很多網(wǎng)絡(luò)管理員在進(jìn)行內(nèi)網(wǎng)絡(luò)管理和防范病毒時(shí)都遇到了惡意網(wǎng)站攻擊的問題，很多員工計(jì)算機(jī)由于不小心安裝了流氓軟件而經(jīng)常自動(dòng)訪問惡意站點(diǎn)，從而造成病毒的大范圍傳播。以往我們都是通過編輯員工計(jì)算機(jī)的HOSTS文件將非法站點(diǎn)指向127.0.0.1地址而過濾的，不過這個(gè)方法操作起來相對(duì)麻煩，增加了網(wǎng)絡(luò)管理人員的工作量，那么是否存在著一種辦法可以批量針對(duì)內(nèi)網(wǎng)域名訪問進(jìn)行過濾呢?答案是肯定的，今天就請(qǐng)各位跟隨筆者一起用路由器統(tǒng)籌管理HOSTS文件來防范惡意站點(diǎn)的非法訪問。

一，用路由器統(tǒng)籌HOSTS防范惡意站點(diǎn)攻擊的原理：

在開頭我們介紹了傳統(tǒng)的通過編輯HOSTS文件來防范員工計(jì)算機(jī)對(duì)惡意站點(diǎn)域名的訪問，我們?cè)谙到y(tǒng)目錄中的c:\windows\system32\drivers\etc目錄下將能夠看到該文件的存在，HOSTS文件在功能運(yùn)行時(shí)的優(yōu)先級(jí)是高于DNS解析的，說白了這里存在的域名對(duì)應(yīng)關(guān)系將直接被使用，所以將惡意站點(diǎn)對(duì)應(yīng)的IP地址在HOSTS文件中進(jìn)行指定后，再訪問這些惡意站點(diǎn)時(shí)將自動(dòng)轉(zhuǎn)發(fā)到指定的IP地址而避免感染病毒和木馬的危險(xiǎn)。(如圖1)

添加到HOSTS文件中的對(duì)應(yīng)關(guān)系類似“127.0.0.1 www.sex.com”這樣的格式，這樣該計(jì)算機(jī)在本機(jī)訪問www.sex.com時(shí)將自動(dòng)指向127.0.0.1，從而避免被www.sex.com站點(diǎn)上的流氓插件和病毒程序所感染。(如圖2)

不過這樣的單純修改HOSTS文件的方法效率太低，對(duì)于企業(yè)內(nèi)部有幾十臺(tái)甚至上百臺(tái)計(jì)算機(jī)的情況，我們需要反復(fù)編輯HOSTS來達(dá)到過濾的目的。整體實(shí)施效率比較低，而且一旦有了新的惡意站點(diǎn)出現(xiàn)我們要添加新條目時(shí)又要重新執(zhí)行上述全部操作。

實(shí)際上我們完全可以曲線救國從路由器下手統(tǒng)籌管理HOSTS文件的解析功能，這樣一方面避免了反復(fù)編輯HOSTS到各個(gè)主機(jī)的繁重工作，另一方面也為日后更新HOSTS文件的對(duì)應(yīng)條目提供了更加便利的方法。#p#

二、用路由器統(tǒng)籌HOSTS防范惡意站點(diǎn)攻擊：

一般來說中小企業(yè)的接入路由器中都會(huì)有專門針對(duì)DHCP和DNS的設(shè)置功能，我們可以通過這些功能來完善DNS解析過濾，通過DNS解析過濾功能實(shí)現(xiàn)統(tǒng)籌管理HOSTS來防范惡意站點(diǎn)的攻擊。

筆者以圖形化管理界面的路由器為例進(jìn)行介紹，使用的固件程序是TOMATO，當(dāng)然如果實(shí)際環(huán)境中是其他諸如DD-WRT的固件的話通本文介紹的方法來實(shí)施也是沒有任何問題的。具體操作步驟如下。

小提示：

如果要在命令行模式的路由器下統(tǒng)籌HOSTS防范惡意站點(diǎn)攻擊的話我們必須參考說明文檔中的相關(guān)命令來實(shí)施。

第一步：進(jìn)入到路由器管理界面，然后選擇Advanced->DHCP/DNS。(如圖3)

第二步：在這里我們會(huì)看到名為dnsmasq custom configuration的區(qū)域，在這里輸入要進(jìn)行過濾的域名和IP地址。具體格式為address=/domain.name/127.0.0.1。(如圖4)

小提示：

對(duì)于ddwrt固件來說相關(guān)功能選項(xiàng)在Administration->Services->DNSMasq下，我們可以在該參數(shù)下進(jìn)行設(shè)置，具體實(shí)施結(jié)果和步驟與TOMATO中類似。

第三步：設(shè)置了過濾信息后我們?cè)诒镜赜?jì)算機(jī)中輸入相關(guān)網(wǎng)頁首先會(huì)出現(xiàn)GOOGLE查找頁面，實(shí)際上這已經(jīng)證實(shí)我們的設(shè)置是生效的，www.xxxx.com域名已經(jīng)順利的被我們過濾了。(如圖5)

第四步：再次輸入www.xxxx.com或者通過剛才的GOOGLE頁面訪問時(shí)將出現(xiàn)“internet explorer無法顯示該頁面”的提示，實(shí)際上在本機(jī)訪問時(shí)我們會(huì)發(fā)現(xiàn)www.xxxx.com被我們指向了127.0.0.1這個(gè)本地地址，自然無法打開任何頁面信息。(如圖6)

第五步：當(dāng)然如果要針對(duì)多個(gè)域名和站點(diǎn)進(jìn)行過濾的話，我們只需要按照上文介紹的方法依次添加多個(gè)條目即可，每個(gè)過濾條目單獨(dú)一行顯示，我們可以通過復(fù)制粘貼等操作快速添加過濾條目。最終實(shí)現(xiàn)的效果和對(duì)單一站點(diǎn)進(jìn)行過濾是一樣的。(如圖7)

DNSMasq是tomato/ddwrt都帶的dns服務(wù)器，通過他我們可以順利實(shí)現(xiàn)轉(zhuǎn)發(fā)/dns cache等信息，本文正是利用此功能來實(shí)現(xiàn)統(tǒng)籌HOSTS防范惡意站點(diǎn)攻擊的。最后還需要額外說明幾點(diǎn)的是——

(1)在路由器中配置一次，內(nèi)網(wǎng)所有機(jī)器各種系統(tǒng)都將生效。

(2)通過此方法可以實(shí)現(xiàn)泛域名解析，這是hosts不可能實(shí)現(xiàn)的。例如輸入*.domain.name->127.0.0.1則將會(huì)把所有domain.name下的域名都指向127.0.0.1，從而實(shí)現(xiàn)過濾功能。

小提示：

例如過濾時(shí)輸入*.xxxx.com->127.0.0.1，那么不管我們?cè)L問wireless.xxxx.com還是safe.xxxx.com都將被過濾掉而無法順利顯示相應(yīng)頁面。而編輯HOSTS時(shí)我們則需要針對(duì)wireless.xxxx.com和safe.xxxx.com兩個(gè)地址添加兩個(gè)不同的條目才能實(shí)現(xiàn)過濾規(guī)則。

三.總結(jié)：

我們可以通過此方法來防范惡意站點(diǎn)的攻擊，避免員工計(jì)算機(jī)訪問相關(guān)的危險(xiǎn)網(wǎng)站，同時(shí)我們還可以用這個(gè)方法屏蔽軟件升級(jí)和在線驗(yàn)證等操作。另外相比HOSTS文件的單域名過濾而言，此方法的泛域名更得到網(wǎng)絡(luò)管理員的青睞，畢竟通過泛域名過濾功能可以同一時(shí)間針對(duì)多站點(diǎn)多域名信息的統(tǒng)一過濾。如果還按照HOSTS編輯法來過濾的話恐怕需要填寫幾十行的過濾條目。

【編輯推薦】

1. 網(wǎng)絡(luò)面臨兩大威脅 安全策略防范惡意攻擊
2. 簡(jiǎn)單調(diào)路由 防范網(wǎng)絡(luò)中的惡意攻擊
3. 防范黑客網(wǎng)頁攻擊黑手 我有絕招