关于adsl modem病毒

最近网上发现针对ADSL modem的病毒,该病毒对ADSL modem造成的影响是:采用内置PPPoE+NAT或者绑定固定IP使用路由方式的ADSL用户(即使用MODEM自动拨号或将固定IP设在MODEM内),在使用一段时间后出现ADSL modem死机的现象,拔插dsl线路和LAN口线路后,dsl线路灯和LAN指示灯没反应,必须将modem关电重启,故障恢复。涉及的ADSL modem厂家有很多,望周知。详细情况见下文:

一、故障的情况

   最近,全国范围出现了部分ADSL modem断流及ADSL modem死机的问题。

出现此问题的adsl猫都有2个特征:

1、品牌各异,但都是使用globespan的viking或vikingII套片的ADSL modem(如比较常见的实达2110eh 4.5 4.6 4.7和华硕AAM6000EV A/J A/E A/G1等等 )。

2、都启用了ADSL modem本身的PPPOE路由模式或者绑定了公网IP。

二、故障的现象

1、断流情况严重,QQ网易泡泡等软件自动掉线,网页也突然无法打开,稍候不久可以继续连接上,公网IP不会改变。

2、五分钟到半小时ADSL modem就死机,ping ADSL modem的网口,一半通一半不通,甚至一直超时,时延都在千毫秒级。

3、网页打不开,但QQ/MSN等还经常能在线,偶尔还能收发消息。

4、频繁出现adsl链路断开重连(半小时内出现多次)。

5、频繁出现atm vc拥塞。

三、可能的原因分析

1、ADSL modem作为路由时,互联网对ip的访问首先到达ADSL modem上,ADSL modem首当其冲,如果有病毒攻击,受攻击的就是ADSL modem,这种带路由的ADSL设备是很脆弱的,受不了同时又大量的IP端口扫描等攻击。

2、类似冲击波病毒的新病毒扫描到ADSL modem的IP地址,发送大量IP包到ADSL modem的常用端口,导致端口的缓冲溢出,不能响应正常的业务请求。

四、 解决的办法

1、打开ADSL modem的防火墙:点击服务service-防火墙firewall-将攻击保护attack protection和DOS保护由禁止改为许可(注意:有的版本没有防火墙选项。)

2、更改端口:点击管理admin-端口设置port setting-将现有HTTP,Telnet,FTP及TFTP端口加上61000,变为61080,61023,61021及61069。或者更改为其它的端口号。让扫描软件不能轻易扫描到即可。这样修改后,每次登陆配置页面就不是访问80端口了,应该是: http://192.168.1.1:61080(61080是你修改的新端口号,改成什么就用什么),telnet登陆也不是23端口了,而是:telnet 192.168.1.1 61023。后面的端口号就是你修改的TELNET新端口号,其它服务都类似。

3、上面两种方式请尽量都做。然后点击管理admin-保存和重启commit and reboot-保存配置(提交)

4、通过RDR映射,使外部对ADSL猫开放端口的攻击转移到内部。在ADSL modem上做4个rdr映射,将外网对adsl猫的21/23/69/80端口的访问映射到内网一个不用的ip上,转移攻击的ip包。(其中21/23/69/80端口分别对应 FTP/TELNET/TFTP/HTTP服务)

5、升级ADSL modem的FIRMWARE,即升级为新的防攻击的软件版本。


评论

该日志第一篇评论

发表评论

评论也有版权!