まずは、攻撃者の基本的な戦略を理解した方が良いと思います。 >PCが半ば乗っ取られた後 A．PCを乗っ取ったあとの基本的な攻撃戦略について 乗っ取られたPCは、自分の存在を「内から外」へ報告し、「内から外」へ侵入用の裏口を解放します。 つまり、乗っ取られたPCは、「内部犯行」により情報漏洩と攻撃者侵入を許してしまいます。 攻撃者は、この情報漏洩で収集した情報を活用したり、 侵入用の裏口から乗っ取りPCを利用したりします。 この時、ルータ（のファイアウォール機能）による防御は、 　・ルータは「外から内」への攻撃を防ぐ 　・ルータは「内から外（内部犯行）」は防御できない ため、ルータの存在は無意味です。攻撃者も全く気にしません。 ＞Twitterやブログによくある短縮URL先のウェブページに埋め込まれた攻撃コード B．このようなドライブバイダウンロード攻撃の基本戦略について 攻撃に引っ掛った哀れな犠牲者は、「日々増加する一方」かつ 「いつPC起動するか分からないPC端末が中心」です。 また、攻撃はビジネス（金儲け手段）なので「効率優先」が至上命題です。 従って、その基本戦略は 　・特定のユーザをしつこく追いかけることはしません 　　（犠牲者は、日々増加する。金儲けの効率優先。） 　・最新の利用可能な犠牲者リストを必要なときに利用します、 　　又は、感染直後に情報収集を終えてしまいます 　　（犠牲者は、いつインターネットに接続するか分からない） となります。 以上を踏まえた上で、質問１、２を考えます。 質問１への回答： 最新の利用可能な犠牲者リストは、内部犯行の結果が自動収集されるので、 「IPアドレス範囲で攻撃」といった効率の悪い方法を攻撃者は採りません。 内部犯行の犯人が駆除されてしまっても、感染直後に収集した情報があるので、 攻撃者としては、それを売りさばくだけでも十分な利益になります。 # 有益な情報が得られなくても、犠牲者は他にたくさんいるので気にしない。 結局、 「攻撃者の立場で考えると、そもそも攻撃を仕掛けてこない。」 が回答です。 質問２への回答： 内部犯行の犯人が残っているなら、ルータの存在は無意味です。 攻撃者も、ルータの種別を調査しません。（調査する必要がない） 内部犯行の犯人が駆除された場合、攻撃者は、効率重視でそんな人を相手にしません。 よって、ルータの種別調査もしません。 こちらも結局、 「攻撃者の立場で考えると、そもそも調査してこない。」 が回答です。 参考までに「何のルータを使って接続しているか特定は可能か？」という点を回答すると、 「攻撃対象のルータに侵入可能な脆弱性があるかどうか？」という特定が可能です。 攻撃者の立場では、ルータの製造元や機種名はどうでもよく、 侵入可否が重要ですからね。