|
| WWW.DBIT.CN 2006-8-22 10:22:08 热度: |
|
| |
笔者发现,有些型号的ADSL Modem,在正确更改完用户名和密码后,重新又恢复成默认的密码了,如果是这种情况,我们可用Telnet登录ADSL Modem,然后在$提示符下用Passwd命令修改Root用户的口令,再用commit命令提交你的更改。用这种方法也能够成功地修改用户名和密码。
2.更改Web/Telnet管理端口
设置了复杂的密码后也并不能完全保证ADSL Modem不受攻击。一般的ADSL Modem都可通过Web/Telnet方式来进行本地或远程管理,许多恶意的攻击者都是指定这几个默认的端口,通过扫描工具对某个IP地址段进行扫描再确定攻击目标。而我们的ADSL Modem开放的80、21和23等端口则是首当其冲的扫描重点。通过修改服务端口,可以避开大部分的扫描工具的试探。进入ADSL Modem的配置页面,点击“管理”标签,在“端口设置”中更改HTTP、Telnet和FTP端口。如我们把HTTP端口修改为8080,Telnet端口修改为8023,以后通过Web方式访问时要用http://192.168.1.1:8080,而通过Telnet方式访问时要用Telnet 192.168.1.1:8023的方法。
3.映射不存在的端口
开启路由功能的ADSL Modem都是通过NAT映射方式来实现的,NAT映射可以把来自因特网上对ADSL Modem某个端口的连接转移到内网中某个IP地址指定的端口上。病毒或恶意攻击者一般都是针对ADSL Modem的几个典型端口(如135、139、445、3127等)进行攻击,我们可以尝试把这些端口的攻击全部转移到内网中一个实际不存在的IP上,从而减少因要处理大量连接而给ADSL Modem带来的负担。在一般的ADSL Modem中,我们可以通过RDR规则和BIMAP规则来把端口映射到不存在的IP上。
1)使用RDR规则映射
如何使用RDR将Web/Telnet/FTP/TFTP等端口映射到一个不存在的IP上呢?进入ADSL Modem的配置页面,点击“服务”标签,在“NAT设置”中选择“NAT Rule Entry”,然后点击“添加”按钮,添加RDR规则。以Web端口为例,我们把它映射到一个不存在的IP:192.168.1.100上,选择Rule Flavor为RDR,填入Rule ID,在本地IP地址的开始和结束分别填入192.168.1.100,在目标端口的起始值/终止值和本地端口中分别选择HTTP(80),其他的选项都选择默认值即可。Telnet/FTP/TFTP端口可参照此设置。
2)使用BIMAP规则映射
使用BIMAP透明规则做所有的端口映射,将它们映射到一个不存在的IP。进入ADSL Modem的配置页面后,点击“服务”标签,在“NAT设置”中选择“NAT Rule Entry”,然后点击“添加”按钮,添加BIMAP规则。例如,我们把BIAMP规则映射到一个不存在的IP:192.168.1.200上。选择Rule Flavor为BIAMP,填入Rule ID,在本地IP地址的开始和结束分别填入192.168.1.200即可。
通过这样的设置,针对ADSL Modem的一般服务端口(或所有端口)进行的攻击,就被全部转移到内网中一个实际不存在的IP地址192.168.100(或200)上了。
4.升级固件
因为有些ADSL Modem在市场上投入的时间较早,原来采用的软件版本较低,在安全方面有一定的缺陷。现在有很多厂商在各自的主页上都有最新的固件程序提供下载,针对此类问题进行了修改,我们可通过升级ADSL Modem的固件来解决。具体的方法在厂商官方网站上都有介绍,笔者这里就不再详述了。
秘技二:开启防火墙功能
以上的操作都要更改ADSL Modem的设置,有时可能会对当前的设置产生一定的影响,而且对许多不熟悉NAT设置的用户来说,在操作方面可能存在一定的难度。
下面笔者给大家介绍一种方法,无须更改ADSL Modem原有的设置就可防止再受到攻击。现在的ADSL Modem都带有防火墙功能,但默认的状态一般是关闭的,我们只要开启了防火墙功能就行了。一般防火墙功能是通过IP过滤来实现的,具体怎样建立IP过滤规则的,鉴于篇幅比较长,这里不详细讲述,只给大家介绍两种简单的方法。如果大家的ADSL Modem是采用的Globespan技术方案,请继续往下看。 |
|
| |
|
|
|
|
|
|
|
|