很多網絡管理員在進行內網絡管理和防范病毒時都遇到了惡意網站攻擊的問題，很多員工計算機由于不小心安裝了流氓軟件而經常自動訪問惡意站點，從而造成病毒的大范圍傳播。以往我們都是通過編輯員工計算機的HOSTS文件將非法站點指向127.0.0.1地址而過濾的，不過這個方法操作起來相對麻煩，增加了網絡管理人員的工作量，那么是否存在著一種辦法可以批量針對內網域名訪問進行過濾呢?答案是肯定的，今天就請各位跟隨筆者一起用路由器統籌管理HOSTS文件來防范惡意站點的非法訪問。

一，用路由器統籌HOSTS防范惡意站點攻擊的原理：

在開頭我們介紹了傳統的通過編輯HOSTS文件來防范員工計算機對惡意站點域名的訪問，我們在系統目錄中的c:\windows\system32\drivers\etc目錄下將能夠看到該文件的存在，HOSTS文件在功能運行時的優先級是高于DNS解析的，說白了這里存在的域名對應關系將直接被使用，所以將惡意站點對應的IP地址在HOSTS文件中進行指定后，再訪問這些惡意站點時將自動轉發到指定的IP地址而避免感染病毒和木馬的危險。(如圖1)

添加到HOSTS文件中的對應關系類似“127.0.0.1 www.sex.com”這樣的格式，這樣該計算機在本機訪問www.sex.com時將自動指向127.0.0.1，從而避免被www.sex.com站點上的流氓插件和病毒程序所感染。(如圖2)

不過這樣的單純修改HOSTS文件的方法效率太低，對于企業內部有幾十臺甚至上百臺計算機的情況，我們需要反復編輯HOSTS來達到過濾的目的。整體實施效率比較低，而且一旦有了新的惡意站點出現我們要添加新條目時又要重新執行上述全部操作。

實際上我們完全可以曲線救國從路由器下手統籌管理HOSTS文件的解析功能，這樣一方面避免了反復編輯HOSTS到各個主機的繁重工作，另一方面也為日后更新HOSTS文件的對應條目提供了更加便利的方法。#p#

二、用路由器統籌HOSTS防范惡意站點攻擊：

一般來說中小企業的接入路由器中都會有專門針對DHCP和DNS的設置功能，我們可以通過這些功能來完善DNS解析過濾，通過DNS解析過濾功能實現統籌管理HOSTS來防范惡意站點的攻擊。

筆者以圖形化管理界面的路由器為例進行介紹，使用的固件程序是TOMATO，當然如果實際環境中是其他諸如DD-WRT的固件的話通本文介紹的方法來實施也是沒有任何問題的。具體操作步驟如下。

小提示：

如果要在命令行模式的路由器下統籌HOSTS防范惡意站點攻擊的話我們必須參考說明文檔中的相關命令來實施。

第一步：進入到路由器管理界面，然后選擇Advanced->DHCP/DNS。(如圖3)

第二步：在這里我們會看到名為dnsmasq custom configuration的區域，在這里輸入要進行過濾的域名和IP地址。具體格式為address=/domain.name/127.0.0.1。(如圖4)

小提示：

對于ddwrt固件來說相關功能選項在Administration->Services->DNSMasq下，我們可以在該參數下進行設置，具體實施結果和步驟與TOMATO中類似。

第三步：設置了過濾信息后我們在本地計算機中輸入相關網頁首先會出現GOOGLE查找頁面，實際上這已經證實我們的設置是生效的，www.xxxx.com域名已經順利的被我們過濾了。(如圖5)

第四步：再次輸入www.xxxx.com或者通過剛才的GOOGLE頁面訪問時將出現“internet explorer無法顯示該頁面”的提示，實際上在本機訪問時我們會發現www.xxxx.com被我們指向了127.0.0.1這個本地地址，自然無法打開任何頁面信息。(如圖6)

第五步：當然如果要針對多個域名和站點進行過濾的話，我們只需要按照上文介紹的方法依次添加多個條目即可，每個過濾條目單獨一行顯示，我們可以通過復制粘貼等操作快速添加過濾條目。最終實現的效果和對單一站點進行過濾是一樣的。(如圖7)

DNSMasq是tomato/ddwrt都帶的dns服務器，通過他我們可以順利實現轉發/dns cache等信息，本文正是利用此功能來實現統籌HOSTS防范惡意站點攻擊的。最后還需要額外說明幾點的是——

(1)在路由器中配置一次，內網所有機器各種系統都將生效。

(2)通過此方法可以實現泛域名解析，這是hosts不可能實現的。例如輸入*.domain.name->127.0.0.1則將會把所有domain.name下的域名都指向127.0.0.1，從而實現過濾功能。

小提示：

例如過濾時輸入*.xxxx.com->127.0.0.1，那么不管我們訪問wireless.xxxx.com還是safe.xxxx.com都將被過濾掉而無法順利顯示相應頁面。而編輯HOSTS時我們則需要針對wireless.xxxx.com和safe.xxxx.com兩個地址添加兩個不同的條目才能實現過濾規則。

三.總結：

我們可以通過此方法來防范惡意站點的攻擊，避免員工計算機訪問相關的危險網站，同時我們還可以用這個方法屏蔽軟件升級和在線驗證等操作。另外相比HOSTS文件的單域名過濾而言，此方法的泛域名更得到網絡管理員的青睞，畢竟通過泛域名過濾功能可以同一時間針對多站點多域名信息的統一過濾。如果還按照HOSTS編輯法來過濾的話恐怕需要填寫幾十行的過濾條目。

【編輯推薦】

1. 網絡面臨兩大威脅 安全策略防范惡意攻擊
2. 簡單調路由 防范網絡中的惡意攻擊
3. 防范黑客網頁攻擊黑手 我有絕招