在家连WiFi看剧、办公、打游戏,谁也没想到数据可能正被隔壁老王看着。很多看似正常的网络操作,背后藏着协议层面的安全漏洞,稍不注意,密码、聊天记录甚至银行信息都可能被人截走。
HTTP 明文传输:就像写明信片寄密码
不少老网站还在用HTTP协议,它最大的问题是所有数据都是“裸奔”的。你在网页上输入的用户名、密码,就像是把内容写在明信片上寄出去,中间经过的每个路由器、WiFi热点,都能看到。
比如你连小区公共WiFi,登录一个只支持HTTP的论坛,攻击者只要在同一网络下做简单嗅探,就能拿到你的登录信息。
GET /login.php?user=admin&pass=123456 HTTP/1.1\r\nHost: example.com\r\nDHCP 欺骗:让你连上“假路由器”
DHCP协议负责给设备自动分配IP地址。但如果有人在局域网里架设一个恶意DHCP服务器,你的手机或电脑可能就会被误导,把数据先发给这个“假网关”。
这种攻击在开放WiFi环境中很常见。你觉得自己连上了“XX咖啡厅WiFi”,实际上流量先被中间人劫持一遍,再转发出去——你刷的网页、搜的内容,全都被记录。
ARP 欺骗:局域网里的“身份冒充”
在同一个WiFi下,设备靠ARP协议找到彼此。但ARP本身没有验证机制,攻击者可以伪造回应,告诉你的电脑:“我是路由器”。于是你的所有上网请求,全都发给了他。
这种攻击不需要破解密码,只要在同一局域网就能发起。很多人在家用路由器带多个设备,一旦有某个设备中毒,整个网络都可能被监听。
WEP 和 WPA 的老旧加密问题
有些老路由器还在用WEP加密,这种协议早在2000年代就被证明不安全。现在用一台普通笔记本,装个工具十几分钟就能破解。
即使是早期的WPA(TKIP加密),也存在漏洞。建议家里路由器一定要设置为 WPA2 或 WPA3,并使用 AES 加密模式,密码长度至少12位,混合大小写字母、数字和符号。
DNS 劫持:你以为去百度,其实去了钓鱼网站
DNS协议负责把域名变成IP地址。但它默认是明文查询,攻击者可以篡改响应,把你导向仿冒的银行或支付页面。
比如你输“www.mybank.com”,结果被偷偷指向一个看起来一模一样的假网站。你输入账号密码,对方直接收走。现在很多路由器支持设置可信DNS(如 8.8.8.8 或 1.1.1.1),能降低风险。
如何减少协议层风险?
别指望所有协议都绝对安全,关键是多加几道防线。尽量访问以 HTTPS 开头的网站,浏览器地址栏有小锁图标更安心。家里路由器定期升级固件,关闭WPS和远程管理功能。
公共WiFi下别登录重要账户,必要时用正规渠道的VPN加密全部流量。手机和电脑开启防火墙,避免自动连接“免密WiFi”。
网络协议不是普通人能改的,但我们得知道哪些地方容易出事。就像出门要锁门,上网也得明白哪里“没上锁”。别让方便成了漏洞的入口。