三个 IP 尝试了一个弱口令；
第四个 IP 访问了某个历史框架路径。

单独看，每条请求都不一定严重。

但如果把这些请求放在一起看，可能就是同一类攻击活动的不同节点。

这类低频、分布式、长周期探测，正是隐蔽网络适合做的事情。

4. 为长期潜伏和间谍活动提供基础设施

NCSC 近期的安全建议明确指出，这类隐蔽网络被用于隐藏恶意网络活动；Reuters 的报道也提到，多国网络安全机构警告，相关攻击者正在利用被攻陷的日常联网设备隐藏攻击行为，并对关键行业构成威胁。(National Cyber Security Centre)

这意味着，被控普通设备不仅仅是“流量工具”，还可能成为长期攻击行动的一部分。

它们可以被用来隐藏扫描、代理访问、凭证攻击、横向尝试，甚至配合更复杂的入侵活动。

#

三、企业安全设备为什么容易被这类流量迷惑？

从企业安全运营视角看，安全设备看到的通常是：

源 IP访问路径请求方法User-Agent请求参数攻击载荷访问频率命中规则响应状态码

这些信息很重要，但也存在局限。

因为安全设备看到的是“攻击流量从哪里来”，不一定能直接看到“攻击者是谁”。

如果攻击者通过大量被控路由器、摄像头和智能设备发起请求，那么企业侧看到的就是一个个普通的互联网出口 IP。

这会带来几个问题。

1. 单个 IP 行为不明显

攻击者可以控制每个节点的请求频率。

一个 IP 只访问几次，一个设备只探测一个路径，一个节点只做一次漏洞验证。

这种情况下，基于单 IP 的频率阈值很难触发。

2. 攻击链路被拆散

扫描、验证、利用、回连，可能来自不同节点。

比如：

A&nbsp;节点负责扫描资产；B&nbsp;节点负责验证漏洞；C 节点负责尝试登录；D 节点负责访问敏感路径；E 节点负责代理回连。

如果只看单台设备日志，每个动作都像是孤立事件。

但如果放到全局视角，它们可能属于同一条攻击链。

3. IP 封禁效果有限

封禁某一个源 IP，只能阻断一个被控节点。

攻击者手里可能还有成百上千个类似节点。

这也是为什么面对这类攻击时，单纯依赖黑名单会越来越吃力。

真正有效的方式，是把 IP、行为、载荷、资产、时间窗口和威胁情报关联起来看。

#

四、从 WAF 和蜜罐视角看，有哪些值得关注的特征？

这类流量最麻烦的地方在于：单看一条请求，它可能并不明显。

但如果把 WAF、蜜罐、NIDS、日志平台和威胁情报放在一起看，往往能发现一些共性。

1. 源 IP 分散，但访问路径高度相似

比如多个不同地区、不同运营商的 IP，在短时间内访问类似路径：

/admin/login/api/login/.env/actuator/vendor/phpunit/cgi-bin/

单个 IP 看起来只是访问了一两个路径，但多个 IP 的访问目标高度一致。

这时就要关注：它们是否属于同一批自动化探测行为。

2. 请求频率不高，但命中特定漏洞特征

传统防护经常关注高频攻击，但隐蔽网络更擅长低频探测。

例如：

每个源 IP 只请求&nbsp;1&nbsp;到&nbsp;3&nbsp;次；每次请求都命中特定历史漏洞路径；请求时间分散在数小时甚至数天内；User-Agent 有伪装痕迹；参数结构高度相似。

这种流量不一定会触发高频拦截规则，但在聚合分析中会非常明显。

3. 同一批源 IP 同时触碰真实业务和蜜罐资产

这是蜜罐非常有价值的地方。

如果某些源 IP 既访问真实业务，又访问诱捕资产，说明它们可能不是正常用户，而是在进行资产探测、漏洞扫描或自动化攻击。

对于安全运营来说，蜜罐不只是“等人打”的系统，而是识别异常来源和攻击行为画像的重要传感器。

当某个源 IP 触碰蜜罐后，它后续访问真实业务的行为就应该被提高风险等级。

4. User-Agent、Header 和请求结构存在脚本化痕迹

很多自动化攻击工具会伪装成浏览器，但伪装并不完整。

常见问题包括：

User-Agent 与请求行为不匹配；Accept、Accept-Language、Connection 等&nbsp;Header&nbsp;异常；访问路径像浏览器，访问节奏像脚本；请求方法固定，参数结构重复；多个源 IP 使用相同&nbsp;Header&nbsp;模板。这类特征不一定能单独定性，但可以作为行为画像的一部分。

5. 来源 ASN、地区、运营商分布异常

如果某个业务系统平时主要服务固定地区、固定用户群，但突然出现大量来自不同国家、不同运营商、不同家庭宽带的低频探测，就需要关注。

攻击者利用隐蔽网络的目的，就是把攻击流量伪装成“分散的普通访问”。

因此，地理位置和运营商分布异常，也可以作为辅助判断维度。

#

五、企业应该怎么防？

面对这类攻击，不能只靠“封 IP”。

因为你封掉的很可能只是一个跳板，而不是攻击者本人。

企业更应该做的是建立一套围绕“暴露面、行为、诱捕、关联分析”的防护体系。

1. 先把自己的边缘资产盘清楚

很多企业并不是没有安全设备，而是不知道自己到底暴露了多少东西。

尤其是这些资产：

公网路由器防火墙VPN 网关负载均衡摄像头NVRNAS打印机远程管理端口测试系统临时业务入口历史遗留系统

这些资产如果长期无人维护，就可能成为别人攻击你的入口，也可能被别人拿去攻击其他目标。

资产暴露面治理应该成为安全运营的基础工作。

2. 不要只依赖 IP 黑名单

IP 黑名单仍然有价值，但不能作为唯一判断依据。

面对隐蔽网络，应该更多关注行为本身：

访问了什么路径？是否命中特定漏洞特征？是否触碰过蜜罐？是否和其他 IP 行为相似？是否访问了多个业务系统？是否出现在近期威胁情报中？是否存在低频、分布式、重复探测？真正的问题不是“这个 IP 是不是黑名单 IP”，而是“这个 IP 正在做什么”。

3. WAF 侧关注低频分布式探测

很多 WAF 策略更容易发现高频攻击和明显攻击载荷。

但隐蔽网络往往不是高频猛打，而是低频慢扫。

因此，WAF 侧可以重点关注：

多个源 IP 命中相同规则；多个源 IP 访问相同敏感路径；多个源 IP 使用相似参数结构；多个业务站点出现类似探测；同一类攻击载荷在多个源 IP 中分散出现；低频请求在长时间窗口内持续出现。这类分析不能只看单条告警，而要做聚合。

安全运营的重点，也要从“处理单条告警”逐步转向“识别一类行为”。

4. 蜜罐侧做诱捕和画像

蜜罐在这类场景下非常有用。

因为真实业务的访问行为可能很复杂，但蜜罐资产本身不应该被正常用户访问。

一旦某个源 IP 访问了蜜罐，就说明它具备明显异常行为。

企业可以围绕蜜罐建立几类画像：

扫描型 IP：大量访问端口和路径；漏洞验证型 IP：命中特定漏洞特征；弱口令尝试型 IP：尝试登录和爆破；代理跳板型 IP：请求频率低但行为分散；复合型 IP：既访问蜜罐又访问真实业务。

这些画像可以反向喂给 WAF、SIEM、态势感知平台和威胁情报库，提高后续检测准确率。

5. 建立“源 IP + 行为 + 载荷 + 资产”的关联分析

面对被控普通设备，单一维度很容易误判。

更合理的方式是建立多维关联：

源 IP：从哪里来行为：做了什么载荷：请求里带了什么资产：访问了什么系统时间：什么时候发生频率：是否持续出现情报：是否有外部风险标签蜜罐：是否触碰诱捕资产

当多个维度同时异常时，即使单个 IP 本身没有出现在黑名单里，也应该提高风险等级。

6. 对自己的边缘设备做生命周期管理

很多企业会重视服务器漏洞，却忽视边缘设备生命周期。

但从近几年的攻击案例来看，边缘设备正在成为高价值攻击入口。

企业应重点关注：

设备是否已经 EOL；固件是否长期未更新；是否存在默认口令；管理口是否暴露公网；是否开启不必要服务；是否缺少日志审计；是否纳入漏洞管理和资产管理；是否具备替换计划。

已经停止支持、无法修复漏洞的设备，不应该继续暴露在生产网络中。

#

六、这对安全运营意味着什么？

这类攻击趋势对安全运营提出了一个很现实的问题：

过去，我们经常把安全告警当成单点事件处理。

某个 IP 攻击，就封禁这个 IP。某条请求命中规则，就处理这条告警。某个漏洞被扫描，就加一条策略。

但在隐蔽网络场景下，攻击行为可能是分散的、低频的、长期的，而且攻击源 IP 本身并不一定“脏”。

这就要求安全运营从单点处置走向关联分析。

不仅要看“谁访问了我”，还要看：

这批 IP 是否行为相似？它们是否访问了相同路径？它们是否命中了相同漏洞？它们是否触碰过蜜罐？它们是否在多个业务系统中出现？它们是否符合近期攻击趋势？

换句话说，企业安全不能只盯着攻击载荷，也要关注攻击基础设施。

攻击者控制普通设备，真正想获得的不是这些设备里的数据，而是它们的网络位置、身份伪装和流量通道。

#

结语

从路由器到摄像头，攻击者盯上的并不是这些设备本身的价值，而是它们背后的“隐蔽性”。

它们分散、数量大、长期在线、维护薄弱，又天然处在各种网络边缘位置。一旦被控制，就可以成为攻击者隐藏身份、接近目标、绕过溯源的基础设施。

对企业安全团队来说，未来看到一个攻击源 IP 时，不能只判断它是不是恶意 IP，更要判断它背后是否代表一类攻击基础设施。

因为你拦下的，可能不是攻击者本人。

而是攻击者手里的一台普通路由器。

参考来源

NCSC：International cyber agencies share fresh advice to defend against China-linked covert networks。
NCSC：Defending against China-nexus covert networks of compromised devices。
CISA：PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure。
美国司法部：U.S. Government Disrupts Botnet Used by PRC State-Sponsored Hackers to Conceal Hacking of Critical Infrastructure。
Reuters：China-linked hackers using everyday devices to hide attacks, cyber agencies warn。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：NowSec JacobWang JacobWang《攻击企业的流量，可能来自一台家用路由器》