巧妙斩断伸向ADSL Modem的黑手

转移攻击

　　ADSL Modem获取了公网的IP地址，当攻击发生时，如果开启了路由方式，对该IP地址的攻击将全部由Modem承受。对于SOHO环境下的ADSL Modem，由于芯片处理数据能力的制约，突发的大量攻击数据很容易造成Modem的死机。我们可以在ADSL Modem中做端口映射，将外网对Modem的21/23/69/80或所有的端口的访问映射到内网一个不存在的IP地址上，转移攻击数据包。

　　1.通过RDR映射

　　进入ADSL Modem的配置页面后，点击“服务”标签，在“NAT设置”中选择“NAT Rule Entry”，然后点击[添加]按钮，添加RDR规则。以Web端口为例，我们将其映射到一个不存在的IP地址（192.168.1.200）上（图1），选择Rule Flavor为RDR，填入Rule ID，在本地IP地址的开始和结束分别填入192.168.1.200，在目标端口的起始值/终止值和本地端口中分别选择HTTP（80），其他选项都选择默认值即可。然后将其他的Telnet/FTP/TFTP端口也做RDR映射。

　　

　　图1 NAT规则添加界面

　　2.通过BIMAP映射

　　使用BIMAP规则映射能把某个局域网IP地址透明地映射到公网，我们可以使用BIMAP规则来映射一个局域网内不存在的IP地址到公网IP地址上，以转移对ADSL Modem的攻击。进入ADSL Modem的配置页面后，点击“服务”标签，在“NAT设置”中选择“NAT Rule Entry”，然后点击[添加]按钮，添加BIMAP规则。例如，我们把BIAMP规则映射到一个不存在的IP：192.168.1.200上。选择Rule Flavor为BIAMP，填入Rule ID，在本地IP地址的开始和结束分别填入192.168.1.200即可。

　　

　　提高安全意识

　　用户安全意识不足也是导致被攻击的原因之一，例如某一款型号的ADSL Modem在出厂时都是使用的一个相同的用户名与密码，我们从Modem的说明书中可以查找得到，许多用户在平常的使用过程中根本就没有更改过这个用户名与密码，这样网络上的病毒或恶意攻击者就轻易地获得了对ADSL Modem的绝对控制权力，更容易造成大的损失。

　　1.更改管理员用户的密码

　　有两种方法可以更改管理员用户的密码，一是使用Telnet，登录后在命令行提示符下使用Passwd命令进行修改，这个比较简单，不再详述。另外就是在Web配置页面中修改，具体的步骤为：

　　进入ADSL Modem的配置页面后，点击“管理”标签，在“用户设置”在点击Root用户的修改符号（图2），然后再键入原来的密码和新密码，点击[提交]按钮更改设置。

　　

　　2.更改管理端口

　　一般在ADSL Modem中都提供了HTTP/FTP/TFTP/Telnet服务，可以通过修改它们的默认端口来提高系统的安全性。进入ADSL Modem的配置页面后，点击“管理”标签，在“端口设置”中更改HTTP、Telnet和FTP端口。我们把HTTP端口修改为61080，Telnt端口修改为61023，FTP端口修改为61021（图3）。这样修改的话，每次登录配置页面使用的就不是80端口了，应该是http://192.168.1.1:61080（61080为修改的新端口号）；Telnet登录也不是23端口了，而是telnet 192.168.1.1 61023。注意，一些Modem的配置软件（如TP-Link和实达提供的配置软件），是使用Telnet默认端口进行配置的，如果我们修改了ADSL Modem的Telnet端口后，这些软件就连不上了，但在配置软件中没有端口的选择。

　　

　　图3 端口设置界面