我的ADSL“貓”受到了攻擊,為此我讓小貓好好地修煉了一番“內(nèi)功”,安全“功力”大長(zhǎng)。下面給大家介紹一下“修煉秘技”。
最近我的ADSL Modem經(jīng)常出現(xiàn)問題,有時(shí)開機(jī)能夠正常工作,但大部分時(shí)間連網(wǎng)頁都打不開,過一會(huì)兒重啟ADSL Modem又正常了。開始還以為是ISP出問題了,打電話詢問,被告知局端一切正常,可能是我的ADSL Modem受到了來自因特網(wǎng)的攻擊。趁著周末有時(shí)間,我讓ADSL Modem好好地修煉了一番“內(nèi)功”,安全“功力”大長(zhǎng)。下面筆者就給大家介紹一下“修煉秘技”。
我被攻擊了
1.天網(wǎng)防火墻不停報(bào)警
我的接入方式為PPPoE,ADSL Modem開啟路由方式,使用內(nèi)置撥號(hào)軟件自動(dòng)撥號(hào);開啟DHCP服務(wù),內(nèi)網(wǎng)的機(jī)器從DHCP服務(wù)器自動(dòng)獲取IP。ADSL Modem使用的IP為公網(wǎng)IP,系統(tǒng)安裝有天網(wǎng)防火墻個(gè)人版。
近段時(shí)間來,經(jīng)常在ADSL Modem剛開機(jī)時(shí)不能上網(wǎng),好不煩人。開始還以為是域名服務(wù)器有問題,但換一個(gè)域名服務(wù)器還是同樣的現(xiàn)象。出現(xiàn)故障時(shí),連配置軟件也不能連接到ADSL Modem,Ping ADSL Modem也沒有反應(yīng)。懷疑是ADSL Modem出了問題,趕緊借來一個(gè)換上,參數(shù)配置跟以前的那個(gè)一樣。唉,還是同樣的故障現(xiàn)象,看樣子不是它的“錯(cuò)”了。不會(huì)是ISP出了問題吧,打電話去一問,說是我受到了攻擊。
難怪這些天來,我發(fā)現(xiàn)每次一開機(jī),天網(wǎng)防火墻就開始報(bào)警,某某IP在不停地掃描我的端口(圖1),開始我沒注意,但后來越來越頻繁,幾乎每秒鐘都有來自外網(wǎng)的IP試圖連接到我機(jī)器上的某個(gè)端口的報(bào)警,居然都被天網(wǎng)拒絕了,但是頻繁報(bào)警始終讓人煩啊。
圖1
2.安全措施不夠?qū)е卤还?/STRONG>
后來多方查找資料得知,發(fā)生上述故障現(xiàn)象的主要原因是ADSL Modem通過路由方式撥號(hào)上網(wǎng)后,ADSL Modem獲得了公網(wǎng)的合法IP地址,互聯(lián)網(wǎng)上的任何人都可以通過該IP地址來訪問我的ADSL Modem。這樣一些網(wǎng)絡(luò)惡意攻擊者或病毒(如震蕩波病毒)就可以有針對(duì)性地進(jìn)行掃描、探測(cè),然后進(jìn)行攻擊,耗盡ADSL Modem資源,從而導(dǎo)致ADSL Modem工作異常。
ADSL Modem廠商為了讓用戶在全速下達(dá)到最理想的使用效果,在設(shè)備中采用的是默認(rèn)最低的安全級(jí)別,而用戶在購買回來后又沒有對(duì)安全性方面進(jìn)行進(jìn)一步的設(shè)置。還有就是用戶網(wǎng)絡(luò)安全意識(shí)不足,在配置路由共享方式時(shí)沒有采取任何安全防范措施(如更改Root密碼,更改或限制Web/Telnet的管理端口等),從而使ADSL Modem毫無保護(hù)的直接暴露在一些懷有惡意的攻擊者面前。
在這種情況下,如果ADSL Modem中某一個(gè)開放的端口存在漏洞且被不法攻擊者發(fā)現(xiàn),極有可能被利用來進(jìn)行遠(yuǎn)程攻擊。假如攻擊者取得了ADSL Modem的管理員密碼,他就可以遠(yuǎn)程登錄到ADSL Modem上,通過NAT表得知內(nèi)網(wǎng)機(jī)器的IP地址,把這個(gè)內(nèi)網(wǎng)機(jī)器映射到因特網(wǎng)上,再使用其他的攻擊工具給我種植一個(gè)“后門”,那我豈不是慘了。而且攻擊者在獲得管理員的權(quán)限后還可以把一個(gè)壞的固件程序刷寫到ADSL Modem的Flash中,這樣我的ADSL Modem豈不徹底報(bào)廢了。嗚嗚,不敢想像。
注意:一般采用PPPoE /PPPoA /1483 固定IP+NAT /1577 +NAT方式接入的用戶都有可能受到攻擊。采用路由共享方式下的用戶更容易受到攻擊。
秘技一:“加固”ADSL Modem
1.更改Root用戶的密碼
ADSL Modem出廠時(shí)都設(shè)置了默認(rèn)的登錄用戶名和密碼。一般同一型號(hào)產(chǎn)品的默認(rèn)用戶名與密碼是相同的。我們大多數(shù)人在安裝好ADSL Modem后從未對(duì)默認(rèn)的用戶名與密碼進(jìn)行修改,這就留下了很大的安全隱患。修改默認(rèn)Root用戶名和密碼的方法是:在瀏覽器地址欄中鍵入ADSL Modem的地址(一般為192.168.1.1),輸入正確的用戶名與密碼,進(jìn)入ADSL Modem的配置頁面后,點(diǎn)擊“管理”標(biāo)簽,在“用戶設(shè)置”處點(diǎn)擊Root用戶旁的修改符號(hào)(如圖2),然后再鍵入原來的密碼和新密碼,點(diǎn)擊“提交”按鈕更改設(shè)置。當(dāng)然,首先必須將用于配置的電腦網(wǎng)卡IP地址改為與ADSL Modem的地址位于同一網(wǎng)段。
圖2
筆者發(fā)現(xiàn),有些型號(hào)的ADSL Modem,在正確更改完用戶名和密碼后,重新又恢復(fù)成默認(rèn)的密碼了,如果是這種情況,我們可用Telnet登錄ADSL Modem,然后在$提示符下用Passwd命令修改Root用戶的口令,再用commit命令提交你的更改。用這種方法也能夠成功地修改用戶名和密碼。
2.更改Web/Telnet管理端口
設(shè)置了復(fù)雜的密碼后也并不能完全保證ADSL Modem不受攻擊。一般的ADSL Modem都可通過Web/Telnet方式來進(jìn)行本地或遠(yuǎn)程管理,許多惡意的攻擊者都是指定這幾個(gè)默認(rèn)的端口,通過掃描工具對(duì)某個(gè)IP地址段進(jìn)行掃描再確定攻擊目標(biāo)。而我們的ADSL Modem開放的80、21和23等端口則是首當(dāng)其沖的掃描重點(diǎn)。通過修改服務(wù)端口,可以避開大部分的掃描工具的試探。進(jìn)入ADSL Modem的配置頁面,點(diǎn)擊“管理”標(biāo)簽,在“端口設(shè)置”中更改HTTP、Telnet和FTP端口。如我們把HTTP端口修改為8080,Telnet端口修改為8023(圖3),以后通過Web方式訪問時(shí)要用http://192.168.1.1:8080,而通過Telnet方式訪問時(shí)要用Telnet 192.168.1.1:8023的方法。
圖3
3.映射不存在的端口
開啟路由功能的ADSL Modem都是通過NAT映射方式來實(shí)現(xiàn)的,NAT映射可以把來自因特網(wǎng)上對(duì)ADSL Modem某個(gè)端口的連接轉(zhuǎn)移到內(nèi)網(wǎng)中某個(gè)IP地址指定的端口上。病毒或惡意攻擊者一般都是針對(duì)ADSL Modem的幾個(gè)典型端口(如135、139、445、3127等)進(jìn)行攻擊,我們可以嘗試把這些端口的攻擊全部轉(zhuǎn)移到內(nèi)網(wǎng)中一個(gè)實(shí)際不存在的IP上,從而減少因要處理大量連接而給ADSL Modem帶來的負(fù)擔(dān)。在一般的ADSL Modem中,我們可以通過RDR規(guī)則和BIMAP規(guī)則來把端口映射到不存在的IP上。
1)使用RDR規(guī)則映射
如何使用RDR將Web/Telnet/FTP/TFTP等端口映射到一個(gè)不存在的IP上呢?進(jìn)入ADSL Modem的配置頁面,點(diǎn)擊“服務(wù)”標(biāo)簽,在“NAT設(shè)置”中選擇“NAT Rule Entry”,然后點(diǎn)擊“添加”按鈕,添加RDR規(guī)則。以Web端口為例,我們把它映射到一個(gè)不存在的IP:192.168.1.100上(圖4),選擇Rule Flavor為RDR,填入Rule ID,在本地IP地址的開始和結(jié)束分別填入192.168.1.100,在目標(biāo)端口的起始值/終止值和本地端口中分別選擇HTTP(80),其他的選項(xiàng)都選擇默認(rèn)值即可。Telnet/FTP/TFTP端口可參照此設(shè)置。
圖4
2)使用BIMAP規(guī)則映射
使用BIMAP透明規(guī)則做所有的端口映射,將它們映射到一個(gè)不存在的IP。進(jìn)入ADSL Modem的配置頁面后,點(diǎn)擊“服務(wù)”標(biāo)簽,在“NAT設(shè)置”中選擇“NAT Rule Entry”,然后點(diǎn)擊“添加”按鈕,添加BIMAP規(guī)則。例如,我們把BIAMP規(guī)則映射到一個(gè)不存在的IP:192.168.1.200上。選擇Rule Flavor為BIAMP,填入Rule ID,在本地IP地址的開始和結(jié)束分別填入192.168.1.200即可。
通過這樣的設(shè)置,針對(duì)ADSL Modem的一般服務(wù)端口(或所有端口)進(jìn)行的攻擊,就被全部轉(zhuǎn)移到內(nèi)網(wǎng)中一個(gè)實(shí)際不存在的IP地址192.168.100(或200)上了。
4.升級(jí)固件
因?yàn)橛行〢DSL Modem在市場(chǎng)上投入的時(shí)間較早,原來采用的軟件版本較低,在安全方面有一定的缺陷。現(xiàn)在有很多廠商在各自的主頁上都有最新的固件程序提供下載,針對(duì)此類問題進(jìn)行了修改,我們可通過升級(jí)ADSL Modem的固件來解決。具體的方法在廠商官方網(wǎng)站上都有介紹,筆者這里就不再詳述了。
秘技二:開啟防火墻功能
以上的操作都要更改ADSL Modem的設(shè)置,有時(shí)可能會(huì)對(duì)當(dāng)前的設(shè)置產(chǎn)生一定的影響,而且對(duì)許多不熟悉NAT設(shè)置的用戶來說,在操作方面可能存在一定的難度。
下面筆者給大家介紹一種方法,無須更改ADSL Modem原有的設(shè)置就可防止再受到攻擊。現(xiàn)在的ADSL Modem都帶有防火墻功能,但默認(rèn)的狀態(tài)一般是關(guān)閉的,我們只要開啟了防火墻功能就行了。一般防火墻功能是通過IP過濾來實(shí)現(xiàn)的,具體怎樣建立IP過濾規(guī)則的,鑒于篇幅比較長(zhǎng),這里不詳細(xì)講述,只給大家介紹兩種簡(jiǎn)單的方法。如果大家的ADSL Modem是采用的Globespan技術(shù)方案,請(qǐng)繼續(xù)往下看。
1.使用防火墻補(bǔ)丁
在TP-Link網(wǎng)站上有一個(gè)關(guān)于TD-8800 ADSL Modem的防火墻補(bǔ)丁下載,筆者發(fā)現(xiàn)TD-8800是采用Globespan技術(shù)方案,這個(gè)補(bǔ)丁完全可以使用在Globespan芯片的ADSL Modem上。筆者在自己的ADSL Modem上試過,一切正常(當(dāng)然是非TP-Link的產(chǎn)品)。其實(shí)它就是在ADSL Modem的IP過濾設(shè)置中開啟了幾條過濾規(guī)則,免去了我們手工添加的麻煩。
補(bǔ)丁的使用非常簡(jiǎn)單,只要在地址欄中填入ADSL Modem的IP地址,輸入用戶名和密碼,然后點(diǎn)擊“執(zhí)行”按鈕就可以了(圖5)。
圖5
2.使用用戶配置文件
實(shí)達(dá)的網(wǎng)站上有一個(gè)專門針對(duì)網(wǎng)絡(luò)攻擊的用戶配置文件下載(下載地址為:http://www.star-net.com.cn/aspsky/up file/sf_20042249929.rar),也只開啟ADSL Modem的IP過濾功能,這并不影響用戶原有的配置。不過這個(gè)擴(kuò)展名為.GLBEHR的用戶配置文件要配合實(shí)達(dá)ADSL Modem的配置程序來使用。運(yùn)行ADSL 配置程序,指定ADSL Modem的IP,點(diǎn)擊“下一步”,選擇“用配置文件配置”,然后再點(diǎn)擊“下一步”,指定文件.GLBEHR文件的路徑,點(diǎn)擊“完成”即可。這樣就完成了配置,開啟了ADSL Modem的防火墻功能,我們可以登錄到Web中看到如圖6所示的頁面。圖中狀態(tài)燈為綠色的表示規(guī)則生效。利用這些規(guī)則我們可以有效地禁止來自WAN口上的非法流量。
圖6
總結(jié)
以上的兩種方法都只是開啟了ADSL Modem的IP過濾功能及對(duì)應(yīng)的規(guī)則,不影響用戶原有的配置,建議一般用戶采用。而更改端口等設(shè)置對(duì)熟悉ADSL Modem配置的用戶來說具有更大的靈活性。
如果我們的ADSL Modem在開機(jī)時(shí)就因?yàn)槭艿焦舳斐刹荒艿卿浀脑挘瑒t可先拔下WAN口上的電話線再開機(jī),把ADSL Modem設(shè)置好后再插上,重新啟動(dòng)就行了。
