路由器恶意软件：事实还是虚幻?

影响计算机操作的恶意软件不会总在计算机中被发现，最近我们在自己的家庭网络中的多台计算机上发现了一个常规的操作问题，运行不同操作系统的不同计算机上的各种浏览器都会进行间歇性地重定向网页，它们会将网络重定向到一个陌生的商户网站。

[[119548]]

特定恶意软件的特征、用户的缓存历史、特定计算机上的设置，以及异常浏览器的表现等的影响都会阻碍故障排除工作。网页重定向的问题可能要归因于虚假的域名服务(DNS)服务器。

DNS服务器功能

DNS服务器被复制在整个互联网中，并且是基于互联网用户友好型。这些服务器让用户能够通过用户友好型URL地址(如Google.com)来浏览网页，而不是使用IP地址(74.125.239.37)来定位包含所需内容的服务器。

这个恶意软件事件的转折是：使用不同操作系统(例如Windows 8、iOS7、OS X)的多台电脑都会受到影响，而且并不是所有网站都会被重定向，有些网站能在一台计算机上进行DNS解析，而在另一台计算机上则不能。这让解决本地恶意软件的故障排除工作变得更加复杂。为什么这个问题是间歇性，并且网络中的所有计算机都不一致呢?为什么使用不同操作系统的多台计算机都会受到影响?为什么我们的反恶意软件不能发现或删除它?

隔离问题

一定的故障排除工作可以让我们发现每台计算机正在使用的DNS服务器、它是否合法以及它如何分配给计算机。当我们重组装这些组件时，我们发现路由器是唯一的共同组件。我们从来没有亲眼见过或者遇到路由器恶意软件，这既有趣又有点吓人。遭到恶意攻击时，可能我们第一时间会想攻击者获取了哪些个人信息?

接下来我没想到的是，他们如何能够渗透我们的路由器?我们如何能够发现恶意软件对路由器进行的实际修改?我们如何能够恢复路由器到原来的功能?我们能否对路由器配置作出修改来防止未来会发生类似的事件?所有的问题都会让人觉得恐慌，因此无论发生什么样的损害都必须立即阻止。

在这一点上，我们并没有对于发生的攻击想太多，比如他们如何进入网络、如何清理恶意软件的足迹，我们只是想我们多快可以恢复路由器、更新固件，然后更好地保护它。

更改DNS设置的恶意软件通常会有一个计划：大多数恶意软件会通过商家网站的点击率赚钱。这通常是编写和散步恶意软件的攻击者的动力。互联网充满了这种类型的欺诈行为，网站已经签订合约，需要为点击或查看其网站来付费，而不是为制造网络流量的目录列表支付大笔费用。

路由器的作用

大多数路由器都是远程配置和管理，因此可以使用密码来保护远程登录。显然，这是一个漏洞，如果路由器可以被重新配置，那么，这可能造成路由器故障。大多数路由器提供的服务被称为DHCP(动态主机配置协议)，DHCP为互联网上主机提供地址和配置参数。DHCP是基于Client/Server工作模式，DHCP服务器为需要为主机分配IP地址和提供主机配置参数。这通常由路由器来执行以让计算机网络的大量用户之间共享有限的IP地址。这类似于电话网络在大量员工之间共享有限数量的电话号码。更像是高管办公室内安装的私人电话线，这种IP地址分配可以在单台计算机上完成，而不需要DHCP的帮助。

此外，DHCP可以配置为提供主级和次级DNS表位置(计算机将会试图转译google.com为74.125.239.37)到路由器服务的计算机。故障排除工作人员可能开始不会知道DHCP是否被用在对象网络中的特定计算机(+微信关注网络世界)，这可能让问题变得更加复杂。由于我们确定了连接到路由器的多台计算机都受到影响，我们将工作重点放在了路由器内的DHCP的配置参数。

无论计算机运行的是什么操作系统，使用DHCP来获取其IP地址或DNS表位置的所有计算机都会同样受到影响。这种重定向看似不可预测的性质可能是因为，DNS解析被暂时存储在用户机器的缓存中。某些解析可能在这种漏洞利用之前就被放置在缓存中，因此这些网站将会得到妥善解决。

事后诸葛亮

在过去，我们解决网络问题时，没有完全了解问题的真正原因、症状的详细内容以及到底做了什么来解决问题。我们采取的步骤包括，恢复备份、升级应用程序或操作系统或重启，这可以环节问题，但无法确保避免问题的再次发生。

在这种情况下，我们能够通过这些恶意软件的症状来确定问题的来源。某些组件可以从这些症状的共同性质来消除，现在看起来很明显的是，DHCP分配的DNS服务器可能是导致这些症状的原因。我们希望当我们第一次遇到这个问题时这个很明显。(邹铮编译)