最近我的ADSL Modem经常出现问题,有时开机能够正常工作,但大部分时间连网页都打不开,过一会儿重启ADSL Modem又正常了。开始还以为是ISP出问题了,打电话询问,被告知局端一切正常,可能是我的ADSL Modem受到了来自因特网的攻击。趁着周末有时间,我让ADSL Modem好好地修炼了一番“内功”,安全“功力”大长。下面笔者就给大家介绍一下“修炼秘技”。
我被攻击了
1.天网防火墙不停报警
我的接入方式为PPPoE,ADSL Modem开启路由方式,使用内置拨号软件自动拨号;开启DHCP服务,内网的机器从DHCP服务器自动获取IP。ADSL Modem使用的IP为公网IP,系统安装有天网防火墙个人版。
近段时间来,经常在ADSL Modem刚开机时不能上网,好不烦人。开始还以为是域名服务器有问题,但换一个域名服务器还是同样的现象。出现故障时,连配置软件也不能连接到ADSL Modem,Ping ADSL Modem也没有反应。怀疑是ADSL Modem出了问题,赶紧借来一个换上,参数配置跟以前的那个一样。唉,还是同样的故障现象,看样子不是它的“错”了。不会是ISP出了问题吧,打电话去一问,说是我受到了攻击。
难怪这些天来,我发现每次一开机,天网防火墙就开始报警,某某IP在不停地扫描我的端口(图1),开始我没注意,但后来越来越频繁,几乎每秒钟都有来自外网的IP试图连接到我机器上的某个端口的报警,居然都被天网拒绝了,但是频繁报警始终让人烦啊。
图一
2.安全措施不够导致被攻击
后来多方查找资料得知,发生上述故障现象的主要原因是ADSL Modem通过路由方式拨号上网后,ADSL Modem获得了公网的合法IP地址,互联网上的任何人都可以通过该IP地址来访问我的ADSL Modem。这样一些网络恶意攻击者或病毒(如震荡波病毒)就可以有针对性地进行扫描、探测,然后进行攻击,耗尽ADSL Modem资源,从而导致ADSL Modem工作异常。
ADSL Modem厂商为了让用户在全速下达到最理想的使用效果,在设备中采用的是默认最低的安全级别,而用户在购买回来后又没有对安全性方面进行进一步的设置。还有就是用户网络安全意识不足,在配置路由共享方式时没有采取任何安全防范措施(如更改Root密码,更改或限制Web/Telnet的管理端口等),从而使ADSL Modem毫无保护的直接暴露在一些怀有恶意的攻击者面前。
在这种情况下,如果ADSL Modem中某一个开放的端口存在漏洞且被不法攻击者发现,极有可能被利用来进行远程攻击。假如攻击者取得了ADSL Modem的管理员密码,他就可以远程登录到ADSL Modem上,通过NAT表得知内网机器的IP地址,把这个内网机器映射到因特网上,再使用其他的攻击工具给我种植一个“后门”,那我岂不是惨了。而且攻击者在获得管理员的权限后还可以把一个坏的固件程序刷写到ADSL Modem的Flash中,这样我的ADSL Modem岂不彻底报废了。呜呜,不敢想像。
注意:一般采用PPPoE /PPPoA /1483 固定IP+NAT /1577 +NAT方式接入的用户都有可能受到攻击。采用路由共享方式下的用户更容易受到攻击。
秘技一:“加固”ADSL Modem
1.更改Root用户的密码
ADSL Modem出厂时都设置了默认的登录用户名和密码。一般同一型号产品的默认用户名与密码是相同的。我们大多数人在安装好ADSL Modem后从未对默认的用户名与密码进行修改,这就留下了很大的安全隐患。修改默认Root用户名和密码的方法是:在浏览器地址栏中键入ADSL Modem的地址(一般为192.168.1.1),输入正确的用户名与密码,进入ADSL Modem的配置页面后,点击“管理”标签,在“用户设置”处点击Root用户旁的修改符号(如图2),然后再键入原来的密码和新密码,点击“提交”按钮更改设置。当然,首先必须将用于配置的电脑网卡IP地址改为与ADSL Modem的地址位于同一网段。
图二
笔者发现,有些型号的ADSL Modem,在正确更改完用户名和密码后,重新又恢复成默认的密码了,如果是这种情况,我们可用Telnet登录ADSL Modem,然后在$提示符下用Passwd命令修改Root用户的口令,再用commit命令提交你的更改。用这种方法也能够成功地修改用户名和密码。
2.更改Web/Telnet管理端口
设置了复杂的密码后也并不能完全保证ADSL Modem不受攻击。一般的ADSL Modem都可通过Web/Telnet方式来进行本地或远程管理,许多恶意的攻击者都是指定这几个默认的端口,通过扫描工具对某个IP地址段进行扫描再确定攻击目标。而我们的ADSL Modem开放的80、21和23等端口则是首当其冲的扫描重点。通过修改服务端口,可以避开大部分的扫描工具的试探。进入ADSL Modem的配置页面,点击“管理”标签,在“端口设置”中更改HTTP、Telnet和FTP端口。如我们把HTTP端口修改为8080,Telnet端口修改为8023(图3),以后通过Web方式访问时要用http://192.168.1.1:8080,而通过Telnet方式访问时要用Telnet 192.168.1.1:8023的方法。
图三
3.映射不存在的端口
开启路由功能的ADSL Modem都是通过NAT映射方式来实现的,NAT映射可以把来自因特网上对ADSL Modem某个端口的连接转移到内网中某个IP地址指定的端口上。病毒或恶意攻击者一般都是针对ADSL Modem的几个典型端口(如135、139、445、3127等)进行攻击,我们可以尝试把这些端口的攻击全部转移到内网中一个实际不存在的IP上,从而减少因要处理大量连接而给ADSL Modem带来的负担。在一般的ADSL Modem中,我们可以通过RDR规则和BIMAP规则来把端口映射到不存在的IP上。
1)使用RDR规则映射
 |
 |
 |
 |