最近我的ADSL Modem經(jīng)常出現(xiàn)問題,有時開機能夠正常工作,但大部分時間連網(wǎng)頁都打不開,過一會兒重啟ADSL Modem又正常了。開始還以為是ISP出問題了,打電話詢問,被告知局端一切正常,可能是我的ADSL Modem受到了來自因特網(wǎng)的攻擊。趁著節(jié)假日有時間,我讓ADSL Modem好好地修煉了一番“內(nèi)功”,安全“功力”大長。下面筆者就給大家介紹一下“修煉秘技”。
我被攻擊了
1.天網(wǎng)防火墻不停報警
我的接入方式為PPPoE,ADSL Modem開啟路由方式,使用內(nèi)置撥號軟件自動撥號;開啟DHCP服務(wù),內(nèi)網(wǎng)的機器從DHCP服務(wù)器自動獲取IP。ADSL Modem使用的IP為公網(wǎng)IP,系統(tǒng)安裝有天網(wǎng)防火墻個人版。
近段時間來,經(jīng)常在ADSL Modem剛開機時不能上網(wǎng),好不煩人。開始還以為是域名服務(wù)器有問題,但換一個域名服務(wù)器還是同樣的現(xiàn)象。出現(xiàn)故障時,連配置軟件也不能連接到ADSL Modem,Ping ADSL Modem也沒有反應(yīng)。懷疑是ADSL Modem出了問題,趕緊借來一個換上,參數(shù)配置跟以前的那個一樣。唉,還是同樣的故障現(xiàn)象,看樣子不是它的“錯”了。不會是ISP出了問題吧,打電話去一問,說是我受到了攻擊。
難怪這些天來,我發(fā)現(xiàn)每次一開機,天網(wǎng)防火墻就開始報警,某某IP在不停地掃描我的端口(圖1),開始我沒注意,但后來越來越頻繁,幾乎每秒鐘都有來自外網(wǎng)的IP試圖連接到我機器上的某個端口的報警,雖然都被天網(wǎng)拒絕了,但是頻繁報警始終讓人煩啊。
圖1
2.安全措施不夠?qū)е卤还?BR>
后來多方查找資料得知,發(fā)生上述故障現(xiàn)象的主要原因是ADSL Modem通過路由方式撥號上網(wǎng)后,ADSL Modem獲得了公網(wǎng)的合法IP地址,互聯(lián)網(wǎng)上的任何人都可以通過該IP地址來訪問我的ADSL Modem。這樣一些網(wǎng)絡(luò)惡意攻擊者或病毒(如震蕩波病毒)就可以有針對性地進行掃描、探測,然后進行攻擊,耗盡ADSL Modem資源,從而導致ADSL Modem工作異常。
ADSL Modem廠商為了讓用戶在全速下達到最理想的使用效果,在設(shè)備中采用的是默認最低的安全級別,而用戶在購買回來后又沒有對安全性方面進行進一步的設(shè)置。還有就是用戶網(wǎng)絡(luò)安全意識不足,在配置路由共享方式時沒有采取任何安全防范措施(如更改Root密碼,更改或限制Web/Telnet的管理端口等),從而使ADSL Modem毫無保護的直接暴露在一些懷有惡意的攻擊者面前。
在這種情況下,如果ADSL Modem中某一個開放的端口存在漏洞且被不法攻擊者發(fā)現(xiàn),極有可能被利用來進行遠程攻擊。假如攻擊者取得了ADSL Modem的管理員密碼,他就可以遠程登錄到ADSL Modem上,通過NAT表得知內(nèi)網(wǎng)機器的IP地址,把這個內(nèi)網(wǎng)機器映射到因特網(wǎng)上,再使用其他的攻擊工具給我種植一個“后門”,那我豈不是慘了。而且攻擊者在獲得管理員的權(quán)限后還可以把一個壞的固件程序刷寫到ADSL Modem的Flash中,這樣我的ADSL Modem豈不徹底報廢了。嗚嗚,不敢想像。
注意:一般采用PPPoE /PPPoA /1483 固定IP+NAT /1577 +NAT方式接入的用戶都有可能受到攻擊。采用路由共享方式下的用戶更容易受到攻擊。
秘技一:“加固”ADSL Modem
1.更改Root用戶的密碼
ADSL Modem出廠時都設(shè)置了默認的登錄用戶名和密碼。一般同一型號產(chǎn)品的默認用戶名與密碼是相同的。我們大多數(shù)人在安裝好ADSL Modem后從未對默認的用戶名與密碼進行修改,這就留下了很大的安全隱患。修改默認Root用戶名和密碼的方法是:在瀏覽器地址欄中鍵入ADSL Modem的地址(一般為192.168.1.1),輸入正確的用戶名與密碼,進入ADSL Modem的配置頁面后,點擊“管理”標簽,在“用戶設(shè)置”處點擊Root用戶旁的修改符號(如圖2),然后再鍵入原來的密碼和新密碼,點擊“提交”按鈕更改設(shè)置。當然,首先必須將用于配置的電腦網(wǎng)卡IP地址改為與ADSL Modem的地址位于同一網(wǎng)段。
圖2
筆者發(fā)現(xiàn),有些型號的ADSL Modem,在正確更改完用戶名和密碼后,重新又恢復成默認的密碼了,如果是這種情況,我們可用Telnet登錄ADSL Modem,然后在$提示符下用Passwd命令修改Root用戶的口令,再用commit命令提交你的更改。用這種方法也能夠成功地修改用戶名和密碼。
2.更改Web/Telnet管理端口
設(shè)置了復雜的密碼后也并不能完全保證ADSL Modem不受攻擊。一般的ADSL Modem都可通過Web/Telnet方式來進行本地或遠程管理,許多惡意的攻擊者都是指定這幾個默認的端口,通過掃描工具對某個IP地址段進行掃描再確定攻擊目標。而我們的ADSL Modem開放的80、21和23等端口則是首當其沖的掃描重點。通過修改服務(wù)端口,可以避開大部分的掃描工具的試探。進入ADSL Modem的配置頁面,點擊“管理”標簽,在“端口設(shè)置”中更改HTTP、Telnet和FTP端口。如我們把HTTP端口修改為8080,Telnet端口修改為8023(圖3),以后通過Web方式訪問時要用http://192.168.1.1:8080,而通過Telnet方式訪問時要用Telnet 192.168.1.1:8023的方法。
圖3
3.映射不存在的端口
開啟路由功能的ADSL Modem都是通過NAT映射方式來實現(xiàn)的,NAT映射可以把來自因特網(wǎng)上對ADSL Modem某個端口的連接轉(zhuǎn)移到內(nèi)網(wǎng)中某個IP地址指定的端口上。病毒或惡意攻擊者一般都是針對ADSL Modem的幾個典型端口(如135、139、445、3127等)進行攻擊,我們可以嘗試把這些端口的攻擊全部轉(zhuǎn)移到內(nèi)網(wǎng)中一個實際不存在的IP上,從而減少因要處理大量連接而給ADSL Modem帶來的負擔。在一般的ADSL Modem中,我們可以通過RDR規(guī)則和BIMAP規(guī)則來把端口映射到不存在的IP上。
1)使用RDR規(guī)則映射
如何使用RDR將Web/Telnet/FTP/TFTP等端口映射到一個不存在的IP上呢?進入ADSL Modem的配置頁面,點擊“服務(wù)”標簽,在“NAT設(shè)置”中選擇“NAT Rule Entry”,然后點擊“添加”按鈕,添加RDR規(guī)則。以Web端口為例,我們把它映射到一個不存在的IP:192.168.1.100上(圖4),選擇Rule Flavor為RDR,填入Rule ID,在本地IP地址的開始和結(jié)束分別填入192.168.1.100,在目標端口的起始值/終止值和本地端口中分別選擇HTTP(80),其他的選項都選擇默認值即可。Telnet/FTP/TFTP端口可參照此設(shè)置。
圖4
2)使用BIMAP規(guī)則映射
使用BIMAP透明規(guī)則做所有的端口映射,將它們映射到一個不存在的IP。進入ADSL Modem的配置頁面后,點擊“服務(wù)”標簽,在“NAT設(shè)置”中選擇“NAT Rule Entry”,然后點擊“添加”按鈕,添加BIMAP規(guī)則。例如,我們把BIAMP規(guī)則映射到一個不存在的IP:192.168.1.200上。選擇Rule Flavor為BIAMP,填入Rule ID,在本地IP地址的開始和結(jié)束分別填入192.168.1.200即可。
通過這樣的設(shè)置,針對ADSL Modem的一般服務(wù)端口(或所有端口)進行的攻擊,就被全部轉(zhuǎn)移到內(nèi)網(wǎng)中一個實際不存在的IP地址192.168.100(或200)上了。
秘技二:使用用戶配置文件
實達的網(wǎng)站上有一個專門針對網(wǎng)絡(luò)攻擊的用戶配置文件下載(下載地址為:http://www.star-net.com.cn/aspsky/upfile/sf_20042249929.rar),也只開啟ADSL Modem的IP過濾功能,這并不影響用戶原有的配置。不過這個擴展名為.GLBEHR的用戶配置文件要配合實達ADSL Modem的配置程序來使用。運行ADSL 配置程序,指定ADSL Modem的IP,點擊“下一步”,選擇“用配置文件配置”,然后再點擊“下一步”,指定文件.GLBEHR文件的路徑,點擊“完成”即可。這樣就完成了配置,開啟了ADSL Modem的防火墻功能,我們可以登錄到Web中看到如圖6所示的頁面。圖中狀態(tài)燈為綠色的表示規(guī)則生效。利用這些規(guī)則我們可以有效地禁止來自WAN口上的非法流量。
圖 6
總結(jié)
以上的兩種方法都只是開啟了ADSL Modem的IP過濾功能及對應(yīng)的規(guī)則,不影響用戶原有的配置,建議一般用戶采用。而更改端口等設(shè)置對熟悉ADSL Modem配置的用戶來說具有更大的靈活性。
如果我們的ADSL Modem在開機時就因為受到攻擊而造成不能登錄的話,則可先拔下WAN口上的電話線再開機,把ADSL Modem設(shè)置好后再插上,重新啟動就行了。