[轉貼]部分ADSL modem出現斷流的問題



贊助商連結


l551119
2006-03-13, 11:10 PM
應該是對岸一位黑客對ADSL出現斷流的問題所做的分析.我看不太了解.轉貼到此看可不可以解決置頂部分ADSL出現斷流的問題


1.故障的情況
---------------------------------------------------------------------------------
3月8日起(網上瞭解應該是中午開始),全國範圍出現了部分adsl modem出現斷流及死貓
的問題。
出現此問題的adsl貓都有2個特徵:
1.品牌各異,但都使用globespan的稍舊型號viking或vikingII芯片的ADSL MODEM(如比較常見的實達2110eh 4.5 4.6 4.7和華碩AAM6000EV A/J A/E A/G1等等 )。
2.都啟用了MODEM本身的PPPOE路由模式;
除了華碩之外,包括晨星、 實達 、斯達康的UT-300R等部分型號的adsl貓都存在這個問題。
另外,據這些設備的官方和【你我de論壇區】http://www.516600.com論壇裡瞭解,廣東、廣西,福州,天津、江蘇、黑龍江等地都有類似情況
出現,應該是全國範圍大面積的出現。
---------------------------------------------------------------------------------
2.問題的現象
---------------------------------------------------------------------------------
出現問題的現象有3種:
0.斷流情況嚴重,QQ網易泡泡等軟件自動掉線,網頁也突然無法打開,稍候不久可以繼續連接上,公網IP不會改變。
1.五分鐘到半小時adsl貓就死貓,ping adsl 貓的ip,一半通一半不通,時延都在千毫秒級。
網頁打不開,但QQ/MSN等還經常能在線,偶爾還能收發消息。
2.頻繁出痍奕s(半小時內出現多次);
3.頻繁出現atm vc擁塞;

---------------------------------------------------------------------------------
3.可能的原因分析
---------------------------------------------------------------------------------
首先一點:viking或vikingII芯片的ADSL系統存在bug或者漏洞,這個基本是肯定的。

1。電信搞鬼,利用adsl貓的漏洞打擊路由模式上網的用戶。
電信搞鬼的可能性不大,全國範圍(南方電信、北方網通)一起同時間搞鬼可能性更不大。

2。有病毒攻擊。
病毒攻擊adsl貓的可能性還是比較大的,adsl貓好像就是內置一個精簡OS的電子設備(
其實設備本身的內核就是一個小型的LINUX系統),包含http/ftp/tftp/telnet
服務,技術上講沒有漏洞是不可能的,也許是有新病毒流行(或者舊病毒又發作了),病毒的
不斷掃瞄造成對adsl系統的攻擊,造成設備受不了不斷的掃瞄而產生死貓。
而adsl貓作為橋接時,外網對ip的訪問都直接轉到 ppoe撥號的pc上,ADSL貓製作轉發,
自身不受攻擊,因而ADSL不會出現問題(可以用防火牆軟件監視一下是否有攻擊,我的PC近期
每小時都可以收到上萬個攻擊記錄)。
ADSL貓作為路由時,外面對ip的訪問首先到達adsl貓上,ADSL貓首當其衝,如果有攻擊
,受攻擊的就是adsl貓,這種帶路由的ADSL設備是很脆弱的,受不了同時又大量的IP端口掃瞄
等攻擊立馬倒下拉。
再PING受到攻擊後的ADSL時,一半通一半不通,PING通的時延也在千毫秒級以上。偶爾
能通,故MSN/QQ等軟件還能暫時保持在線狀態,有時還能收發成功消息。

如果是這樣的話,ftp/tftp應該是只對內網開放的,可以將內網的電腦斷開,檢查病毒
。看adsl貓是否繼續死機,以防攻擊是由於內網的PC發起的。
telnet/http應該是對外也開放的,可以將對應的端口修改(amdin->port settings)
,不用默認的80和23。
http port: 61080(80, 61000-62000)
telnet port:61023(23, 61000-62000)
註:修改端口後,要保存一下,然後重啟,才能生效。
並且,這樣修改的話,每次登陸配置頁面的話,就不是80端口了,應該是:
http://192.168.1.1:61080(61080是你修改的新端口號,改成什麼了就用什麼)
telnet登陸也不是23端口了,是:telnet 192.168.1.1 61023
後面的端口,一樣,就是你修改的TELNET新端口號;

另外,一些傻瓜式的配置軟件(如TP-LINK提供的),好像是使用ADSL貓的TELNET口進行
配置的,修改了TELNET端口後,這些軟件就連不上了(軟件中默認就是登陸ADSL貓的23端口,
沒有選擇)

(經過【你我de論壇區】的用戶測試改了端口以後,已經2天沒死貓了,後來又做試驗,
發現 HTTP端口改回80也不會出問題,但TELNET口改回23端口就有問題了,估計是ADSL貓的
TELNET服務有漏洞。不過也不一定,從華碩網站上瞭解,現在監控下來ADSL貓的4個端口都有攻擊)

---------------------------------------------------------------------------------
4。解決的辦法
---------------------------------------------------------------------------------
根據網上的到的信息,總結有以下方法:

解決辦法:
一.打開Modem的防護牆:點擊服務-防火牆-將攻擊保護和DOS保護由禁止改為許可
注意:有的版本沒有防火牆選項。
二.更改端口:點擊管理-端口設置-將現有HTTP,Telnet,FTP端口加上61000,變為61080,61023,61021。或者更改為其它的端口號。讓掃瞄軟件不能輕易掃瞄到即可。
上面兩種方式請盡量都做。然後點擊管理-保存和重啟-保存配置。

英文:
注意:更改後的端口號要記住,以後訪問Modem的配置頁面使用如http://192.168.1.1:61080的地址
解決辦法:
1.打開Modem的防火牆:點擊服務service-防火牆firewall-將攻擊保護attack protection和DOS保護由禁止改為許可
注意:有的版本沒有防火牆選項。
2.更改端口:點擊管理admin-端口設置port setting-將現有HTTP,Telnet,FTP端口加上61000,變為61080,61023,61021。或者更改為其它的端口號。讓掃瞄軟件不能輕易掃瞄到即可。
上面兩種方式請盡量都做。然後點擊管理admin-保存和重啟commit and reboot-保存配置(提交)
3.對於在Service頁面中沒有防火牆Firewall的用戶,按如下方法開啟防火牆。
1.進入DOS界面
2.鍵入telnet 192.168.1.1
(如果您有修改端口號,請加上 端口號,如 telnet 192.168.1.1 61023)
3.出現Login:鍵入帳號(如adsl)
4.出現Password : 鍵入密碼(如adsl1234)
5.出現$ 鍵入 modify fwl global attackprotect enable
6.出現$ 鍵入 modify fwl global dosprotect enable
7.出現$ 鍵入commit

重複一下上文,很多人不注意看這個,搞的自己很鬱悶:
這樣修改的話,每次登陸配置頁面的話,就不是80端口了,應該是:
http://192.168.1.1:61080(61080是你修改的新端口號,改成什麼了就用什麼)
telnet登陸也不是23端口了,是:telnet 192.168.1.1 61023
後面的端口,一樣,就是你修改的TELNET新端口號;

三.通過RDR映射,使外部對ADSL貓開放端口的攻擊轉移到內部
在adsl貓上做4個rdr映射,將外網對adsl貓的21/23/69/80端口的訪問映射到內網一個不用
的ip上,轉移攻擊的ip包。
具體操作參看:http://www.516600.com/cgi-bin/lb5000/topic.cgi?forum=54&topic=25

註:其中21/23/69/80端口分別對應 FTP/TELNET/TFTP/HTTP服務。

以上3個盡可能都使用

四.升級ADSL貓的FIRMWARE
網上有提供新版ADSL FIRMWARE的地方(下面的2個網站),更新到最新的FIRMWARE可以
避免這樣的問題,但是升級有風險,而且各個品牌的FIRMWARE沒理清,大家看清楚了再升級。


現在網上討論此事很多,以下是相關的網站,上面的相關細節可以參見這2個論壇:

官方論壇:
華碩 asus netq論壇:
http://netq.asus.com.cn/inside.asp?ptype=%u901a%u8baf%u4ea7%u54c1

非官方論壇:
你我de論壇區->【 寬帶技術交流區 】
http://www.516600.com/cgi-bin/lb5000/forums.cgi?forum=54

另外提醒:
打開路由模式的ADSL貓,請修改其登陸密碼。路由模式下的貓,其配置用的HTTP/TELNET
都是對外開放的。外網的人,也可以登陸到你ADSL貓上,如果密碼還是默認的話,很容易被
無聊的人登陸進,並修改。