1.故障的情况
---------------------------------------------------------------------------------
3月8日起(网上了解应该是中午开始),全国范围出现了部分adsl modem出现断流及死猫
的问题。
出现此问题的adsl猫都有2个特征:
1.品牌各异,但都使用globespan的稍旧型号viking或vikingII芯片的ADSL MODEM(如比较常见的实达2110eh 4.5 4.6 4.7和华硕AAM6000EV A/J A/E A/G1等等 )。
2.都启用了MODEM本身的PPPOE路由模式;
除了华硕之外,包括晨星、 实达 、斯达康的UT-300R等部分型号的adsl猫都存在这个问题。
另外,据这些设备的官方和【你我de论坛区】http://www.516600.com论坛里了解,广东、广西,福州,天津、江苏、黑龙江等地都有类似情况
出现,应该是全国范围大面积的出现。
---------------------------------------------------------------------------------
2.问题的现象
---------------------------------------------------------------------------------
出现问题的现象有3种:
0.断流情况严重,QQ网易泡泡等软件自动掉线,网页也突然无法打开,稍候不久可以继续连接上,公网IP不会改变。
1.五分钟到半小时adsl猫就死猫,ping adsl 猫的ip,一半通一半不通,时延都在千毫秒级。
网页打不开,但QQ/MSN等还经常能在线,偶尔还能收发消息。
2.频繁出现adsl链路断开重连(半小时内出现多次);
3.频繁出现atm vc拥塞;
---------------------------------------------------------------------------------
3.可能的原因分析
---------------------------------------------------------------------------------
首先一点:viking或vikingII芯片的ADSL系统存在bug或者漏洞,这个基本是肯定的。
1。电信搞鬼,利用adsl猫的漏洞打击路由模式上网的用户。
电信搞鬼的可能性不大,全国范围(南方电信、北方网通)一起同时间搞鬼可能性更不大。
2。有病毒攻击。
病毒攻击adsl猫的可能性还是比较大的,adsl猫好像就是内置一个精简OS的电子设备(
其实设备本身的内核就是一个小型的LINUX系统),包含http/ftp/tftp/telnet
服务,技术上讲没有漏洞是不可能的,也许是有新病毒流行(或者旧病毒又发作了),病毒的
不断扫描造成对adsl系统的攻击,造成设备受不了不断的扫描而产生死猫。
而adsl猫作为桥接时,外网对ip的访问都直接转到 ppoe拨号的pc上,ADSL猫制作转发,
自身不受攻击,因而ADSL不会出现问题(可以用防火墙软件监视一下是否有攻击,我的PC近期
每小时都可以收到上万个攻击记录)。
ADSL猫作为路由时,外面对ip的访问首先到达adsl猫上,ADSL猫首当其冲,如果有攻击
,受攻击的就是adsl猫,这种带路由的ADSL设备是很脆弱的,受不了同时又大量的IP端口扫描
等攻击立马倒下拉。
再PING受到攻击后的ADSL时,一半通一半不通,PING通的时延也在千毫秒级以上。偶尔
能通,故MSN/QQ等软件还能暂时保持在线状态,有时还能收发成功消息。
如果是这样的话,ftp/tftp应该是只对内网开放的,可以将内网的电脑断开,检查病毒
。看adsl猫是否继续死机,以防攻击是由于内网的PC发起的。
telnet/http应该是对外也开放的,可以将对应的端口修改(amdin->port settings)
,不用默认的80和23。
http port: 61080(80, 61000-62000)
telnet port:61023(23, 61000-62000)
注:修改端口后,要保存一下,然后重启,才能生效。
并且,这样修改的话,每次登陆配置页面的话,就不是80端口了,应该是:
http://192.168.1.1:61080(61080是你修改的新端口号,改成什么了就用什么)
telnet登陆也不是23端口了,是:telnet 192.168.1.1 61023
后面的端口,一样,就是你修改的TELNET新端口号;
另外,一些傻瓜式的配置软件(如TP-LINK提供的),好像是使用ADSL猫的TELNET口进行
配置的,修改了TELNET端口后,这些软件就连不上了(软件中默认就是登陆ADSL猫的23端口,
没有选择)
(经过【你我de论坛区】的用户测试改了端口以后,已经2天没死猫了,后来又做试验,
发现 HTTP端口改回80也不会出问题,但TELNET口改回23端口就有问题了,估计是ADSL猫的
TELNET服务有漏洞。不过也不一定,从华硕网站上了解,现在监控下来ADSL猫的4个端口都有攻击)
---------------------------------------------------------------------------------
4。解决的办法
---------------------------------------------------------------------------------
根据网上的到的信息,总结有以下方法:
解决办法:
一.打开Modem的防护墙:点击服务-防火墙-将攻击保护和DOS保护由禁止改为许可
注意:有的版本没有防火墙选项。
二.更改端口:点击管理-端口设置-将现有HTTP,Telnet,FTP端口加上61000,变为61080,61023,61021。或者更改为其它的端口号。让扫描软件不能轻易扫描到即可。
上面两种方式请尽量都做。然后点击管理-保存和重启-保存配置。
英文:
注意:更改后的端口号要记住,以后访问Modem的配置页面使用如http://192.168.1.1:61080的地址
解决办法:
1.打开Modem的防火墙:点击服务service-防火墙firewall-将攻击保护attack protection和DOS保护由禁止改为许可
注意:有的版本没有防火墙选项。
2.更改端口:点击管理admin-端口设置port setting-将现有HTTP,Telnet,FTP端口加上61000,变为61080,61023,61021。或者更改为其它的端口号。让扫描软件不能轻易扫描到即可。
上面两种方式请尽量都做。然后点击管理admin-保存和重启commit and reboot-保存配置(提交)
3.对于在Service页面中没有防火墙Firewall的用户,按如下方法开启防火墙。
1.进入DOS界面
2.键入telnet 192.168.1.1
(如果您有修改端口号,请加上 端口号,如 telnet 192.168.1.1 61023)
3.出现Login:键入帐号(如adsl)
4.出现Password : 键入密码(如adsl1234)
5.出现$ 键入 modify fwl global attackprotect enable
6.出现$ 键入 modify fwl global dosprotect enable
7.出现$ 键入commit
重复一下上文,很多人不注意看这个,搞的自己很郁闷:
这样修改的话,每次登陆配置页面的话,就不是80端口了,应该是:
http://192.168.1.1:61080(61080是你修改的新端口号,改成什么了就用什么)
telnet登陆也不是23端口了,是:telnet 192.168.1.1 61023
后面的端口,一样,就是你修改的TELNET新端口号;
三.通过RDR映射,使外部对ADSL猫开放端口的攻击转移到内部
在adsl猫上做4个rdr映射,将外网对adsl猫的21/23/69/80端口的访问映射到内网一个不用
的ip上,转移攻击的ip包。
具体操作参看:http://www.516600.com/cgi-bin/lb5000/topic.cgi?forum=54&topic=25
注:其中21/23/69/80端口分别对应 FTP/TELNET/TFTP/HTTP服务。
以上3个尽可能都使用
四.升级ADSL猫的FIRMWARE
网上有提供新版ADSL FIRMWARE的地方(下面的2个网站),更新到最新的FIRMWARE可以
避免这样的问题,但是升级有风险,而且各个品牌的FIRMWARE没理清,大家看清楚了再升级。
现在网上讨论此事很多,以下是相关的网站,上面的相关细节可以参见这2个论坛:
官方论坛:
华硕 asus netq论坛:
http://netq.asus.com.cn/inside.asp?ptype=%u901a%u8baf%u4ea7%u54c1
非官方论坛:
你我de论坛区->【 宽带技术交流区 】
http://www.516600.com/cgi-bin/lb5000/forums.cgi?forum=54
另外提醒:
打开路由模式的ADSL猫,请修改其登陆密码。路由模式下的猫,其配置用的HTTP/TELNET
都是对外开放的。外网的人,也可以登陆到你ADSL猫上,如果密码还是默认的话,很容易被
无聊的人登陆进,并修改。