最近我的ADSL Modem经常出现问题,有时开机能够正常工作,但大部分时间连网页都打不开,过一会儿重启ADSL Modem又正常了。开始还以为是ISP出问题了,打电话询问,被告知局端一切正常,可能是我的ADSL Modem受到了来自因特网的攻击。
趁着周末有时间,我让ADSL Modem好好地修炼了一番“内功”,安全“功力”大长。下面笔者就给大家介绍一下“修炼秘技”。
我被攻击了
1.天网防火墙不停报警
我的接入方式为PPPoE,ADSL Modem开启路由方式,使用内置拨号软件自动拨号;开启DHCP服务,内网的机器从DHCP服务器自动获取IP。ADSL Modem使用的IP为公网IP,系统安装有天网防火墙个人版。
近段时间来,经常在ADSL Modem刚开机时不能上网,好不烦人。开始还以为是域名服务器有问题,但换一个域名服务器还是同样的现象。出现故障时,连配置软件也不能连接到ADSL Modem,Ping ADSL Modem也没有反应。怀疑是ADSL Modem出了问题,赶紧借来一个换上,参数配置跟以前的那个一样。唉,还是同样的故障现象,看样子不是它的“错”了。不会是ISP出了问题吧,打电话去一问,说是我受到了攻击。
难怪这些天来,我发现每次一开机,天网防火墙就开始报警,某某IP在不停地扫描我的端口(图1),开始我没注意,但后来越来越频繁,几乎每秒钟都有来自外网的IP试图连接到我机器上的某个端口的报警,居然都被天网拒绝了,但是频繁报警始终让人烦啊。
2.安全措施不够导致被攻击
后来多方查找资料得知,发生上述故障现象的主要原因是ADSL Modem通过路由方式拨号上网后,ADSL Modem获得了公网的合法IP地址,互联网上的任何人都可以通过该IP地址来访问我的ADSL Modem。这样一些网络恶意攻击者或病毒(如震荡波病毒)就可以有针对性地进行扫描、探测,然后进行攻击,耗尽ADSL Modem资源,从而导致ADSL Modem工作异常。
ADSL Modem厂商为了让用户在全速下达到最理想的使用效果,在设备中采用的是默认最低的安全级别,而用户在购买回来后又没有对安全性方面进行进一步的设置。还有就是用户网络安全意识不足,在配置路由共享方式时没有采取任何安全防范措施(如更改Root密码,更改或限制Web/Telnet的管理端口等),从而使ADSL Modem毫无保护的直接暴露在一些怀有恶意的攻击者面前。
在这种情况下,如果ADSL Modem中某一个开放的端口存在漏洞且被不法攻击者发现,极有可能被利用来进行远程攻击。假如攻击者取得了ADSL Modem的管理员密码,他就可以远程登录到ADSL Modem上,通过NAT表得知内网机器的IP地址,把这个内网机器映射到因特网上,再使用其他的攻击工具给我种植一个“后门”,那我岂不是惨了。而且攻击者在获得管理员的权限后还可以把一个坏的固件程序刷写到ADSL Modem的Flash中,这样我的ADSL Modem岂不彻底报废了。呜呜,不敢想像。
注意:一般采用PPPoE /PPPoA /1483 固定IP+NAT /1577 +NAT方式接入的用户都有可能受到攻击。采用路由共享方式下的用户更容易受到攻击。
秘技一:
“加固”ADSL Modem
1.更改Root用户的密码
ADSL Modem出厂时都设置了默认的登录用户名和密码。一般同一型号产品的默认用户名与密码是相同的。我们大多数人在安装好ADSL Modem后从未对默认的用户名与密码进行修改,这就留下了很大的安全隐患。修改默认Root用户名和密码的方法是:在浏览器地址栏中键入ADSL Modem的地址(一般为192.168.1.1),输入正确的用户名与密码,进入ADSL Modem的配置页面后,点击“管理”标签,在“用户设置”处点击Root用户旁的修改符号(如图2),然后再键入原来的密码和新密码,点击“提交”按钮更改设置。当然,首先必须将用于配置的电脑网卡IP地址改为与ADSL Modem的地址位于同一网段。
笔者发现,有些型号的ADSL Modem,在正确更改完用户名和密码后,重新又恢复成默认的密码了,如果是这种情况,我们可用Telnet登录ADSL Modem,然后在$提示符下用Passwd命令修改Root用户的口令,再用commit命令提交你的更改。用这种方法也能够成功地修改用户名和密码。
2.更改Web/Telnet管理端口
设置了复杂的密码后也并不能完全保证ADSL Modem不受攻击。一般的ADSL Modem都可通过Web/Telnet方式来进行本地或远程管理,许多恶意的攻击者都是指定这几个默认的端口,通过扫描工具对某个IP地址段进行扫描再确定攻击目标。而我们的ADSL Modem开放的80、21和23等端口则是首当其冲的扫描重点。通过修改服务端口,可以避开大部分的扫描工具的试探。进入ADSL Modem的配置页面,点击“管理”标签,在“端口设置”中更改HTTP、Telnet和FTP端口。如我们把HTTP端口修改为8080,Telnet端口修改为8023(图3),以后通过Web方式访问时要用http://192.168.1.1:8080,而通过Telnet方式访问时要用Telnet 192.168.1.1:8023的方法。
3.映射不存在的端口
开启路由功能的ADSL Modem都是通过NAT映射方式来实现的,NAT映射可以把来自因特网上对ADSL Modem某个端口的连接转移到内网中某个IP地址指定的端口上。病毒或恶意攻击者一般都是针对ADSL Modem的几个典型端口(如135、139、445、3127等)进行攻击,我们可以尝试把这些端口的攻击全部转移到内网中一个实际不存在的IP上,从而减少因要处理大量连接而给ADSL Modem带来的负担。在一般的ADSL Modem中,我们可以通过RDR规则和BIMAP规则来把端口映射到不存在的IP上。
1)使用RDR规则映射
如何使用RDR将Web/Telnet/FTP/TFTP等端口映射到一个不存在的IP上呢?进入ADSL Modem的配置页面,点击“服务”标签,在“NAT设置”中选择“NAT Rule Entry”,然后点击“添加”按钮,添加RDR规则。以Web端口为例,我们把它映射到一个不存在的IP:192.168.1.100上(图4),选择Rule Flavor为RDR,填入Rule ID,在本地IP地址的开始和结束分别填入192.168.1.100,在目标端口的起始值/终止值和本地端口中分别选择HTTP(80),其他的选项都选择默认值即可。Telnet/FTP/TFTP端口可参照此设置。
2)使用BIMAP规则映射
使用BIMAP透明规则做所有的端口映射,将它们映射到一个不存在的IP。进入ADSL Modem的配置页面后,点击“服务”标签,在“NAT设置”中选择“NAT Rule Entry”,然后点击“添加”按钮,添加BIMAP规则。例如,我们把BIAMP规则映射到一个不存在的IP:192.168.1.200上。选择Rule Flavor为BIAMP,填入Rule ID,在本地IP地址的开始和结束分别填入192.168.1.200即可。
通过这样的设置,针对ADSL Modem的一般服务端口(或所有端口)进行的攻击,就被全部转移到内网中一个实际不存在的IP地址192.168.100(或200)上了。
4.升级固件
因为有些ADSL Modem在市场上投入的时间较早,原来采用的软件版本较低,在安全方面有一定的缺陷。现在有很多厂商在各自的主页上都有最新的固件程序提供下载,针对此类问题进行了修改,我们可通过升级ADSL Modem的固件来解决。具体的方法在厂商官方网站上都有介绍,笔者这里就不再详述了。
秘技二:
开启防火墙功能
以上的操作都要更改ADSL Modem的设置,有时可能会对当前的设置产生一定的影响,而且对许多不熟悉NAT设置的用户来说,在操作方面可能存在一定的难度。
下面笔者给大家介绍一种方法,无须更改ADSL Modem原有的设置就可防止再受到攻击。现在的ADSL Modem都带有防火墙功能,但默认的状态一般是关闭的,我们只要开启了防火墙功能就行了。一般防火墙功能是通过IP过滤来实现的,具体怎样建立IP过滤规则的,鉴于篇幅比较长,这里不详细讲述,只给大家介绍两种简单的方法。如果大家的ADSL Modem是采用的Globespan技术方案,请继续往下看。
1.使用防火墙补丁
在TP-Link网站上有一个关于TD-8800 ADSL Modem的防火墙补丁下载,笔者发现TD-8800是采用Globespan技术方案,这个补丁完全可以使用在Globespan芯片的ADSL Modem上。笔者在自己的ADSL Modem上试过,一切正常(当然是非TP-Link的产品)。其实它就是在ADSL Modem的IP过滤设置中开启了几条过滤规则,免去了我们手工添加的麻烦。
补丁的使用非常简单,只要在地址栏中填入ADSL Modem的IP地址,输入用户名和密码,然后点击“执行”按钮就可以了(图5)。
2.使用用户配置文件
实达的网站上有一个专门针对网络攻击的用户配置文件下载(下载地址为:http://www.star-net.com.cn/aspsky/up file/sf_20042249929.rar),也只开启ADSL Modem的IP过滤功能,这并不影响用户原有的配置。不过这个扩展名为.GLBEHR的用户配置文件要配合实达ADSL Modem的配置程序来使用。运行ADSL 配置程序,指定ADSL Modem的IP,点击“下一步”,选择“用配置文件配置”,然后再点击“下一步”,指定文件.GLBEHR文件的路径,点击“完成”即可。这样就完成了配置,开启了ADSL Modem的防火墙功能,我们可以登录到Web中看到如图6所示的页面。图中状态灯为绿色的表示规则生效。利用这些规则我们可以有效地禁止来自WAN