后來(lái)多方查找資料得知，發(fā)生上述故障現(xiàn)象的主要原因是ADSL Modem通過(guò)路由方式撥號(hào)上網(wǎng)后，ADSL Modem獲得了公網(wǎng)的合法IP地址，互聯(lián)網(wǎng)上的任何人都可以通過(guò)該IP地址來(lái)訪問(wèn)我的ADSL Modem。這樣一些網(wǎng)絡(luò)惡意攻擊者或病毒(如震蕩波病毒)就可以有針對(duì)性地進(jìn)行掃描、探測(cè)，然后進(jìn)行攻擊，耗盡ADSL Modem資源，從而導(dǎo)致ADSL Modem工作異常。

ADSL Modem廠商為了讓用戶在全速下達(dá)到最理想的使用效果，在設(shè)備中采用的是默認(rèn)最低的安全級(jí)別，而用戶在購(gòu)買回來(lái)后又沒(méi)有對(duì)安全性方面進(jìn)行進(jìn)一步的設(shè)置。還有就是用戶網(wǎng)絡(luò)安全意識(shí)不足，在配置路由共享方式時(shí)沒(méi)有采取任何安全防范措施(如更改Root密碼，更改或限制Web/Telnet的管理端口等)，從而使ADSL Modem毫無(wú)保護(hù)的直接暴露在一些懷有惡意的攻擊者面前。

在這種情況下，如果ADSL Modem中某一個(gè)開放的端口存在漏洞且被不法攻擊者發(fā)現(xiàn)，極有可能被利用來(lái)進(jìn)行遠(yuǎn)程攻擊。假如攻擊者取得了ADSL Modem的管理員密碼，他就可以遠(yuǎn)程登錄到ADSL Modem上，通過(guò)NAT表得知內(nèi)網(wǎng)機(jī)器的IP地址，把這個(gè)內(nèi)網(wǎng)機(jī)器映射到因特網(wǎng)上，再使用其他的攻擊工具給我種植一個(gè)“后門”，那我豈不是慘了。而且攻擊者在獲得管理員的權(quán)限后還可以把一個(gè)壞的固件程序刷寫到ADSL Modem的Flash中，這樣我的ADSL Modem豈不徹底報(bào)廢了。嗚嗚，不敢想像。

注意:一般采用PPPoE /PPPoA /1483 固定IP+NAT /1577 +NAT方式接入的用戶都有可能受到攻擊。采用路由共享方式下的用戶更容易受到攻擊。

秘技一:“加固”ADSL Modem

1.更改Root用戶的密碼

ADSL Modem出廠時(shí)都設(shè)置了默認(rèn)的登錄用戶名和密碼。一般同一型號(hào)產(chǎn)品的默認(rèn)用戶名與密碼是相同的。我們大多數(shù)人在安裝好ADSL Modem后從未對(duì)默認(rèn)的用戶名與密碼進(jìn)行修改，這就留下了很大的安全隱患。修改默認(rèn)Root用戶名和密碼的方法是:在瀏覽器地址欄中鍵入ADSL Modem的地址(一般為192.168.1.1)，輸入正確的用戶名與密碼，進(jìn)入ADSL Modem的配置頁(yè)面后，點(diǎn)擊“管理”標(biāo)簽，在“用戶設(shè)置”處點(diǎn)擊Root用戶旁的修改符號(hào)(如圖2)，然后再鍵入原來(lái)的密碼和新密碼，點(diǎn)擊“提交”按鈕更改設(shè)置。當(dāng)然，首先必須將用于配置的電腦網(wǎng)卡IP地址改為與ADSL Modem的地址位于同一網(wǎng)段。

圖2

筆者發(fā)現(xiàn)，有些型號(hào)的ADSL Modem，在正確更改完用戶名和密碼后，重新又恢復(fù)成默認(rèn)的密碼了，如果是這種情況，我們可用Telnet登錄ADSL Modem，然后在$提示符下用Passwd命令修改Root用戶的口令，再用commit命令提交你的更改。用這種方法也能夠成功地修改用戶名和密碼。

2.更改Web/Telnet管理端口

設(shè)置了復(fù)雜的密碼后也并不能完全保證ADSL Modem不受攻擊。一般的ADSL Modem都可通過(guò)Web/Telnet方式來(lái)進(jìn)行本地或遠(yuǎn)程管理，許多惡意的攻擊者都是指定這幾個(gè)默認(rèn)的端口，通過(guò)掃描工具對(duì)某個(gè)IP地址段進(jìn)行掃描再確定攻擊目標(biāo)。而我們的ADSL Modem開放的80、21和23等端口則是首當(dāng)其沖的掃描重點(diǎn)。通過(guò)修改服務(wù)端口，可以避開大部分的掃描工具的試探。進(jìn)入ADSL Modem的配置頁(yè)面，點(diǎn)擊“管理”標(biāo)簽，在“端口設(shè)置”中更改HTTP、Telnet和FTP端口。如我們把HTTP端口修改為8080，Telnet端口修改為8023(圖3)，以后通過(guò)Web方式訪問(wèn)時(shí)要用http://192.168.1.1:8080，而通過(guò)Telnet方式訪問(wèn)時(shí)要用Telnet 192.168.1.1:8023的方法。

圖3

3.映射不存在的端口

開啟路由功能的ADSL Modem都是通過(guò)NAT映射方式來(lái)實(shí)現(xiàn)的，NAT映射可以把來(lái)自因特網(wǎng)上對(duì)ADSL Modem某個(gè)端口的連接轉(zhuǎn)移到內(nèi)網(wǎng)中某個(gè)IP地址指定的端口上。病毒或惡意攻擊者一般都是針對(duì)ADSL Modem的幾個(gè)典型端口(如135、139、445、3127等)進(jìn)行攻擊，我們可以嘗試把這些端口的攻擊全部轉(zhuǎn)移到內(nèi)網(wǎng)中一個(gè)實(shí)際不存在的IP上，從而減少因要處理大量連接而給ADSL Modem帶來(lái)的負(fù)擔(dān)。在一般的ADSL Modem中，我們可以通過(guò)RDR規(guī)則和BIMAP規(guī)則來(lái)把端口映射到不存在的IP上。

1)使用RDR規(guī)則映射

如何使用RDR將Web/Telnet/FTP/TFTP等端口映射到一個(gè)不存在的IP上呢?進(jìn)入ADSL Modem的配置頁(yè)面，點(diǎn)擊“服務(wù)”標(biāo)簽，在“NAT設(shè)置”中選擇“NAT Rule Entry”，然后點(diǎn)擊“添加”按鈕，添加RDR規(guī)則。以Web端口為例，我們把它映射到一個(gè)不存在的IP:192.168.1.100上(圖4)，選擇Rule Flavor為RDR，填入Rule ID，在本地IP地址的開始和結(jié)束分別填入192.168.1.100，在目標(biāo)端口的起始值/終止值和本地端口中分別選擇HTTP(80)，其他的選項(xiàng)都選擇默認(rèn)值即可。Telnet/FTP/TFTP端口可參照此設(shè)置。

圖4

2)使用BIMAP規(guī)則映射

使用BIMAP透明規(guī)則做所有的端口映射，將它們映射到一個(gè)不存在的IP。進(jìn)入ADSL Modem的配置頁(yè)面后，點(diǎn)擊“服務(wù)”標(biāo)簽，在“NAT設(shè)置”中選擇“NAT Rule Entry”，然后點(diǎn)擊“添加”按鈕，添加BIMAP規(guī)則。例如，我們把BIAMP規(guī)則映射到一個(gè)不存在的IP:192.168.1.200上。選擇Rule Flavor為BIAMP，填入Rule ID，在本地IP地址的開始和結(jié)束分別填入192.168.1.200即可。

通過(guò)這樣的設(shè)置，針對(duì)ADSL Modem的一般服務(wù)端口(或所有端口)進(jìn)行的攻擊，就被全部轉(zhuǎn)移到內(nèi)網(wǎng)中一個(gè)實(shí)際不存在的IP地址192.168.100(或200)上了。

4.升級(jí)固件

因?yàn)橛行〢DSL Modem在市場(chǎng)上投入的時(shí)間較早，原來(lái)采用的軟件版本較低，在安全方面有一定的缺陷。現(xiàn)在有很多廠商在各自的主頁(yè)上都有最新的固件程序提供下載，針對(duì)此類問(wèn)題進(jìn)行了修改，我們可通過(guò)升級(jí)ADSL Modem的固件來(lái)解決。具體的方法在廠商官方網(wǎng)站上都有介紹，筆者這里就不再詳述了。

秘技二:開啟防火墻功能

以上的操作都要更改ADSL Modem的設(shè)置，有時(shí)可能會(huì)對(duì)當(dāng)前的設(shè)置產(chǎn)生一定的影響，而且對(duì)許多不熟悉NAT設(shè)置的用戶來(lái)說(shuō)，在操作方面可能存在一定的難度。

下面筆者給大家介紹一種方法，無(wú)須更改ADSL Modem原有的設(shè)置就可防止再受到攻擊。現(xiàn)在的ADSL Modem都帶有防火墻功能，但默認(rèn)的狀態(tài)一般是關(guān)閉的，我們只要開啟了防火墻功能就行了。一般防火墻功能是通過(guò)IP過(guò)濾來(lái)實(shí)現(xiàn)的，具體怎樣建立IP過(guò)濾規(guī)則的，鑒于篇幅比較長(zhǎng)，這里不詳細(xì)講述，只給大家介紹兩種簡(jiǎn)單的方法。如果大家的ADSL Modem是采用的Globespan技術(shù)方案，請(qǐng)繼續(xù)往下看。

1.使用防火墻補(bǔ)丁

在TP-Link網(wǎng)站上有一個(gè)關(guān)于TD-8800 ADSL Modem的防火墻補(bǔ)丁下載，筆者發(fā)現(xiàn)TD-8800是采用Globespan技術(shù)方案，這個(gè)補(bǔ)丁完全可以使用在Globespan芯片的ADSL Modem上。筆者在自己的ADSL Modem上試過(guò)，一切正常(當(dāng)然是非TP-Link的產(chǎn)品)。其實(shí)它就是在ADSL Modem的IP過(guò)濾設(shè)置中開啟了幾條過(guò)濾規(guī)則，免去了我們手工添加的麻煩。

補(bǔ)丁的使用非常簡(jiǎn)單，只要在地址欄中填入ADSL Modem的IP地址，輸入用戶名和密碼，然后點(diǎn)擊“執(zhí)行”按鈕就可以了(圖5)。

圖5

2.使用用戶配置文件

實(shí)達(dá)的網(wǎng)站上有一個(gè)專門針對(duì)網(wǎng)絡(luò)攻擊的用戶配置文件下載(下載地址為:http://www.star-net.com.cn/aspsky/up file/sf_20042249929.rar)，也只開啟ADSL Modem的IP過(guò)濾功能，這并不影響用戶原有的配置。不過(guò)這個(gè)擴(kuò)展名為.GLBEHR的用戶配置文件要配合實(shí)達(dá)ADSL Modem的配置程序來(lái)使用。運(yùn)行ADSL 配置程序，指定ADSL Modem的IP，點(diǎn)擊“下一步”，選擇“用配置文件配置”，然后再點(diǎn)擊“下一步”，指定文件.GLBEHR文件的路徑，點(diǎn)擊“完成”即可。這樣就完成了配置，開啟了ADSL Modem的防火墻功能，我們可以登錄到Web中看到如圖6所示的頁(yè)面。圖中狀態(tài)燈為綠色的表示規(guī)則生效。利用這些規(guī)則我們可以有效地禁止來(lái)自WAN口上的非法流量。

圖6

總結(jié)

以上的兩種方法都只是開啟了ADSL Modem的IP過(guò)濾功能及對(duì)應(yīng)的規(guī)則，不影響用戶原有的配置，建議一般用戶采用。而更改端口等設(shè)置對(duì)熟悉ADSL Modem配置的用戶來(lái)說(shuō)具有更大的靈活性。

如果我們的ADSL Modem在開機(jī)時(shí)就因?yàn)槭艿焦舳斐刹荒艿卿浀脑挘瑒t可先拔下WAN口上的電話線再開機(jī)，把ADSL Modem設(shè)置好后再插上，重新啟動(dòng)就行了。