ADSL Modem防“秘技

　　我的ADSL“猫”受到了，为此我让小猫好好地了一番“内功”，安全“”大长。下面给大家介绍一下“秘技”。

　　最近我的ADSLModem经常出现问题，有时开机能够正常工作，但大部分时间连网页都打不开，过一会儿重启ADSLModem又正常了。开始还以为是ISP出问题了，打电话询问，被告知局端一切正常，可能是我的ADSLModem受到了来自因特网的。趁着周末有时间，我让ADSLModem好好地了一番“内功”，安全“”大长。下面笔者就给大家介绍一下“秘技”。

　　我被了

　　1.天网防火墙不停报警

　　我的接入方式为PPPoE，ADSLModem由方式，使用内置拨号软件自动拨号;DHCP服务，内网的机器从DHCP服务器自动获取IP。ADSLModem使用的IP为公网IP，系统安装有天网防火墙个人版。

　　近段时间来，经常在ADSLModem刚开机时不能上网，好不烦人。开始还以为是域名服务器有问题，但换一个域名服务器还是同样的现象。出现故障时，连配置软件也不能连接到ADSLModem，PingADSLModem也没有反应。怀疑是ADSLModem出了问题，赶紧借来一个换上，参数配置跟以前的那个一样。唉，还是同样的故障现象，看样子不是它的“错”了。不会是ISP出了问题吧，打电话去一问，说是我受到了。

　　难怪这些天来，我发现每次一开机，天网防火墙就开始报警，某某IP在不停地扫描我的端口(图1)，开始我没注意，但后来越来越频繁，几乎每秒钟都有来自外网的IP试图连接到我机器上的某个端口的报警，居然都被天网了，但是频繁报警始终让人烦啊。

　　图一

　　2.安全措施不够导致被

　　后来多方查找资料得知，发生上述故障现象的主要原因是ADSLModem通过由方式拨号上网后，ADSLModem获得了公网的IP地址，互联网上的任何人都可以通过该IP地址来访问我的ADSLModem。这样一些网络恶意者或病毒(如震荡波病毒)就可以有针对性地进行扫描、探测，然后进行，耗尽ADSLModem资源，从而导致ADSLModem工作异常。

　　ADSLModem厂商为了让用户在全速下达到最理想的使用效果，在设备中采用的是默认最低的安全级别，而用户在购买回来后又没有对安全性方面进行进一步的设置。还有就是用户网络安全意识不足，在配置由共享方式时没有采取任何安全防范措施(如更改Root密码，更改或Web/Telnet的管理端口等)，从而使ADSLModem毫无的直接在一些怀有恶意的者面前。

　　在这种情况下，如果ADSLModem中某一个的端口存在漏洞且被者发现，极有可能被利用来进行远程。假如者取得了ADSLModem的管理员密码，他就可以远程登录到ADSLModem上，通过NAT表得知内网机器的IP地址，把这个内网机器映射到因特网上，再使用其他的工具给我种植一个“后门”，那我岂不是惨了。而且者在获得管理员的权限后还可以把一个坏的固件程序刷写到ADSLModem的Flash中，这样我的ADSLModem岂不彻底报废了。呜呜，不敢想像。

　　注意:一般采用PPPoE/PPPoA/1483固定IP+NAT/1577+NAT方式接入的用户都有可能受到。采用由共享方式下的用户更容易受到。

　　1.更改Root用户的密码

　　ADSLModem出厂时都设置了默认的登录用户名和密码。一般同一型号产品的默认用户名与密码是相同的。我们大多数人在安装好ADSLModem后从未对默认的用户名与密码进行修改，这就留下了很大的安全隐患。修改默认Root用户名和密码的方法是:在浏览器地址栏中键入ADSLModem的地址(一般为192.168.1.1)，输入正确的用户名与密码，进入ADSLModem的配置页面后，点击“管理”标签，在“用户设置”处点击Root用户旁的修改符号(如图2)，然后再键入原来的密码和新密码，点击“提交”按钮更改设置。当然，首先必须将用于配置的电脑网卡IP地址改为与ADSLModem的地址位于同一网段。

　　图二

　　笔者发现，有些型号的ADSLModem，在正确更改完用户名和密码后，重新又恢复成默认的密码了，如果是这种情况，我们可用Telnet登录ADSLModem，然后在$提示符下用Passwd命令修改Root用户的口令，再用commit命令提交你的更改。用这种方法也能够成功地修改用户名和密码。

　　设置了复杂的密码后也并不能完全ADSLModem不受。一般的ADSLModem都可通过Web/Telnet方式来进行本地或远程管理，许多恶意的者都是指定这几个默认的端口，通过扫描工具对某个IP地址段进行扫描再确定目标。而我们的ADSLModem的80、21和23等端口则是首当其冲的扫描重点。通过修改服务端口，可以避开大部分的扫描工具的试探。进入ADSLModem的配置页面，点击“管理”标签，在“端口设置”中更改HTTP、Telnet和FTP端口。如我们把HTTP端口修改为8080，Telnet端口修改为8023(图3)，以后通过Web方式访问时要用http://192.168.1.1:8080，而通过Telnet方式访问时要用Telnet192.168.1.1:8023的方法。

　　图三

　　3.映射不存在的端口

　　由功能的ADSLModem都是通过NAT映射方式来实现的，NAT映射可以把来自因特网上对ADSLModem某个端口的连接转移到内网中某个IP地址指定的端口上。病毒或恶意者一般都是针对ADSLModem的几个典型端口(如135、139、445、3127等)进行，我们可以尝试把这些端口的全部转移到内网中一个实际不存在的IP上，从而减少因要处理大量连接而给ADSLModem带来的负担。在一般的ADSLModem中，我们可以通过RDR规则和BIMAP规则来把端口映射到不存在的IP上。

　　1)使用RDR规则映射

　　如何使用RDR将Web/Telnet/FTP/TFTP等端口映射到一个不存在的IP上呢?进入ADSLModem的配置页面，点击“服务”标签，在“NAT设置”中选择“NATRuleEntry”，然后点击“添加”按钮，添加RDR规则。以Web端口为例，我们把它映射到一个不存在的IP:192.168.1.100上(图4)，选择RuleFlavor为RDR，填入RuleID，在本地IP地址的开始和结束分别填入192.168.1.100，在目标端口的起始值/终止值和本地端口中分别选择HTTP(80)，其他的选项都选择默认值即可。Telnet/FTP/TFTP端口可参照此设置。

　　图四

　　使用BIMAP透明规则做所有的端口映射，将它们映射到一个不存在的IP。进入ADSLModem的配置页面后，点击“服务”标签，在“NAT设置”中选择“NATRuleEntry”，然后点击“添加”按钮，添加BIMAP规则。例如，我们把BIAMP规则映射到一个不存在的IP:192.168.1.200上。选择RuleFlavor为BIAMP，填入RuleID，在本地IP地址的开始和结束分别填入192.168.1.200即可。

　　通过这样的设置，针对ADSLModem的一般服务端口(或所有端口)进行的，就被全部转移到内网中一个实际不存在的IP地址192.168.100(或200)上了。

　　4.升级固件

　　因为有些ADSLModem在市场上投入的时间较早，原来采用的软件版本较低，在安全方面有一定的缺陷。现在有很多厂商在各自的主页上都有最新的固件程序提供下载，针对此类问题进行了修改，我们可通过升级ADSLModem的固件来解决。具体的方法在厂商网站上都有介绍，笔者这里就不再详述了。

　　秘技二:防火墙功能

　　以上的操作都要更改ADSLModem的设置，有时可能会对当前的设置产生一定的影响，而且对许多不熟悉NAT设置的用户来说，在操作方面可能存在一定的难度。

　　下面笔者给大家介绍一种方法，无须更改ADSLModem原有的设置就可防止再受到。现在的ADSLModem都带有防火墙功能，但默认的状态一般是关闭的，我们只要了防火墙功能就行了。一般防火墙功能是通过IP过滤来实现的，具体怎样建立IP过滤规则的，鉴于篇幅比较长，这里不详细讲述，只给大家介绍两种简单的方法。如果大家的ADSLModem是采用的Globespan技术方案，请继续往下看。

　　1.使用防火墙补丁

　　在TP-Link网站上有一个关于TD-8800ADSLModem的防火墙补丁下载，笔者发现TD-8800是采用Globespan技术方案，这个补丁完全可以使用在Globespan芯片的ADSLModem上。笔者在自己的ADSLModem上试过，一切正常(当然TP-Link的产品)。其实它就是在ADSLModem的IP过滤设置中了几条过滤规则，免去了我们手工添加的麻烦。

　　补丁的使用非常简单，只要在地址栏中填入ADSLModem的IP地址，输入用户名和密码，然后点击“执行”按钮就可以了(图5)。

　　2.使用用户配置文件

　　实达的网站上有一个专门针对网络的用户配置文件下载(下载地址为:http://www.star-net.com.cn/aspsky/upfile/sf_20042249929.rar)，也只ADSLModem的IP过滤功能，这并不影响用户原有的配置。不过这个扩展名为.GLBEHR的用户配置文件要配合实达ADSLModem的配置程序来使用。运行ADSL配置程序，指定ADSLModem的IP，点击“下一步”，选择“用配置文件配置”，然后再点击“下一步”，指定文件.GLBEHR文件的径，点击“完成”即可。这样就完成了配置，了ADSLModem的防火墙功能，我们可以登录到Web中看到如图6所示的页面。图中状态灯为绿色的表示规则生效。利用这些规则我们可以有效地来自WAN口上的非法流量。

　　总结

　　以上的两种方法都只是了ADSLModem的IP过滤功能及对应的规则，不影响用户原有的配置，一般用户采用。而更改端口等设置对熟悉ADSLModem配置的用户来说具有更大的灵活性。

　　如果我们的ADSLModem在开机时就因为受到而造成不能登录的话，则可先拔下WAN口上的电话线再开机，把ADSLModem设置好后再插上，重新启动就行了。

　　邮件新闻资讯:

　　移动电邮

　　网络安全

　　行业法规

　　网络技术:

　　传输介质

　　网络与服务器硬件

　　操作系统:

　　其它操作系统

　　邮件服务器:

　　其它

　　反垃圾邮件:

　　服务器端反垃圾邮件

　　ping 192.168.1.100邮件客户端软件:

　　其它

　　移动电子邮件:技术前沿

　　邮件网络安全:

　　防火墙

　　数字签名

　　邮件营销:

　　营销案例

　　邮件人才:职场

　　解决方案:

　　招标

　　产品评测:

　　客户端