1。故障的情况
2004年 3月8日起(网上了解应该是中午开始),全国范围出现了部分adsl modem出现断流死猫
的问题。
出现此问题的adsl猫都有2个特征:
1。品牌各异,但基本上都使用Globespan的型号Viking或VikingII芯片(如比较常见的实达2110eh 4.5 4.6 4.7和华硕AAM6000EV A/J A/E A/G1等等),Conexant的芯片的也有少部分会出现
2.都启用了MODEM本身的PPPOE路由模式;
除了华硕之外,包括晨星、 实达 、斯达康的UT-300R华为MT800等部分型号的adsl猫都存在这个问题。
另外,据这些设备的官方和【你我de论坛区】论坛里了解,广东、广西,福州,天津、江苏、黑龙江等地都有类似情况出现,应该是全国范围大面积的出现。
2。问题的现象
出现问题的现象有4种:
0.断流情况严重,QQ网易泡泡等软件自动掉线,网页也突然无法打开,稍候不久可以继续连接上,公网IP不会改变。
1.五分钟到半小时adsl猫就死猫,ping adsl 猫的ip,一半通一半不通,时延都在千毫秒级。
网页打不开,但QQ/MSN等还经常能在线,偶尔还能收发消息。
2.频繁出现adsl链路断开重连(半小时内出现多次);
3.频繁出现atm vc拥塞;
3。可能的原因分析
首先一点:viking芯片或这套ADSL系统存在bug或者漏洞,这个基本是肯定的。(芯片处理能力太差)
1。电信搞鬼,利用adsl猫的漏洞打击路由模式上网的用户。
网络上很多人传言电信那边使用了一套叫做“网络尖兵”硬件来禁止用户使用路由功能。
电信搞鬼的可能性不大,全国范围(南方电信、北方网通)一起同时间搞鬼可能性更不大。
2。有病毒攻击。
病毒攻击adsl猫的可能性还是比较大的,ADSL猫好像就是内置一个精简OS的电子设备(
用专用软件扫描Viking系列的MODEM,显示为LINUX系统),包含http/ftp/tftp/telnet
服务,技术上讲没有漏洞是不可能的,也许是有新病毒流行(或者旧病毒又发作了),造成对
adsl系统的攻击,造成其死猫。
而adsl猫作为桥接时,外网对ip的访问都直接转到 pppoe拨号的pc上,ADSL猫制作转发,
自身不受攻击,因而ADSL不会出现问题(可以用防火墙软件监视一下是否有攻击)。
ADSL猫作为路由时,外面对ip的访问首先到达ADSL猫上,ADSL猫首当其冲,如果有攻击
,受攻击的就是adsl猫,由于MODEM本身的芯片处理能力不强,如果受到大量攻击数据的话,MODEM就会立马倒下。
再PING受到攻击后的ADSL时,一半通一半不通,PING通的时延也在千毫秒级以上。偶尔
能通,故MSN/QQ等软件还能暂时保持在线状态,有时还能收发成功消息。
如果是这样的话,ftp/tftp应该是只对内网开放的,可以将内网的电脑断开,检查病毒
。看adsl猫是否继续死机,以防攻击是由于内网的PC发起的。
telnet/http应该是对外也开放的,可以将对应的端口修改(amdin->port settings)
,不用默认的80和23。
http port: 61080(80, 61000-62000)
telnet port:61023(23, 61000-62000)
注:修改端口后,要保存一下,然后重启,才能生效。
并且,这样修改的话,每次登陆配置页面的话,就不是80端口了,应该是:
(61080是你修改的新端口号,改成什么了就用什么)
telnet登陆也不是23端口了,是:telnet 192.168.1.1 61023
后面的端口,一样,就是你修改的TELNET新端口号;
另外,一些傻瓜式的配置软件(如TP-LINK和实达提供的),好像是使用ADSL猫的TELNET口进行
配置的,修改了TELNET端口后,这些软件就连不上了(软件中默认就是登陆ADSL猫的23端口,
没有选择)
4。解决的办法
一.打开Modem的防护墙:点击服务-防火墙-将攻击保护和DOS保护由禁止改为许可
注意:有的版本没有防火墙选项。
二.更改端口:点击管理-端口设置-将现有HTTP,Telnet,FTP端口加上61000,变为61080,61023,61021。或者更改为其它的端口号。让扫描软件不能轻易扫描到即可。
上面两种方式请尽量都做。然后点击管理-保存和重启-保存配置。
英文:
注意:更改后的端口号要记住,以后访问Modem的配置页面使用如的地址
解决办法:
1.打开Modem的防火墙:点击服务service-防火墙firewall-将攻击保护attack protection和DOS保护由“关闭Disable”改为“许可Enable”后 点“submit”提交设置
注意:有的版本可能没有防火墙选项,请继续看下面。
2.更改端口:点击管理admin-端口设置Port settings-将现有HTTP,Telnet,FTP端口加上61100,变为61180,61123,61121。或者更改为其它的端口号。让扫描软件不能轻易扫描到即可。
上面两种方式请尽量都做。然后点击管理admin-保存和重启commit and reboot-保存配置(提交)
对于在Service页面中没有防火墙Firewall的用户,按如下方法开启防火墙。
1.进入DOS界面
2.键入telnet 192.168.1.1
(如果您有修改端口号,请加上 端口号,如 telnet 192.168.1.1 61023)
3.出现Login:键入帐号(如adsl)
4.出现Password : 键入密码(如adsl1234)
5.出现$ 键入 modify fwl global attackprotect enable
6.出现$ 键入 modify fwl global dosprotect enable
7.出现$ 键入commit
三.通过RDR映射,使外部对ADSL猫开放端口的攻击转移到内部
在adsl猫上做4个rdr映射,将外网对adsl猫的21/23/69/80或所有MODEM的端口的访问映射到内网一个不用的ip上,转移攻击的ip包。
在Service表单单击NAT,在NAT Option选择NAT Rule Entry。点击添加,并填入相应参数:
参数说明:
Rule Flavor: 规则种类
Basic Rule:提供保留IP到WAN IP的地址翻译,但是端口不发生变化
Filter Rule:象Basic Rule一样提供保留IP到公网IP的转换,但是这种翻译只有当本地相应IP发出访问特定IP和特定服务(Web/FTP)时才发生。
NAPT Rule:系统的出厂缺省设置。这种设置将局网的保留IP地址和端口翻译为公网的单一IP地址和在NAT全局配置中规定的端口。这种方式提供对LAN的最安全的保护。
Bimap Rule:此方式将局网中的某台PC(IP)完全透明对应到公网的IP,这样许多复杂的应用如MSN话音,网络游戏可以在这台PC正常运行。
RDR Rule:通过地址和端口的配置,使Internet上的用户可以通过访问路由器的广域网IP来访问内部网络提供的诸如Web Server或FTP Server服务。
Pass Rule:尽管很多设定的规则会翻译局网保留IP到公网IP,但可以通过设置PASS rule将某些固定IP不能翻译为WAN IP。
Rule ID: 判断地址翻译规则的序号,最小的序号最先执行,如有规则符合,不在向更高的ID判断执行。
IF Name: 请选择相应的广域网接口,如PPP,1483B等
Protocol: 选择相应协议(TCP/UDP/ICMP等)
Local Address From: 使用规则的本地IP起始值,如果选择全部则填0.0.0.0
Local Address To: 使用规则的本地IP终结值,如果是单一IP,填入IP起始值。如果选择全部则填255.255.255.0
Global Address From: 不用修改
Global Address To: 不用修改
Destination Port From: 目标IP的端口起始值
Destination Port To: 目标IP的端口终结值
Local Port: 本地IP端口
下面提供一个直接把所有MODEM的端口映射到局域网的一个IP去的图解(这个IP可有电脑使用也是可无电脑使用的)按照图中填写后点submit提交设置,记得还要到管理admin-保存和重启commit and reboot-保存配置(提交)
注:其中21/23/69/80端口分别对应 FTP/TELNET/TFTP/HTTP服务。
以上3个尽可能都使用
3。升级ADSL猫的FIRMWARE
网络上有提供新版ADSL FIRMWARE的地方(下面的网站),更新到最新的FIRMWARE可以避免这样的问题,但是升级有风险,升级后还是需要按照之前说的修改端口开启设备防火墙,而且各个品牌的FIRMWARE没理清前,请大家看清楚了再升级。
4。现在华硕和实达等MODEM厂商都推出了配置补丁文件来设置设备的IP过滤规则等暂时解决改类问题,下面提供华硕和实达两大主流ADSL设备的解决补丁(适用于viking系列芯片MODEM,比如华硕的A/E A/J A/Gx 实达的2110eh 4.5 4.6 4.7版)解压后按照说明打补丁。
华硕:
实达:
现在网上讨论此事很多,以下是最先提出解决方案的网站,上面的相关细节可以参见下面网站:
你我de论坛区->【 宽带技术交流区 】
另外提醒:
打开路由模式的ADSL猫,请修改其登陆密码。路由模式下的猫,其配置用的HTTP/TELNET
都是对外开放的。外网的人,也可以登陆到你ADSL猫上,如果密码还是默认的话,很容易被
无聊的人登陆进,并修改。
附录:
如何辨别你的设备是否是采用viking系列芯片
方法一:
登陆设备的WEB登陆识别:(如图红圈部分)
首先看Model:是否是viking或vikingII (部分厂家可能修改为别的)这个是最明显看是否是viking芯片的地方,如果你看到你的设备的界面格式和上面的截图很相似,这也可以不用犹豫了,你的设备99%就是viking系列芯片拉!那要如何知道设备的FIRMWARE版本号呢?这个就要看S/W Version这行了,图片上的是最新的VIK 2.1.04.03.11a版,一般比较常见的都是1.37或1.38的,其实版号中的VIK就是viking的简称拉!还有一个重要的辨别要大家了解的,这点在升级FIRMWARE的时候需要辨别你的设备是viking还是vikingII的芯片办法,这点很重要,因为两个芯片的FIRMWARE是不通用的,升级的时候搞错了就会导致设备损坏。如果是viking的芯片的话会在DSL Version这里出现的是T**.*.**开头的字眼,如果是vikingII芯片的则出现Y**.*.**开头。
方法二:
通过TELNET登陆识别:(如图)
图中很明显可以看到Viking的字样了吧,这个我就不多说了!VIK-2.1.040311a就是当前设备的FIRMWARE版本号,而GlobespanVirata就是viking芯片公司的全称。
上图是华硕的设备登陆界面,红框中的Titanium也是可以作为viking系列的标识。
5。题外话
这次的ADSL猫出问题让我们想到了2件事情:
1.ADSL猫出问题后,网上盛传:电信搞鬼、电信和华硕联盟搞鬼等等传言,甚至还搞的
“群情激奋”的样子。没有必要的,好好坐下来分析分析,查出问题所在才是首要的事情。
当然,现在还没完全的排除这个可能性,但现在就开始叫嚷“打倒电信”是否过早?这次
电信可就倒霉拉!刚好在3.15期间碰到这样的事情,不知情的客户一定大量打投诉电话投诉
电信,今年3.15“谁是最倒霉的人”我看就归电信夺冠拉!
2.另外我觉得这次事情只是个开始,而不是结束。现在使用嵌入式系统的电子产品越来
越多了,上网的电子产品越来越多了。 这些东西除了给我们带来方便之外,是否本身也包含
了一些问题?
比如,现在炒作的一个东西就是智能家电、智能家居,如智能的微波炉、洗衣机等等等等
,这些东西都内嵌OS,都连网,现在很多大牌公司也都推出了相应的产品。
我都能预感到未来一天的末日来临:
a.全球的大部分家庭的空调都收到攻击,开足了取暖,造成电力系统瘫痪;
b.中国的大部分家庭的厨房电器都受到攻击,无法启动,上亿人涌向饭店餐馆,而饭馆
餐厅也受到攻击,超市里食品抢购一空,上亿人饿着肚子过夜。
c.某省所有智能大楼服务器收到攻击,千万住户无法开启房门,涌向宾馆,或者流浪街头;