真草稚京 |
2004-04-09 15:00 |
【你家ADSL出问题了嘛】大面积ADSL出现死猫中场总结,分析及联想
--------------------------------------------------------------------------------- 1。故障的情况 --------------------------------------------------------------------------------- 3月8日起(网上了解应该是中午开始),全国范围出现了部分adsl modem出现断流及死猫 的问题。 出现此问题的adsl猫都有2个特征: 1。品牌各异,但都使用globespan的稍旧型号viking芯片(如华硕AAM6000EV A/J )。 2。都启用了路由模式; 极其不幸,偶的晨星的网际快车adsl(SR-DSL-AE)都符合上面 2 条件,也出现问题。
除了华硕之外,包括晨星、 实达 等部分型号的adsl猫都存在这个问题。 另外,据这些论坛里了解,广东、广西,福州,天津、江苏、黑龙江等地都有类似情况 出现,应该是全国范围大面积的出现。
--------------------------------------------------------------------------------- 2。问题的现象 --------------------------------------------------------------------------------- 出现问题的现象有3种: 1。十分钟到半小时adsl猫就死猫,ping adsl 猫的ip,一半通一半不通,时延都在千毫秒级。 网页打不开,但QQ/MSN等还经常能在线,偶尔还能收发消息。 2。频繁出现adsl链路断开重连(半小时内出现多次); 3。频繁出现atm vc拥塞;
--------------------------------------------------------------------------------- 3。可能的原因分析 --------------------------------------------------------------------------------- 首先一点:viking芯片或这套ADSL系统存在bug或者漏洞,这个基本是肯定的。
1。电信搞鬼,利用adsl猫的漏洞打击路由模式上网的用户。 电信搞鬼的可能性不大,全国范围(南方电信、北方网通)一起同时间搞鬼可能性更不大。
2。有病毒攻击。 病毒攻击adsl猫的可能性还是比较大的,adsl猫好像就是内置一个精简OS的电子设备( 我扫描我的晨星网际快车大黑猫SR-DSL-AE,显示为LINUX系统),包含http/ftp/tftp/telnet 服务,技术上讲没有漏洞是不可能的,也许是有新病毒流行(或者旧病毒又发作了),造成对 adsl系统的攻击,造成其死猫。 而adsl猫作为桥接时,外网对ip的访问都直接转到 ppoe拨号的pc上,ADSL猫制作转发, 自身不受攻击,因而ADSL不会出现问题(可以用防火墙软件监视一下是否有攻击)。 ADSL猫作为路由时,外面对ip的访问首先到达adsl猫上,ADSL猫首当其冲,如果有攻击 ,受攻击的就是adsl猫,如果攻击的正好是ADSL的要害,立马倒下。 再PING受到攻击后的ADSL时,一半通一半不通,PING通的时延也在千毫秒级以上。偶尔 能通,故MSN/QQ等软件还能暂时保持在线状态,有时还能收发成功消息。
如果是这样的话,ftp/tftp应该是只对内网开放的,可以将内网的电脑断开,检查病毒 。看adsl猫是否继续死机,以防攻击是由于内网的PC发起的。 telnet/http应该是对外也开放的,可以将对应的端口修改(amdin->port settings) ,不用默认的80和23。 http port: 61080(80, 61000-62000) telnet port:61023(23, 61000-62000) 注:修改端口后,要保存一下,然后重启,才能生效。 并且,这样修改的话,每次登陆配置页面的话,就不是80端口了,应该是: http://192.168.1.1:61080(61080是你修改的新...什么了就用什么) telnet登陆也不是23端口了,是:telnet 192.168.1.1 61023 后面的端口,一样,就是你修改的TELNET新端口号; 另外,一些傻瓜式的配置软件(如TP-LINK提供的),好像是使用ADSL猫的TELNET口进行 配置的,修改了TELNET端口后,这些软件就连不上了(软件中默认就是登陆ADSL猫的23端口, 没有选择)
(我改了端口以后,已经2天没死猫了,后来又做试验,发现 HTTP端口改回80也不会出问题, 但TELNET口改回23端口就有问题了,估计是ADSL猫的TELNET服务有漏洞。不过也不一定,从 华硕网站上了解,现在监控下来ADSL猫的4个端口都有攻击)
--------------------------------------------------------------------------------- 4。解决的办法 --------------------------------------------------------------------------------- 根据网上的到的信息,以及我的做法,有以下方法:
1。更改ADSL猫的HTTP、TELNET端口,以免被病毒轻易攻击到 将admin-> port setting中 HTTP、TELNET的服务端口更换掉,使用61000~62000中任意一 个,但要记住这个端口,下次HTTP/TELNET到ADSL猫上时需要相应更改登陆的 端口。 注:修改后需要保存并重启:管理(admin)-保存和重启(Commit & Reboot)-保存配置
重复一下上文,很多人不注意看这个,搞的自己很郁闷: 这样修改的话,每次登陆配置页面的话,就不是80端口了,应该是: http://192.168.1.1:61080(61080是你修改的新...什么了就用什么) telnet登陆也不是23端口了,是:telnet 192.168.1.1 61023 后面的端口,一样,就是你修改的TELNET新端口号; 2。通过RDR映射,使外部对ADSL猫开放端口的攻击转移到内部 在adsl猫上做4个rdr映射,将外网对adsl猫的21/23/69/80端口的访问映射到内网一个不用 的ip上,转移攻击的ip包。 具体操作参看:http://www.516600.com/cgi-bin/lb5000/topic.cgi?forum=54&topic=25 注:其中21/23/69/80端口分别对应 FTP/TELNET/TFTP/HTTP服务。 3。打开ADSL猫的防火墙功能 点击服务service-防火墙firewall-将攻击保护attack protection和DOS保护由禁止改为 许可。 对于在Service页面中没有防火墙Firewall的用户,按如下方法开启防火墙。 1。进入DOS界面 2。键入telnet 192.168.1.1 (如果您有修改端口号,请加上 端口号,如 telnet 192.168.1.1 61023) 3。出现Login:键入帐号(如adsl) 4。出现Password : 键入密码(如adsl1234) 5。出现$ 键入 modify fwl global attackprotect enable 6。出现$ 键入 modify fwl global dosprotect enable 7。出现$ 键入commit
以上3个尽可能都使用
3。升级ADSL猫的FIRMWARE 网上有提供新版ADSL FIRMWARE的地方(如下面的2个网站),更新到最新的FIRMWARE可以 避免这样的问题,但是升级有风险,而且各个品牌的FIRMWARE没理清,大家看清楚了再升级。
现在网上讨论此事很多,以下是相关的网站,上面的相关细节可以参见这2个论坛:
官方论坛: 华硕 asus netq论坛: http://netq.asus.com.cn/inside.asp?ptype=%...baf%u4ea7%u54c1
非官方论坛: 你我de论坛区->【 宽带技术交流区 】 http://www.516600.com/cgi-bin/lb5000/forum...ms.cgi?forum=54
另外提醒: 打开路由模式的ADSL猫,请修改其登陆密码。路由模式下的猫,其配置用的HTTP/TELNET 都是对外开放的。外网的人,也可以登陆到你ADSL猫上,如果密码还是默认的话,很容易被 无聊的人登陆进,并修改。
--------------------------------------------------------------------------------- 5。胡思乱想 --------------------------------------------------------------------------------- 这次的ADSL猫出问题让我想到了2件事情: 1。ADSL猫出问题后,网上盛传:电信搞鬼、电信和华硕联盟搞鬼等等传言,甚至还搞的 “群情激奋”的样子。没有必要的,好好坐下来分析分析,查出问题所在才是首要的事情。 当然,现在还没完全的排除这个可能性,但现在就开始叫嚷“打倒电信”是否过早? 2。另外我觉得这次事情只是个开始,而不是结束。现在使用嵌入式系统的电子产品越来 越多了,上网的电子产品越来越多了。 这些东西除了给我们带来方便之外,是否本身也包含 了一些问题? 比如,现在炒作的一个东西就是智能家电、智能家居,如智能的微波炉、洗衣机等等等等 ,这些东西都内嵌OS,都连网,现在很多大牌公司也都推出了相应的产品。 我都能预感到未来一天的末日来临: a。全球的大部分家庭的空调都收到攻击,开足了取暖,造成电力系统瘫痪; b。中国的大部分家庭的厨房电器都受到攻击,无法启动,上亿人涌向饭店餐馆,而饭馆 餐厅也受到攻击,超市里食品抢购一空,上亿人饿着肚子过夜。 c。某省所有智能大楼服务器收到攻击,千万住户无法开启房门,涌向宾馆,或者流浪街头; 。。。。 哈哈,瞎想的,好像太过丰富了。。。。 你家的猫如何了,没出问题吧,出问题的暂时搞好了吧?
--------------------------------------------------------------------------------
关于近期PPPoE路由故障的解决方法汇总
方法一、 把80、21、23、69端口分别建RDR映射,映射到不存在的IP上。 具体操作参看 http://www.516600.com/cgi-bin/lb5000/topic...rum=54&topic=25
方法二、 1。打开Modem的防护墙:点击服务-防火墙-将攻击保护和DOS保护由禁止改为许可 注意:有的版本没有防火墙选项。 2。更改端口:点击管理-端口设置-将现有HTTP,Telnet,FTP端口加上61000,变为61080,61023,61021。或者更改为其它的端口号。让扫描软件不能轻易扫描到即可。 上面两种方式请尽量都做。然后点击管理-保存和重启-保存配置。
附加一点: 方法二中: 修改了 HTTP端口,保存重启后,登陆配置主页要用http://192.168.1.1:61080(你修改的新HTTP端口),默认的80端口已经没有HTTP服务了。(好多人问这个) 同样,修改了TELNET端口,保存重启后,登陆TELNET要用telnet 192.168.1.1 61023(你修改的新TELNET端口),默认的23端口已经没有TELNET服务了。
另外,有些傻瓜式的配置软件连接ADSL猫好像是通过TELNET口的,修改了TELNET口后,这些配置软件就无法登陆了(软件里没法设定登陆端口)
不过好像有人只改了TELNET口就不死猫了,可能问题出在TELNET上。
--------------------------------------------------------------------------------
|
|