|
 | 作者: qiuyang [qiuyang]
 版主 |
登录 |
| modem工作异常解决办法 最近国内很多地方反应网络受到攻击,导致很多采用adsl modem宽带接入方式的用户(上网方式为pppoe /pppoa /1483 固定ip+nat /1577 +nat)上网时出现使用一段时间后就无法使用、ping modem也无反应的现象。 我司经过测试发现确实存在此种情况,主要原因为:采用pppoe /pppoa /1483 固定ip+nat /1577 +nat方式接入,modem使用的IP均为公网IP,故一些网络恶意攻击者可以针对性地进行扫描、探测,然后进行攻击,耗尽modem资源,从而导致modem工作异常。我司的adsl modem系列产品在受到此类攻击后出现工作异常的设备仅有硬件版本为2110EH ROUTER V.4.50 / ROUTER V4.01,软件版本为:VIK-1.37.020524i/T93.3.13、VIK-1.37.020618i/T93.3.13、VIK-1.38.030131a13。主要原因为: ◆ 我司设备2110EHR v4.5原来为了让用户在全速(8M/1M)下达到最理想的使用情况,在设备中采用默认最低的安全级别; ◆ 用户在使用中网络安全意识不足,在配置路由共享方式下没有做任何的安全防范措施:更改root密码/更改或限制web/telnet的管理端口等,从而使modem毫无保护直接暴露在一些怀有恶意的攻击者面前。 针对此情况,我司提供以下几种解决方法: 为尽快使modem工作正常,方便用户,我司建议采用第1种方式 1、 起用modem防火墙功能(用户无须做原有配置更改): 为防止modem再受网络攻击,我司针对性地提出了解决方法,起用modem的防火墙功能。考虑用户使用方便,我们采取了结合配置程序来实现的方式,以下给出具体的操作步骤: ◆ 配置好PC 的ip ,然后运行配置程序 PC IP配置:打开网络连接 → 本地连接 → 属性 → Internet 协议(TCP/IP) 在上图中以win2000 pro为例,网卡ip配置成为: ● IP 地址: 192.168.10.234 (可为 2----254) ● 子网掩码(U):255.255.255.0 ● 默认网关:192.168.10.1 (为modem 的lan口IP) 配置计算机IP好后,请运行ADSL 配置程序。 ⊙ 指定adsl modem ip:由于用户可能根据自己需要更改了modem的ip,故需要在这里指出; ⊙ 点击 下一步(N)。 ⊙ 选择配置方式:我司已经生成一个专用文件start.GLBEHR,故选用用配置文件配置方式; ⊙ 选择下一步(N)。 ⊙ 点击请选择配置文件,然后指定文件start.GLBEHR的路径,点击打开; ⊙ 点击完成。 在下图中的信息只是配置程序自带,非从modem中读取得到,不影响modme的现有配置,只是增加起用 ipfilter功能及iptilter 对应的规则。 ⊙ 此时,可以看到一些modem的信息,然后,选择完成,此时可以看到配置程序把配置文件装载进modem。 ⊙ 点击确定,完成配置。 这样就完成了配置,起用了modem的防火墙功能,我们可以登陆到web中。状态灯为绿色的表示规则生效。 利用这些规则我们有效地禁止了来自wan口上的非法流量。 2、 不起用防火墙,提高modem的安全性: ⊙ 更改root用户的密码:web登入 → user config → 进行修改; ⊙ 更改web/telnet管理端口的知名端口号:web登入 → port settings → 进行修改; ⊙ 做映射,使用RDR做web/telnet/ftp/tftp等端口的映射,映射到一不存在的IP上: web登入 → Services → nat → Nat rule Entry →进行配置; ⊙ 做映射,使用BIMAP 做所有的端口映射,映射到一不存在的IP上: web登入 → Services → nat → Nat rule Entry →进行配置; 3、 升级软件: 这些设备较早在市场上投入使用,原来采用软件版本较低,如:VIK-1.37.020524i/T93.3.13、VIK-1.37.020618i/T93.3.13、VIK-1.38.030131a13等,我司将在近日开发、推出、发布新的软件,如用户需要,可以在5个工作日后自行到我司客服部门进行升级。 4、上述的几种解决方法,我司将在我司对外站点: www.star-net.com.cn上为用户提供,用户可以自行访问、下载。 |
| 地主 发表时间: 04-04-11 00:28 |
| 回复: qiuyang [qiuyang] 版主 |
登录 |
|
modify ipf global pubdefact accept modify ipf global pvtdefact deny modify ipf global dmzdefact accept create ipf rule entry ruleid 25 dir in act deny destaddr bcast seclevel high create ipf rule entry ruleid 27 dir in act deny destaddr eq 255.255.255.255 seclevel high create ipf rule entry ruleid 30 ifname private dir in act accept storestate enable seclevel high medium low create ipf rule entry ruleid 40 ifname private dir out srcaddr self act accept storestate enable seclevel high medium low create ipf rule entry ruleid 50 ifname private dir out inifname dmz transprot eq udp destport eq num 53 act accept storestate enable seclevel high medium low create ipf rule entry ruleid 60 ifname private dir out inifname dmz transprot eq tcp destport eq num 53 act accept storestate enable seclevel high medium low create ipf rule entry ruleid 70 ifname private dir out inifname dmz transprot eq tcp destport eq num 25 act accept storestate enable seclevel high medium low create ipf rule entry ruleid 80 ifname private dir out inifname dmz transprot eq tcp destport eq num 110 act accept storestate enable seclevel high medium low create ipf rule entry ruleid 90 ifname private dir out inifname dmz transprot eq tcp destport eq num 21 act accept storestate enable seclevel medium low create ipf rule entry ruleid 100 ifname private dir out inifname dmz transprot eq tcp destport eq num 80 act accept storestate enable seclevel medium low create ipf rule entry ruleid 110 ifname private dir out inifname dmz transprot eq tcp destport eq num 23 act accept storestate enable seclevel low create ipf rule entry ruleid 120 ifname private dir out inifname dmz transprot eq icmp act accept storestate enable seclevel low create ipf rule entry ruleid 130 ifname dmz dir out inifname private transprot eq tcp destport eq num 23 act deny seclevel high create ipf rule entry ruleid 140 ifname dmz dir out inifname public transprot eq udp destport eq num 53 act deny seclevel high create ipf rule entry ruleid 150 ifname dmz dir out inifname public transprot eq tcp destport eq num 53 act deny seclevel high create ipf rule entry ruleid 160 ifname dmz dir out inifname public transprot eq tcp destport eq num 21 act deny seclevel high create ipf rule entry ruleid 170 ifname dmz dir out inifname public transprot eq tcp destport eq num 23 act deny seclevel high medium low create ipf rule entry ruleid 180 ifname dmz dir out inifname public transprot eq icmp act deny seclevel high medium create ipf rule entry ruleid 190 ifname public dir out transprot eq tcp destport eq num 23 act deny seclevel high create ipf rule entry ruleid 200 ifname public dir out srcaddr self act accept storestate enable seclevel high medium low create ipf rule entry ruleid 210 ifname public dir in act deny destaddr bcast seclevel medium create ipf rule entry ruleid 220 ifname public dir in act deny destaddr eq 255.255.255.255 seclevel medium create ipf rule entry ruleid 230 ifname public dir in act deny transprot eq udp destport eq num 7 seclevel high medium create ipf rule entry ruleid 240 ifname public dir in act deny transprot eq udp destport eq num 9 seclevel high medium create ipf rule entry ruleid 250 ifname public dir in act deny transprot eq udp destport eq num 19 seclevel high medium create ipf rule entry ruleid 260 ifname public dir in destaddr self transprot eq tcp destport eq num 80 act deny seclevel high medium low create ipf rule entry ruleid 270 ifname public dir in destaddr self transprot eq udp destport eq num 53 act deny seclevel high create ipf rule entry ruleid 280 ifname public dir in destaddr self transprot eq tcp destport eq num 53 act deny seclevel high create ipf rule entry ruleid 290 ifname public dir in destaddr self transprot eq tcp destport eq num 21 act deny seclevel high medium low create ipf rule entry ruleid 300 ifname public dir in destaddr self transprot eq tcp destport eq num 23 act deny seclevel high medium low create ipf rule entry ruleid 310 ifname public dir in destaddr self transprot eq icmp act deny seclevel high medium create ipf rule entry ruleid 320 ifname public dir in destaddr self transprot eq udp destport eq num 53 act accept storestate enable seclevel medium low create ipf rule entry ruleid 330 ifname public dir in destaddr self transprot eq tcp destport eq num 53 act accept storestate enable seclevel medium low create ipf rule entry ruleid 340 ifname public dir in act deny isipopt yes seclevel high create ipf rule entry ruleid 350 ifname public dir in act deny isfrag yes seclevel high create ipf rule entry ruleid 360 ifname dmz dir in destaddr self transprot eq tcp destport eq num 80 act deny seclevel high medium create ipf rule entry ruleid 370 ifname dmz dir in destaddr self transprot eq tcp destport eq num 21 act deny seclevel high medium create ipf rule entry ruleid 380 ifname dmz dir in destaddr self transprot eq tcp destport eq num 23 act deny seclevel high medium create ipf rule entry ruleid 390 ifname dmz dir in act accept storestate enable seclevel high medium low modify ipf global seclevel medium 用telnet登录以后,自己输入也可。建议自己动手刷ADSL viking.。 自己感觉实达给的IP规则相对于其他的补丁更好一点,最后别忘了随便进入Web进行防火墙的设置。 |
| B1层 发表时间: 04-04-11 00:41 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 电脑门诊
标题: [转实达]针对2110EHRV4.5开路由共享受攻击