[原创]再谈ADSL路由功能上网断流问题，追踪断流源头

YES东

LBHIDDEN[0]LBHIDDEN[这个贴子最后由YES东在 2004/04/23 10:34pm 第 3 次编辑]

[watermark]
[color=#DC143C]

已投稿，禁止随意转贴

    相信各位使用ADSL路由功能上网的用户还记得2004年 3月8日起，全国范围出现了部分adsl modem出现断流死猫的问题吧。汕尾e网－你我的论坛区[http://www.516600.com]率先提出了解决方案并在网络上网友广为流传，从这次事件后网络上出现了多种说法，常见的说法有：
1、电信方面采用了“网络尖兵”这套设备来禁止用户使用ADSL的路由共享上网。
2、受到国外黑客攻击。
3、大型病毒爆发。
现在我们就从这三点来分析：
1、这次断流的用户有中国电信，中国网通，中国铁通等的ADSL用户，基本上都是同时发生断流情况，几个电信公司没可能做到那么齐心同时采用“网络尖兵”这套设备来禁止ADSL用户采用路由功能上网，所以这次断流事件的源头可以肯定的说不关电信方面的原因引起。那到底是什么原因引起的呢？别急，继续看下面的分析！
2、大规模黑客攻击？？？同时受到黑客的攻击也是没多大可能，而且攻击的时间长达连续好几天，虽然通过检测查到有不少IP不断的攻击，从防火墙记录的IP中得知攻击IP来之各个地方，大多都是国内的。但我想这些黑客没理由吃饱没事干统一的这么长的时间这么大规模的一起来攻击ADSL路由上网的小用户吧！这个说法也是可以排除。
3、3、现在就剩下这个第三点拉！不用我说大家也猜到答案了吧！没错，这次的断流源头就来之于网络病毒！大家一定会说：“你说病毒就病毒啊！我们为什么要信你？”早就知道大家会这么想的拉！所以我已经准备好了证明材料，呵呵！经过多人反映说自己已经按照汕尾e网－你我的论坛区[http://www.516600.com]说的解决方案做了端口映射还有开启设备的防火墙但还是继续出现断流，那里说的方案没半点效果。经过我们测试发现的确是出现有这种问题，但我们确信我们的方案没什么技术上的错误问题，这个可以从网络上这么多位采用该方案的用户口中可以得知。但为什么会有个别一部分用户采用该方案会无效呢？我们通过多方测试得到一个结果 － 有内鬼。我们这套方案可以防止一切外网的攻击，但是日防夜防，家贼难防。由于采用ADSL路由共享上网的用户一般都会有5-10部机，属于一个小型的局域网。这些电脑在平时的时候没注意安全维护，导致局域网内的计算机中了病毒，这些病毒不断的在局域网和外网发出攻击数据，导致ADSL设备瘫痪或产生断流。但具体是什么病毒造成这次断流事件的呢？笔者在一个只有四台电脑的小型局域网采用华硕A/G1的内置PPPOE路由功能上网并做了端口映射还有开启设备内置的防火墙进行测试，测试过程中设备还是出现频繁的瘫痪和断流问题，我们通过杀毒软件对四台电脑进行杀毒并打上微软的最新补丁后重启整个网络恢复正常使用，我们在的测试结果中发现了最值得可疑的病毒：VirusName:Worm.Agobot.3.hx.enc
高波变种3T/3N（Worm.Agobot.3. ***）：蠕虫病毒，通过网络传播。该病毒变种极多，目前已有几十个变种。它通过扫描网络的方式对存在漏洞的计算机进行攻击，感染局域网，使网络瘫痪。同时它还会使用户无法正常使用OFFICE软件，无法进行复制、粘贴等。另外，它还会偷盗许多正版软件的序列号、杀掉几十家反病毒公司的上百种反病毒程序，给计算机用户带来严重的经济损失。
这些蠕虫利用多种漏洞进行自我传播，其中包括：
网络共享上脆弱的密码
DCOM RPC 漏洞（在 Microsoft Security Bulletin MS03-026 中介绍），使用 TCP 端口 135 和 445  
WebDav 漏洞（在 Microsoft Security Bulletin MS03-007 中介绍），使用 TCP 端口 80
这些数据和我们之前用防火墙得来的大量IP攻击数据的端口完全吻合，所以我们有足够证据证明这次断流事件的元凶就是该病毒。笔者在这里建议各位为自己的爱机装上防毒软件来防止病毒对自己或别人的电脑的伤害。这里提供两款“高波”病毒的专杀工具的下载，希望可以帮到大家。更多的ADSL问题欢迎上笔者论坛交流：http://www.516600.com/
瑞星公司“高波”病毒专杀工具
http://download.rising.com.cn/zsgj/ravblaster.exe
金山公司“高波”病毒专杀工具
http://download.duba.net/download/othertools/Duba_Agobot.EXE
推荐大家使用：
http://www.516600.com/cgi-bin/lb5000/topic.cgi?forum=46&topic=937&show=0
这里所说的杀毒软件和网络防火墙
                                                         叶楚东◎YES东
                                                         2004 – 4 - 23
[color=#DC143C]

已投稿，禁止随意转贴

[/watermark]

hhhhuu

VIKING I和II的问题已经升级了FIREWARE解决了，不过现在已经用带无线的ADSL MODEM了，VIKING已经不用了。

wenqi

分析的非常正确,我也认为这次事件是病毒搞的鬼,是不是Agobot还需要进一步确认.

jor

病毒有没有可能是电信或者网通弄的呢

YES东

下面引用由jor在 2004/04/23 09:43pm 发表的内容：
病毒有没有可能是电信或者网通弄的呢

病毒当然不是拉！这个病毒并不是单纯攻击ADSL MODEM的！很多网络设备都因此瘫痪

padola

个人认为除了楼主说的原因外,还可能存在以下几点;
1、线路问题：譬如线路老化、附近有干扰源、接地不良、布线施工不规范导致MODEN收到的数据丢失严重
2、MODEN本身存在的设计、制造缺陷：a、电源 大家知道，从电源适配器上出来的直流电是不太纯净的，需要进一步滤波净化、稳压。很多中小品牌为了降低成本在元器件选择上往往不尽人意。就拿我所用的晨兴大黑猫来说电源适配器上标称7V1000MA其实在空载时输出可以到10V左右，而在猫内部的稳压线路上所用的电解电容耐压也为10V。稍有电子常识的人都知道，这样的话电容很容易发烫。如果电容稍微质量差一点，很快就会被击穿或漏液。实际在使用过程中也是这样，只要环境温度稍高或者网络负载太大，马上就会陷入死机状态。
b、FW设计缺陷：这个问题坛子上有很多帖子在讨论，就不再赘述
c、硬件设计缺陷：MODEN主板设计不规范、或者贪图省事直接拿公板当作定型产品上市，不出问题那才是奇迹
   综上所述引起断流的原因很多，在出现问题时要多动脑筋，才能根本上解决问题
   以上均为个人观点，欢迎各位探讨

枫之舞6

呵呵，谢谢老大的分析

wenqi

下面引用由padola在 2004/04/24 11:27am 发表的内容：
个人认为除了楼主说的原因外,还可能存在以下几点;
1、线路问题：譬如线路老化、附近有干扰源、接地不良、布线施工不规范导致MODEN收到的数据丢失严重
2、MODEN本身存在的设计、制造缺陷：a、电源 大家知道， ...

同意!!!

gqh741001

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!请教大侠!我用adsl宽带路由器Tel6606共享上网,但是每次上网要打开126的邮箱时,输入用户名时,总是提示用户名和密码错误.而在连接广域网的电脑上却可以上126邮箱.这是什么原因.!!!!!!!!!

YES东

下面引用由padola在 2004/04/24 11:27am 发表的内容：
个人认为除了楼主说的原因外,还可能存在以下几点;
1、线路问题：譬如线路老化、附近有干扰源、接地不良、布线施工不规范导致MODEN收到的数据丢失严重
2、MODEN本身存在的设计、制造缺陷：a、电源 大家知道， ...

我说的是这次断流时间的问题！并非其他的线路还有干扰问题