局域网内所有电脑浏览器被劫持，各位好汉给看看。

freoterain

因为非常重视安全，所以分别用不同的电脑来处理不同的事情。所有电脑通过桌面路由器（TP 型号：TL-WR340G+）共享宽带上网，所有的电脑（N台主机、N个虚拟机，系统均为win7或者win8）、所有的浏览器（chrome、IE）均被劫持，曾花大量时间重装所有电脑系统、路由器恢复出厂设置，然后重新上线，可没过多久很快又被劫持了，浏览器经常被劫持到一些莫名其妙的网站就很不爽了，更担心的是不知道有没有些什么看不见的病毒正在所有的电脑上运行。
常规的电脑和路由器安全设置基本上都设置过了，杀软防火墙用的是免费的Avira、Avast、AVG、Comodo、ESET NOD32、McAfee、Microsoft Security Essentials之类的，没用过国内几大流氓公司的杀软，个人觉得最大的可能是安装测试软件有夹带的病毒（经常要测试一些小软件）或者浏览过被挂马的网站而导致路由器或者电脑浏览器被劫持。
所以想请教一下大家，用什么办法来隔离所有的电脑，以免互相感染呢？例如：
1、子网掩码分割？
2、划VLAN？
3、用专业的路由器、交换机？
或者别的什么办法，能让所有的电脑完完全全的、彻彻底底的隔离，没有任何的数据交互，从而保障安全？
抑或所有的问题都跟上述情况无关？
菜鸟请求各位大侠、少侠给予专业详细指导，谢过！

imcw

1. 
   
2. freoterain 当前离线
   
3. 积分11人气0 活力12 注册时间2015-3-24阅读权限10UID1006698帖子1主题1精华0在线时间1 小时

复制代码

请尽可能描述被劫持的时候的症状还有当前的网络结构上网方式还有网络提供商是什么等。先写清楚再说吧。最好有日志文件附件。

freoterain

imcw 发表于 2015-3-26 02:43
请尽可能描述被劫持的时候的症状还有当前的网络结构上网方式还有网络提供商是什么等。先写清楚再说吧。 ...

多谢回复！具体情况如下：
1、在浏览器中打开链接时，间隙性被劫持到一些其他网站，就是有时候劫持，有时候不劫持；
2、路由器（TP TL-WR340G+）宽带拨号上WAN，台式机通过LAN口接入路由器，笔记本通过WLAN接入路由器；
3、网通（即联通）的网络；
4、路由器的日志么？

卡夏

上级路由器有没有被劫持的可能？
另外，建议整改网络：
1、撤掉目前的TP-link路由器，换上一个有防火墙、上网行为管理、流控等功能的工控机，例如pfense工控机，或者panabit工控机，详情咨询相关客服技术人员，也可同时把你的问题、需求跟他们交流一下。
2、按照你的情况，需要每台机器都彼此隔离，那么要考虑路由器是否支持那么多Vlan。同时要在每台主机上安装arp防火墙，设置为只与网关arp交换数据。
3、考虑你路由器分发给每个主机的dns更换为安全、信誉好的dns，并且注意上级路由是否有被劫持的可能。总之，按可能故障点逐一排查比较，是解决故障的好方法。

freoterain

卡夏 发表于 2015-3-26 09:14
上级路由器有没有被劫持的可能？
另外，建议整改网络：
1、撤掉目前的TP-link路由器，换上一个有防火墙、 ...

感谢热心指导！
上级路由器是指宽带运营商的节点路由器么？我倒是有怀疑过是不是他们有意而为，因为有其他用户也反映过类似情况，而且有几天我登录QQ竟然像在网吧上网那样弹出“同吧系统”窗口，显示周边一家网吧的名字“某某网吧欢迎你”什么的。
浏览器除了被劫持到其他站点之外，还有种现象就是在当前浏览的页面内植入特定广告，不管浏览什么网站都有那些广告，有时候还有人说话、唱歌，页面上你还找不到是哪里在播放，唉，烦不胜烦。
如果是上级路由器被劫持，我该怎么确定到底是不是上级路由器的问题呢？因为有些主机是24小时不下线的，所有我不可能用一台电脑单独来宽带账号上网测试。另外你给的其他建议我都会认真去学习，多谢指导！

卡夏

你大概没有直接用运营商的服务，而是用了外包商的服务，例如外包给某小区的承接业务的；现在几乎这些外包商都借助广告赚钱，很多路由软件（例如爱快、x-router等等）提供推送广告页面、js等功能。到正规的运营商营业厅去办理业务比较可靠。其实不用测试，你可以直接联系你的服务商，提出抗议；从描述现象看，显然就是这个问题导致的。更换正规的服务是最可靠的方法。

如果你的路由器支持过滤（一般硬件路由器不太支持，软路由工控机或软路由PC可以，高端的硬件路由器也支持，可以查询一下），你可以过滤来自wan网关IP的js，这样试试看效果。

内网安全，如果彼此隔离，就用arp防火墙实施只与网关通信的策略，这是便宜/免费的方案，而且好操作；如果买多端口、支持端口隔离的智能交换机，价格相当贵，而且操作界面多是命令行。

freoterain

卡夏 发表于 2015-3-26 11:18
你大概没有直接用运营商的服务，而是用了外包商的服务，例如外包给某小区的承接业务的；现在几乎这些外包商 ...

全部都让你说中了，我们这整个片区都是在一个地方办理的宽带业务，他们打的是联通的旗号，从装潢来看，就是联通的营业厅，我相信很多人都像我一样，认为他们就是联通公司的。太坑人了，让我在忙的昏天黑地的时候，停下所有工作，重装了所有电脑。
妥了，基本知道问题的根本所在和解决办法了，内、外网安全你都给出了最佳的解决方案，谢谢你朋友！同时谢谢2楼的朋友，感谢你们不吝赐教！

lsucao

我直接用HIPS拦截了通信运行商的广告IP，就这个管用，其他改DNS都没用

ELOHIM

TP新固件，有一项就是隔离。

无线名称
路由器的无线(Wi-Fi)名称。
无线密码
无线加密使用WPA2-PSK/WPA-PSK加密方式、AES加密算法，无线密码为8-63个字符，最好是数字、字母、符号的组合。
信道
无线数据信号传送的通道，建议保持默认的自动，此时路由器会自动根据周围的无线环境选择一个最好的信道。
模式
路由器工作的无线模式。
频段带宽
路由器传输无线数据的频段宽度。
信号强度
可以根据实际使用需要选择不同档次的信号强度。
开启AP隔离
开启之后可以安全隔离连接到路由器的各个无线设备。
另外，6楼第一段说到位了……

以前是新手

都隔离吧