大面积ADSL出现死猫中场总结,分析及联想

kangoo

【你家ADSL出问题了嘛】大面积ADSL出现死猫中场总结,分析及联想
---------------------------------------------------------------------------------
1。故障的情况
---------------------------------------------------------------------------------
    3月8日起(网上了解应该是中午开始)，全国范围出现了部分adsl modem出现断流及死猫
的问题。
    出现此问题的adsl猫都有2个特征：
    1。品牌各异，但都使用globespan的稍旧型号viking芯片（如华硕AAM6000EV A/J ）。
    2。都启用了路由模式；
    极其不幸，偶的晨星的网际快车adsl(SR-DSL-AE)都符合上面 2 条件，也出现问题。
    除了华硕之外，包括晨星、 实达 等部分型号的adsl猫都存在这个问题。
    另外，据这些论坛里了解，广东、广西，福州，天津、江苏、黑龙江等地都有类似情况
出现，应该是全国范围大面积的出现。
---------------------------------------------------------------------------------
2。问题的现象
---------------------------------------------------------------------------------
出现问题的现象有3种：
1。十分钟到半小时adsl猫就死猫，ping adsl 猫的ip，一半通一半不通，时延都在千毫秒级。
   网页打不开，但QQ/MSN等还经常能在线，偶尔还能收发消息。
2。频繁出现adsl链路断开重连（半小时内出现多次）；
3。频繁出现atm vc拥塞；
---------------------------------------------------------------------------------
3。可能的原因分析
---------------------------------------------------------------------------------
首先一点：viking芯片或这套ADSL系统存在bug或者漏洞，这个基本是肯定的。
1。电信搞鬼，利用adsl猫的漏洞打击路由模式上网的用户。
   电信搞鬼的可能性不大，全国范围（南方电信、北方网通）一起同时间搞鬼可能性更不大。
2。有病毒攻击。
     病毒攻击adsl猫的可能性还是比较大的，adsl猫好像就是内置一个精简OS的电子设备（
我扫描我的晨星网际快车大黑猫SR-DSL-AE，显示为LINUX系统），包含http/ftp/tftp/telnet
服务，技术上讲没有漏洞是不可能的，也许是有新病毒流行（或者旧病毒又发作了），造成对
adsl系统的攻击，造成其死猫。
     而adsl猫作为桥接时，外网对ip的访问都直接转到 ppoe拨号的pc上，ADSL猫制作转发，
自身不受攻击，因而ADSL不会出现问题（可以用防火墙软件监视一下是否有攻击）。
     ADSL猫作为路由时，外面对ip的访问首先到达adsl猫上，ADSL猫首当其冲，如果有攻击
，受攻击的就是adsl猫，如果攻击的正好是ADSL的要害，立马倒下。
     再PING受到攻击后的ADSL时，一半通一半不通，PING通的时延也在千毫秒级以上。偶尔
能通，故MSN/QQ等软件还能暂时保持在线状态，有时还能收发成功消息。
     如果是这样的话，ftp/tftp应该是只对内网开放的，可以将内网的电脑断开，检查病毒
。看adsl猫是否继续死机，以防攻击是由于内网的PC发起的。
     telnet/http应该是对外也开放的，可以将对应的端口修改（amdin-＞port settings）
，不用默认的80和23。
    http port: 61080(80, 61000-62000)
    telnet port:61023(23, 61000-62000)
注：修改端口后，要保存一下，然后重启，才能生效。
    并且，这样修改的话，每次登陆配置页面的话，就不是80端口了，应该是：
    http://192.168.1.1:61080(61080是你修改的新端口号，改成什么了就用什么)
    telnet登陆也不是23端口了，是：telnet 192.168.1.1 61023
    后面的端口，一样，就是你修改的TELNET新端口号；
   
    另外，一些傻瓜式的配置软件（如TP-LINK提供的），好像是使用ADSL猫的TELNET口进行
配置的，修改了TELNET端口后，这些软件就连不上了（软件中默认就是登陆ADSL猫的23端口，
没有选择）
（我改了端口以后，已经2天没死猫了，后来又做试验，发现 HTTP端口改回80也不会出问题，
但TELNET口改回23端口就有问题了，估计是ADSL猫的TELNET服务有漏洞。不过也不一定，从
华硕网站上了解，现在监控下来ADSL猫的4个端口都有攻击）
---------------------------------------------------------------------------------
4。解决的办法
---------------------------------------------------------------------------------
根据网上的到的信息，以及我的做法，有以下方法：
1。更改ADSL猫的HTTP、TELNET端口，以免被病毒轻易攻击到
   将admin-> port setting中 HTTP、TELNET的服务端口更换掉，使用61000~62000中任意一
个，但要记住这个端口，下次HTTP/TELNET到ADSL猫上时需要相应更改登陆的 端口。
   注：修改后需要保存并重启：管理(admin)－保存和重启(Commit & Reboot)－保存配置
重复一下上文，很多人不注意看这个，搞的自己很郁闷：
    这样修改的话，每次登陆配置页面的话，就不是80端口了，应该是：
    http://192.168.1.1:61080(61080是你修改的新端口号，改成什么了就用什么)
    telnet登陆也不是23端口了，是：telnet 192.168.1.1 61023
    后面的端口，一样，就是你修改的TELNET新端口号；
   
2。通过RDR映射，使外部对ADSL猫开放端口的攻击转移到内部
   在adsl猫上做4个rdr映射，将外网对adsl猫的21/23/69/80端口的访问映射到内网一个不用
的ip上，转移攻击的ip包。
   具体操作参看：http://www.516600.com/cgi-bin/lb5000/topic.cgi?forum=54&topic=25
   
   注：其中21/23/69/80端口分别对应 FTP/TELNET/TFTP/HTTP服务。
   
3。打开ADSL猫的防火墙功能
   点击服务service－防火墙firewall－将攻击保护attack protection和DOS保护由禁止改为
许可。
   对于在Service页面中没有防火墙Firewall的用户，按如下方法开启防火墙。
   1。进入DOS界面
   2。键入telnet 192.168.1.1
     (如果您有修改端口号，请加上 端口号，如 telnet 192.168.1.1 61023)
   3。出现Login：键入帐号（如adsl）
   4。出现Password ： 键入密码（如adsl1234）
   5。出现$ 键入 modify fwl global attackprotect enable
   6。出现$ 键入 modify fwl global dosprotect enable
   7。出现$ 键入commit
以上3个尽可能都使用
3。升级ADSL猫的FIRMWARE
    网上有提供新版ADSL FIRMWARE的地方（如下面的2个网站），更新到最新的FIRMWARE可以
避免这样的问题，但是升级有风险，而且各个品牌的FIRMWARE没理清，大家看清楚了再升级。

现在网上讨论此事很多，以下是相关的网站，上面的相关细节可以参见这2个论坛：
官方论坛：
华硕 asus netq论坛：
http://netq.asus.com.cn/inside.asp?ptype=%u901a%u8baf%u4ea7%u54c1
非官方论坛：
你我de论坛区->【 宽带技术交流区 】
http://www.516600.com/cgi-bin/lb5000/forums.cgi?forum=54
另外提醒：
    打开路由模式的ADSL猫，请修改其登陆密码。路由模式下的猫，其配置用的HTTP/TELNET
都是对外开放的。外网的人，也可以登陆到你ADSL猫上，如果密码还是默认的话，很容易被
无聊的人登陆进，并修改。
---------------------------------------------------------------------------------
5。胡思乱想
---------------------------------------------------------------------------------
    这次的ADSL猫出问题让我想到了2件事情：
    1。ADSL猫出问题后，网上盛传：电信搞鬼、电信和华硕联盟搞鬼等等传言，甚至还搞的
“群情激奋”的样子。没有必要的，好好坐下来分析分析，查出问题所在才是首要的事情。
当然，现在还没完全的排除这个可能性，但现在就开始叫嚷“打倒电信”是否过早？
   
    2。另外我觉得这次事情只是个开始，而不是结束。现在使用嵌入式系统的电子产品越来
越多了，上网的电子产品越来越多了。 这些东西除了给我们带来方便之外，是否本身也包含
了一些问题？
    比如，现在炒作的一个东西就是智能家电、智能家居，如智能的微波炉、洗衣机等等等等
，这些东西都内嵌OS，都连网，现在很多大牌公司也都推出了相应的产品。
    我都能预感到未来一天的末日来临：
    a。全球的大部分家庭的空调都收到攻击，开足了取暖，造成电力系统瘫痪；
    b。中国的大部分家庭的厨房电器都受到攻击，无法启动，上亿人涌向饭店餐馆，而饭馆
       餐厅也受到攻击，超市里食品抢购一空，上亿人饿着肚子过夜。
    c。某省所有智能大楼服务器收到攻击，千万住户无法开启房门，涌向宾馆，或者流浪街头；
    。。。。
   
    哈哈，瞎想的，好像太过丰富了。。。。 :em06:
   
   
你家的猫如何了，没出问题吧，出问题的暂时搞好了吧？

nitcat

作者想像力好丰富.

YES东

好文章

goingchan

viking系列的安全问题一直都在说的了。。。可惜就是没什么人重视过呀。。。都别说端口问题了。。。就那默认的密码，一半人以上是没改的。。。安全意识跟不上呀。。。

zhou026

我的(A/J)就是这样搞我都不知它有咩问题,,后我自已搞掂,,,后又上网才知这么多人都是这样..

goingchan

这两天出断线问题的人多呀，下BT都没那么爽了

YES东

下面引用由goingchan在 2004/03/11 10:22pm 发表的内容：
这两天出断线问题的人多呀，下BT都没那么爽了

呵呵！我这几天重装系统都装惨了

goingchan

下面引用由YES东在 2004/03/11 10:29pm 发表的内容：
呵呵！我这几天重装系统都装惨了

我现在想起“重装系统”四个字就心烦。。。装的东西太多(主要是要注册的东东太多)。。。做次彻底的重装，简直是恶梦。。。还好，平时维护得当，系统没出什么问题。。

BOYMZJ

改了端口后,开了4个映射,并开了防火墙，到是不掉了，但下载速度好象变慢了，经常从100多k掉到20，30k，怎么办啊？是放火墙的关系吗？可以关吗？
IF Name any
Protocol all
请问IF Name，Protocol all 要选具体的选项吗？我是选的“any”和“all”有问题吗？谢谢，急啊

gwuming

辛苦楼主了~可是我的A/J昨天按楼主的方法设了还是会出现断流的问题，今天换了个G1不知道会不会好些~