拒絕不安全因素—斬斷伸向ADSL Modem的黑手

領測軟件測試網

　　 
　　轉移攻擊
　　ADSL Modem獲取了公網的IP地址，當攻擊發生時，如果開啟了路由方式，對該IP地址的攻擊將全部由Modem承受。對于SOHO環境下的ADSL Modem，由于芯片處理數據能力的制約，突發的大量攻擊數據很容易造成Modem的死機。

我們可以在ADSL Modem中做端口映射，將外網對Modem的21/23/69/80或所有的端口的訪問映射到內網一個不存在的IP地址上，轉移攻擊數據包。
　　
　　1.通過RDR映射
　　進入ADSL Modem的配置頁面后，點擊“服務”標簽，在“NAT設置”中選擇“NAT Rule Entry”，然后點擊[添加]按鈕，添加RDR規則。以Web端口為例，我們將其映射到一個不存在的IP地址（192.168.1.200）上（圖1），選擇Rule Flavor為RDR，填入Rule ID，在本地IP地址的開始和結束分別填入192.168.1.200，在目標端口的起始值/終止值和本地端口中分別選擇HTTP（80），其他選項都選擇默認值即可。然后將其他的Telnet/FTP/TFTP端口也做RDR映射。
　　　安全因素—斬斷伸向ADSL Modem的黑手（圖一）" />
　　圖1 NAT規則添加界面
　　
　　2.通過BIMAP映射
　　使用BIMAP規則映射能把某個局域網IP地址透明地映射到公網，我們可以使用BIMAP規則來映射一個局域網內不存在的IP地址到公網IP地址上，以轉移對ADSL Modem的攻擊。進入ADSL Modem的配置頁面后，點擊“服務”標簽，在“NAT設置”中選擇“NAT Rule Entry”，然后點擊[添加]按鈕，添加BIMAP規則。例如，我們把BIAMP規則映射到一個不存在的IP：192.168.1.200上。選擇Rule Flavor為BIAMP，填入Rule ID，在本地IP地址的開始和結束分別填入192.168.1.200即可。
　　
　　提高安全意識
　　用戶安全意識不足也是導致被攻擊的原因之一，例如某一款型號的ADSL Modem在出廠時都是使用的一個相同的用戶名與密碼，我們從Modem的說明書中可以查找得到，許多用戶在平常的使用過程中根本就沒有更改過這個用戶名與密碼，這樣網絡上的病毒或惡意攻擊者就輕易地獲得了對ADSL Modem的絕對控制權力，更容易造成大的損失。
　　
　　1.更改管理員用戶的密碼
　　有兩種方法可以更改管理員用戶的密碼，一是使用Telnet，登錄后在命令行提示符下使用Passwd命令進行修改，這個比較簡單，不再詳述。另外就是在Web配置頁面中修改，具體的步驟為：
　　
　　進入ADSL Modem的配置頁面后，點擊“管理”標簽，在“用戶設置”在點擊Root用戶的修改符號（圖2），然后再鍵入原來的密碼和新密碼，點擊[提交]按鈕更改設置。
　　　
　　圖2 用戶密碼設置界面
　　
　　2.更改管理端口
　　一般在ADSL Modem中都提供了HTTP/FTP/TFTP/Telnet服務，可以通過修改它們的默認端口來提高系統的安全性。進入ADSL Modem的配置頁面后，點擊“管理”標簽，在“端口設置”中更改HTTP、Telnet和FTP端口。我們把HTTP端口修改為61080，Telnt端口修改為61023，FTP端口修改為61021（圖3）。這樣修改的話，每次登錄配置頁面使用的就不是80端口了，應該是http://192.168.1.1:61080（61080為修改的新端口號）；Telnet登錄也不是23端口了，而是telnet 192.168.1.1 61023。注意，一些Modem的配置軟件（如TP-Link和實達提供的配置軟件），是使用Telnet默認端口進行配置的，如果我們修改了ADSL Modem的Telnet端口后，這些軟件就連不上了，但在配置軟件中沒有端口的選擇。
　　
　　圖3 端口設置界面

文章來源于領測軟件測試網 http://www.kjueaiud.com/