全国性大面积ADSL MODEM掉线问题，怀疑是受到病毒或人为攻击

YES东

LBHIDDEN[0]LBHIDDEN[这个贴子最后由YES东在 2004/03/14 06:27pm 第 1 次编辑]

---------------------------------------------------------------------------------
1.故障的情况
---------------------------------------------------------------------------------
   3月8日起(网上了解应该是中午开始)，全国范围出现了部分adsl modem出现断流及死猫
的问题。
   出现此问题的adsl猫都有2个特征：
   1.品牌各异，但都使用globespan的稍旧型号viking或vikingII芯片的ADSL MODEM（如比较常见的实达2110eh 4.5 4.6 4.7和华硕AAM6000EV A/J A/E A/G1等等 ）。
   2.都启用了MODEM本身的PPPOE路由模式；
   除了华硕之外，包括晨星、 实达 、斯达康的UT－300R等部分型号的adsl猫都存在这个问题。
   另外，据这些设备的官方和【你我de论坛区】http://www.516600.com论坛里了解，广东、广西，福州，天津、江苏、黑龙江等地都有类似情况
出现，应该是全国范围大面积的出现。
---------------------------------------------------------------------------------
2.问题的现象
---------------------------------------------------------------------------------
出现问题的现象有3种：
0.断流情况严重，QQ网易泡泡等软件自动掉线，网页也突然无法打开，稍候不久可以继续连接上，公网IP不会改变。
1.五分钟到半小时adsl猫就死猫，ping adsl 猫的ip，一半通一半不通，时延都在千毫秒级。
  网页打不开，但QQ/MSN等还经常能在线，偶尔还能收发消息。
2.频繁出现adsl链路断开重连（半小时内出现多次）；
3.频繁出现atm vc拥塞；
---------------------------------------------------------------------------------
3.可能的原因分析
---------------------------------------------------------------------------------
首先一点：viking或vikingII芯片的ADSL系统存在bug或者漏洞，这个基本是肯定的。
1。电信搞鬼，利用adsl猫的漏洞打击路由模式上网的用户。
  电信搞鬼的可能性不大，全国范围（南方电信、北方网通）一起同时间搞鬼可能性更不大。
2。有病毒攻击。
    病毒攻击adsl猫的可能性还是比较大的，adsl猫好像就是内置一个精简OS的电子设备（
其实设备本身的内核就是一个小型的LINUX系统），包含http/ftp/tftp/telnet
服务，技术上讲没有漏洞是不可能的，也许是有新病毒流行（或者旧病毒又发作了），病毒的
不断扫描造成对adsl系统的攻击，造成设备受不了不断的扫描而产生死猫。
    而adsl猫作为桥接时，外网对ip的访问都直接转到 ppoe拨号的pc上，ADSL猫制作转发，
自身不受攻击，因而ADSL不会出现问题（可以用防火墙软件监视一下是否有攻击，我的PC近期
每小时都可以收到上万个攻击记录）。
    ADSL猫作为路由时，外面对ip的访问首先到达adsl猫上，ADSL猫首当其冲，如果有攻击
，受攻击的就是adsl猫，这种带路由的ADSL设备是很脆弱的，受不了同时又大量的IP端口扫描
等攻击立马倒下拉。
    再PING受到攻击后的ADSL时，一半通一半不通，PING通的时延也在千毫秒级以上。偶尔
能通，故MSN/QQ等软件还能暂时保持在线状态，有时还能收发成功消息。
    如果是这样的话，ftp/tftp应该是只对内网开放的，可以将内网的电脑断开，检查病毒
。看adsl猫是否继续死机，以防攻击是由于内网的PC发起的。
    telnet/http应该是对外也开放的，可以将对应的端口修改（amdin-＞port settings）
，不用默认的80和23。
   http port: 61080(80, 61000-62000)
   telnet port:61023(23, 61000-62000)
注：修改端口后，要保存一下，然后重启，才能生效。
   并且，这样修改的话，每次登陆配置页面的话，就不是80端口了，应该是：
   http://192.168.1.1:61080(61080是你修改的新端口号，改成什么了就用什么)
   telnet登陆也不是23端口了，是：telnet 192.168.1.1 61023
   后面的端口，一样，就是你修改的TELNET新端口号；
   
   另外，一些傻瓜式的配置软件（如TP-LINK提供的），好像是使用ADSL猫的TELNET口进行
配置的，修改了TELNET端口后，这些软件就连不上了（软件中默认就是登陆ADSL猫的23端口，
没有选择）
（经过【你我de论坛区】的用户测试改了端口以后，已经2天没死猫了，后来又做试验，
发现 HTTP端口改回80也不会出问题，但TELNET口改回23端口就有问题了，估计是ADSL猫的
TELNET服务有漏洞。不过也不一定，从华硕网站上了解，现在监控下来ADSL猫的4个端口都有攻击）
---------------------------------------------------------------------------------
4。解决的办法
---------------------------------------------------------------------------------
根据网上的到的信息，总结有以下方法：
解决办法：
一.打开Modem的防护墙：点击服务－防火墙－将攻击保护和DOS保护由禁止改为许可
注意：有的版本没有防火墙选项。
二.更改端口：点击管理－端口设置－将现有HTTP，Telnet，FTP端口加上61000，变为61080，61023，61021。或者更改为其它的端口号。让扫描软件不能轻易扫描到即可。
上面两种方式请尽量都做。然后点击管理－保存和重启－保存配置。
英文：
注意：更改后的端口号要记住，以后访问Modem的配置页面使用如http://192.168.1.1:61080的地址
解决办法：
1.打开Modem的防火墙：点击服务service－防火墙firewall－将攻击保护attack protection和DOS保护由禁止改为许可
注意：有的版本没有防火墙选项。
2.更改端口：点击管理admin－端口设置port setting－将现有HTTP，Telnet，FTP端口加上61000，变为61080，61023，61021。或者更改为其它的端口号。让扫描软件不能轻易扫描到即可。
上面两种方式请尽量都做。然后点击管理admin－保存和重启commit and reboot－保存配置(提交）
3.对于在Service页面中没有防火墙Firewall的用户，按如下方法开启防火墙。
  1.进入DOS界面
  2.键入telnet 192.168.1.1
    (如果您有修改端口号，请加上 端口号，如 telnet 192.168.1.1 61023)
  3.出现Login：键入帐号（如adsl）
  4.出现Password ： 键入密码（如adsl1234）
  5.出现$ 键入 modify fwl global attackprotect enable
  6.出现$ 键入 modify fwl global dosprotect enable
  7.出现$ 键入commit
重复一下上文，很多人不注意看这个，搞的自己很郁闷：
   这样修改的话，每次登陆配置页面的话，就不是80端口了，应该是：
   http://192.168.1.1:61080(61080是你修改的新端口号，改成什么了就用什么)
   telnet登陆也不是23端口了，是：telnet 192.168.1.1 61023
   后面的端口，一样，就是你修改的TELNET新端口号；
   
三.通过RDR映射，使外部对ADSL猫开放端口的攻击转移到内部
  在adsl猫上做4个rdr映射，将外网对adsl猫的21/23/69/80端口的访问映射到内网一个不用
的ip上，转移攻击的ip包。
  具体操作参看：http://www.516600.com/cgi-bin/lb5000/topic.cgi?forum=54&topic=25
  
  注：其中21/23/69/80端口分别对应 FTP/TELNET/TFTP/HTTP服务。
以上3个尽可能都使用
四.升级ADSL猫的FIRMWARE
   网上有提供新版ADSL FIRMWARE的地方（下面的2个网站），更新到最新的FIRMWARE可以
避免这样的问题，但是升级有风险，而且各个品牌的FIRMWARE没理清，大家看清楚了再升级。

现在网上讨论此事很多，以下是相关的网站，上面的相关细节可以参见这2个论坛：
官方论坛：
华硕 asus netq论坛：
http://netq.asus.com.cn/inside.asp?ptype=%u901a%u8baf%u4ea7%u54c1
非官方论坛：
你我de论坛区->【 宽带技术交流区 】
http://www.516600.com/cgi-bin/lb5000/forums.cgi?forum=54
另外提醒：
   打开路由模式的ADSL猫，请修改其登陆密码。路由模式下的猫，其配置用的HTTP/TELNET
都是对外开放的。外网的人，也可以登陆到你ADSL猫上，如果密码还是默认的话，很容易被
无聊的人登陆进，并修改。
---------------------------------------------------------------------------------
5。题外话
---------------------------------------------------------------------------------
   这次的ADSL猫出问题让我们想到了2件事情：
   1.ADSL猫出问题后，网上盛传：电信搞鬼、电信和华硕联盟搞鬼等等传言，甚至还搞的
“群情激奋”的样子。没有必要的，好好坐下来分析分析，查出问题所在才是首要的事情。
当然，现在还没完全的排除这个可能性，但现在就开始叫嚷“打倒电信”是否过早？这次
电信可就倒霉拉！刚好在3.15期间碰到这样的事情，不知情的客户一定大量打投诉电话投诉
电信，今年3.15“谁是最倒霉的人”我看就归电信夺冠拉！
   
   2.另外我觉得这次事情只是个开始，而不是结束。现在使用嵌入式系统的电子产品越来
越多了，上网的电子产品越来越多了。 这些东西除了给我们带来方便之外，是否本身也包含
了一些问题？
   比如，现在炒作的一个东西就是智能家电、智能家居，如智能的微波炉、洗衣机等等等等
，这些东西都内嵌OS，都连网，现在很多大牌公司也都推出了相应的产品。
   我都能预感到未来一天的末日来临：
   a.全球的大部分家庭的空调都收到攻击，开足了取暖，造成电力系统瘫痪；
   b.中国的大部分家庭的厨房电器都受到攻击，无法启动，上亿人涌向饭店餐馆，而饭馆
      餐厅也受到攻击，超市里食品抢购一空，上亿人饿着肚子过夜。
   c.某省所有智能大楼服务器收到攻击，千万住户无法开启房门，涌向宾馆，或者流浪街头；
     ....
   
   哈哈，瞎想的，好像太过丰富了。。。。  

YES东

该帖是从kangoo的大面积ADSL出现死猫中场总结,分析及联想修正而来。

bighorse

看过了，很有用，已经修改了MODEM设置

kangoo

呵呵，谢谢坛主，希望对大家有用。

weixingno1

谢谢摊主，按你的方法已经10小时左右没断流了，继续观察中。

yumiko

好YES，我是新手呀！！请大家多指教呀！！我都想升级呀1！

jyfch

谢谢摊主，按你的方法已经5小时左右没断流了，再用几天看看。

hbhwdm

我上来就是为了这个问题，YES东第一时间已经帮我解决了！

weixingno1

已经有18、9个小时没断流了，刚才打电话问电信的，回答比较暧昧，最后说什么他们的设备不太支持路由；我估计是电信搞鬼的可能性大。

junjie6

曝光！！曝光！！！！！刚刚得到的最新确凿消息，我的一位在电信的朋友秘密告诉我，近段时间（特别是这个月初以来）电信确实在通过相关软件控制我们ADSL＋路由多人共享上网！！！！！他XX的电信不得好死！！！！！