影響計(jì)算機(jī)操作的惡意軟件不會總在計(jì)算機(jī)中被發(fā)現(xiàn),最近我們在自己的家庭網(wǎng)絡(luò)中的多臺計(jì)算機(jī)上發(fā)現(xiàn)了一個常規(guī)的操作問題,運(yùn)行不同操作系統(tǒng)的不同計(jì)算機(jī)上的各種瀏覽器都會進(jìn)行間歇性地重定向網(wǎng)頁,它們會將網(wǎng)絡(luò)重定向到一個陌生的商戶網(wǎng)站。
特定惡意軟件的特征、用戶的緩存歷史、特定計(jì)算機(jī)上的設(shè)置,以及異常瀏覽器的表現(xiàn)等的影響都會阻礙故障排除工作。網(wǎng)頁重定向的問題可能要?dú)w因于虛假的域名服務(wù)(DNS)服務(wù)器。
DNS服務(wù)器功能
DNS服務(wù)器被復(fù)制在整個互聯(lián)網(wǎng)中,并且是基于互聯(lián)網(wǎng)用戶友好型。這些服務(wù)器讓用戶能夠通過用戶友好型URL地址(如Google.com)來瀏覽網(wǎng)頁,而不是使用IP地址(74.125.239.37)來定位包含所需內(nèi)容的服務(wù)器。
這個惡意軟件事件的轉(zhuǎn)折是:使用不同操作系統(tǒng)(例如Windows 8、iOS7、OS X)的多臺電腦都會受到影響,而且并不是所有網(wǎng)站都會被重定向,有些網(wǎng)站能在一臺計(jì)算機(jī)上進(jìn)行DNS解析,而在另一臺計(jì)算機(jī)上則不能。這讓解決本地惡意軟件的故障排除工作變得更加復(fù)雜。為什么這個問題是間歇性,并且網(wǎng)絡(luò)中的所有計(jì)算機(jī)都不一致呢?為什么使用不同操作系統(tǒng)的多臺計(jì)算機(jī)都會受到影響?為什么我們的反惡意軟件不能發(fā)現(xiàn)或刪除它?
隔離問題
一定的故障排除工作可以讓我們發(fā)現(xiàn)每臺計(jì)算機(jī)正在使用的DNS服務(wù)器、它是否合法以及它如何分配給計(jì)算機(jī)。當(dāng)我們重組裝這些組件時,我們發(fā)現(xiàn)路由器是唯一的共同組件。我們從來沒有親眼見過或者遇到路由器惡意軟件,這既有趣又有點(diǎn)嚇人。遭到惡意攻擊時,可能我們第一時間會想攻擊者獲取了哪些個人信息?
接下來我沒想到的是,他們?nèi)绾文軌驖B透我們的路由器?我們?nèi)绾文軌虬l(fā)現(xiàn)惡意軟件對路由器進(jìn)行的實(shí)際修改?我們?nèi)绾文軌蚧謴?fù)路由器到原來的功能?我們能否對路由器配置作出修改來防止未來會發(fā)生類似的事件?所有的問題都會讓人覺得恐慌,因此無論發(fā)生什么樣的損害都必須立即阻止。
在這一點(diǎn)上,我們并沒有對于發(fā)生的攻擊想太多,比如他們?nèi)绾芜M(jìn)入網(wǎng)絡(luò)、如何清理惡意軟件的足跡,我們只是想我們多快可以恢復(fù)路由器、更新固件,然后更好地保護(hù)它。
更改DNS設(shè)置的惡意軟件通常會有一個計(jì)劃:大多數(shù)惡意軟件會通過商家網(wǎng)站的點(diǎn)擊率賺錢。這通常是編寫和散步惡意軟件的攻擊者的動力?;ヂ?lián)網(wǎng)充滿了這種類型的欺詐行為,網(wǎng)站已經(jīng)簽訂合約,需要為點(diǎn)擊或查看其網(wǎng)站來付費(fèi),而不是為制造網(wǎng)絡(luò)流量的目錄列表支付大筆費(fèi)用。
路由器的作用
大多數(shù)路由器都是遠(yuǎn)程配置和管理,因此可以使用密碼來保護(hù)遠(yuǎn)程登錄。顯然,這是一個漏洞,如果路由器可以被重新配置,那么,這可能造成路由器故障。大多數(shù)路由器提供的服務(wù)被稱為DHCP(動態(tài)主機(jī)配置協(xié)議),DHCP為互聯(lián)網(wǎng)上主機(jī)提供地址和配置參數(shù)。DHCP是基于Client/Server工作模式,DHCP服務(wù)器為需要為主機(jī)分配IP地址和提供主機(jī)配置參數(shù)。這通常由路由器來執(zhí)行以讓計(jì)算機(jī)網(wǎng)絡(luò)的大量用戶之間共享有限的IP地址。這類似于電話網(wǎng)絡(luò)在大量員工之間共享有限數(shù)量的電話號碼。更像是高管辦公室內(nèi)安裝的私人電話線,這種IP地址分配可以在單臺計(jì)算機(jī)上完成,而不需要DHCP的幫助。
此外,DHCP可以配置為提供主級和次級DNS表位置(計(jì)算機(jī)將會試圖轉(zhuǎn)譯google.com為74.125.239.37)到路由器服務(wù)的計(jì)算機(jī)。故障排除工作人員可能開始不會知道DHCP是否被用在對象網(wǎng)絡(luò)中的特定計(jì)算機(jī),這可能讓問題變得更加復(fù)雜。由于我們確定了連接到路由器的多臺計(jì)算機(jī)都受到影響,我們將工作重點(diǎn)放在了路由器內(nèi)的DHCP的配置參數(shù)。
無論計(jì)算機(jī)運(yùn)行的是什么操作系統(tǒng),使用DHCP來獲取其IP地址或DNS表位置的所有計(jì)算機(jī)都會同樣受到影響。這種重定向看似不可預(yù)測的性質(zhì)可能是因?yàn)?,DNS解析被暫時存儲在用戶機(jī)器的緩存中。某些解析可能在這種漏洞利用之前就被放置在緩存中,因此這些網(wǎng)站將會得到妥善解決。
事后諸葛亮
在過去,我們解決網(wǎng)絡(luò)問題時,沒有完全了解問題的真正原因、癥狀的詳細(xì)內(nèi)容以及到底做了什么來解決問題。我們采取的步驟包括,恢復(fù)備份、升級應(yīng)用程序或操作系統(tǒng)或重啟,這可以環(huán)節(jié)問題,但無法確保避免問題的再次發(fā)生。
在這種情況下,我們能夠通過這些惡意軟件的癥狀來確定問題的來源。某些組件可以從這些癥狀的共同性質(zhì)來消除,現(xiàn)在看起來很明顯的是,DHCP分配的DNS服務(wù)器可能是導(dǎo)致這些癥狀的原因。我們希望當(dāng)我們第一次遇到這個問題時這個很明顯。
更多資訊請關(guān)注工業(yè)以太網(wǎng)頻道
網(wǎng)站客服
粵公網(wǎng)安備 44030402000946號