最近我的ADSL Modem經常出現問題,有時開機能夠正常工作,但大部分時間連網頁都打不開,過一會兒重啟ADSL Modem又正常了。開始還以為是ISP出問題了,打電話詢問,被告知局端一切正常,可能是我的ADSL Modem受到了來自因特網的攻擊。趁著節假日有時間,我讓ADSL Modem好好地修煉了一番“內功”,安全“功力”大長。下面筆者就給大家介紹一下“修煉秘技”。
我被攻擊了
1.天網防火墻不停報警
我的接入方式為PPPoE,ADSL Modem開啟路由方式,使用內置撥號軟件自動撥號;開啟DHCP服務,內網的機器從DHCP服務器自動獲取IP。ADSL Modem使用的IP為公網IP,系統安裝有天網防火墻個人版。
近段時間來,經常在ADSL Modem剛開機時不能上網,好不煩人。開始還以為是域名服務器有問題,但換一個域名服務器還是同樣的現象。出現故障時,連配置軟件也不能連接到ADSL Modem,Ping ADSL Modem也沒有反應。懷疑是ADSL Modem出了問題,趕緊借來一個換上,參數配置跟以前的那個一樣。唉,還是同樣的故障現象,看樣子不是它的“錯”了。不會是ISP出了問題吧,打電話去一問,說是我受到了攻擊。
難怪這些天來,我發現每次一開機,天網防火墻就開始報警,某某IP在不停地掃描我的端口(圖1),開始我沒注意,但后來越來越頻繁,幾乎每秒鐘都有來自外網的IP試圖連接到我機器上的某個端口的報警,雖然都被天網拒絕了,但是頻繁報警始終讓人煩啊。
圖1
2.安全措施不夠導致被攻擊
后來多方查找資料得知,發生上述故障現象的主要原因是ADSL Modem通過路由方式撥號上網后,ADSL Modem獲得了公網的合法IP地址,互聯網上的任何人都可以通過該IP地址來訪問我的ADSL Modem。這樣一些網絡惡意攻擊者或病毒(如震蕩波病毒)就可以有針對性地進行掃描、探測,然后進行攻擊,耗盡ADSL Modem資源,從而導致ADSL Modem工作異常。
ADSL Modem廠商為了讓用戶在全速下達到最理想的使用效果,在設備中采用的是默認最低的安全級別,而用戶在購買回來后又沒有對安全性方面進行進一步的設置。還有就是用戶網絡安全意識不足,在配置路由共享方式時沒有采取任何安全防范措施(如更改Root密碼,更改或限制Web/Telnet的管理端口等),從而使ADSL Modem毫無保護的直接暴露在一些懷有惡意的攻擊者面前。
在這種情況下,如果ADSL Modem中某一個開放的端口存在漏洞且被不法攻擊者發現,極有可能被利用來進行遠程攻擊。假如攻擊者取得了ADSL Modem的管理員密碼,他就可以遠程登錄到ADSL Modem上,通過NAT表得知內網機器的IP地址,把這個內網機器映射到因特網上,再使用其他的攻擊工具給我種植一個“后門”,那我豈不是慘了。而且攻擊者在獲得管理員的權限后還可以把一個壞的固件程序刷寫到ADSL Modem的Flash中,這樣我的ADSL Modem豈不徹底報廢了。嗚嗚,不敢想像。
注意:一般采用PPPoE /PPPoA /1483 固定IP+NAT /1577 +NAT方式接入的用戶都有可能受到攻擊。采用路由共享方式下的用戶更容易受到攻擊。
秘技一:“加固”ADSL Modem
1.更改Root用戶的密碼
ADSL Modem出廠時都設置了默認的登錄用戶名和密碼。一般同一型號產品的默認用戶名與密碼是相同的。我們大多數人在安裝好ADSL Modem后從未對默認的用戶名與密碼進行修改,這就留下了很大的安全隱患。修改默認Root用戶名和密碼的方法是:在瀏覽器地址欄中鍵入ADSL Modem的地址(一般為192.168.1.1),輸入正確的用戶名與密碼,進入ADSL Modem的配置頁面后,點擊“管理”標簽,在“用戶設置”處點擊Root用戶旁的修改符號(如圖2),然后再鍵入原來的密碼和新密碼,點擊“提交”按鈕更改設置。當然,首先必須將用于配置的電腦網卡IP地址改為與ADSL Modem的地址位于同一網段。
圖2
筆者發現,有些型號的ADSL Modem,在正確更改完用戶名和密碼后,重新又恢復成默認的密碼了,如果是這種情況,我們可用Telnet登錄ADSL Modem,然后在$提示符下用Passwd命令修改Root用戶的口令,再用commit命令提交你的更改。用這種方法也能夠成功地修改用戶名和密碼。
2.更改Web/Telnet管理端口
設置了復雜的密碼后也并不能完全保證ADSL Modem不受攻擊。一般的ADSL Modem都可通過Web/Telnet方式來進行本地或遠程管理,許多惡意的攻擊者都是指定這幾個默認的端口,通過掃描工具對某個IP地址段進行掃描再確定攻擊目標。而我們的ADSL Modem開放的80、21和23等端口則是首當其沖的掃描重點。通過修改服務端口,可以避開大部分的掃描工具的試探。進入ADSL Modem的配置頁面,點擊“管理”標簽,在“端口設置”中更改HTTP、Telnet和FTP端口。如我們把HTTP端口修改為8080,Telnet端口修改為8023(圖3),以后通過Web方式訪問時要用http://192.168.1.1:8080,而通過Telnet方式訪問時要用Telnet 192.168.1.1:8023的方法。
圖3
3.映射不存在的端口
開啟路由功能的ADSL Modem都是通過NAT映射方式來實現的,NAT映射可以把來自因特網上對ADSL Modem某個端口的連接轉移到內網中某個IP地址指定的端口上。病毒或惡意攻擊者一般都是針對ADSL Modem的幾個典型端口(如135、139、445、3127等)進行攻擊,我們可以嘗試把這些端口的攻擊全部轉移到內網中一個實際不存在的IP上,從而減少因要處理大量連接而給ADSL Modem帶來的負擔。在一般的ADSL Modem中,我們可以通過RDR規則和BIMAP規則來把端口映射到不存在的IP上。
1)使用RDR規則映射
如何使用RDR將Web/Telnet/FTP/TFTP等端口映射到一個不存在的IP上呢?進入ADSL Modem的配置頁面,點擊“服務”標簽,在“NAT設置”中選擇“NAT Rule Entry”,然后點擊“添加”按鈕,添加RDR規則。以Web端口為例,我們把它映射到一個不存在的IP:192.168.1.100上(圖4),選擇Rule Flavor為RDR,填入Rule ID,在本地IP地址的開始和結束分別填入192.168.1.100,在目標端口的起始值/終止值和本地端口中分別選擇HTTP(80),其他的選項都選擇默認值即可。Telnet/FTP/TFTP端口可參照此設置。
圖4
2)使用BIMAP規則映射
使用BIMAP透明規則做所有的端口映射,將它們映射到一個不存在的IP。進入ADSL Modem的配置頁面后,點擊“服務”標簽,在“NAT設置”中選擇“NAT Rule Entry”,然后點擊“添加”按鈕,添加BIMAP規則。例如,我們把BIAMP規則映射到一個不存在的IP:192.168.1.200上。選擇Rule Flavor為BIAMP,填入Rule ID,在本地IP地址的開始和結束分別填入192.168.1.200即可。
通過這樣的設置,針對ADSL Modem的一般服務端口(或所有端口)進行的攻擊,就被全部轉移到內網中一個實際不存在的IP地址192.168.100(或200)上了。
秘技二:使用用戶配置文件
實達的網站上有一個專門針對網絡攻擊的用戶配置文件下載(下載地址為:http://www.star-net.com.cn/aspsky/upfile/sf_20042249929.rar),也只開啟ADSL Modem的IP過濾功能,這并不影響用戶原有的配置。不過這個擴展名為.GLBEHR的用戶配置文件要配合實達ADSL Modem的配置程序來使用。運行ADSL 配置程序,指定ADSL Modem的IP,點擊“下一步”,選擇“用配置文件配置”,然后再點擊“下一步”,指定文件.GLBEHR文件的路徑,點擊“完成”即可。這樣就完成了配置,開啟了ADSL Modem的防火墻功能,我們可以登錄到Web中看到如圖6所示的頁面。圖中狀態燈為綠色的表示規則生效。利用這些規則我們可以有效地禁止來自WAN口上的非法流量。
圖 6
總結
以上的兩種方法都只是開啟了ADSL Modem的IP過濾功能及對應的規則,不影響用戶原有的配置,建議一般用戶采用。而更改端口等設置對熟悉ADSL Modem配置的用戶來說具有更大的靈活性。
如果我們的ADSL Modem在開機時就因為受到攻擊而造成不能登錄的話,則可先拔下WAN口上的電話線再開機,把ADSL Modem設置好后再插上,重新啟動就行了。