ADSLModem防攻擊“修煉秘技”(2)

3.映射不存在的端口
    開啟路由功能的ADSL Modem都是通過NAT映射方式來實現(xiàn)的，NAT映射可以把來自因特網(wǎng)上對ADSL Modem某個端口的連接轉(zhuǎn)移到內(nèi)網(wǎng)中某個IP地址指定的端口上。病毒或惡意攻擊者一般都是針對ADSL Modem的幾個典型端口(如135、139、445、3127等)進行攻擊，我們可以嘗試把這些端口的攻擊全部轉(zhuǎn)移到內(nèi)網(wǎng)中一個實際不存在的IP上，從而減少因要處理大量連接而給ADSL Modem帶來的負擔。在一般的ADSL Modem中，我們可以通過RDR規(guī)則和BIMAP規(guī)則來把端口映射到不存在的IP上。
    1)使用RDR規(guī)則映射
    如何使用RDR將Web/Telnet/FTP/TFTP等端口映射到一個不存在的IP上呢?進入ADSL Modem的配置頁面，點擊“服務”標簽，在“NAT設置”中選擇“NAT Rule Entry”，然后點擊“添加”按鈕，添加RDR規(guī)則。以Web端口為例，我們把它映射到一個不存在的IP:192.168.1.100上(圖4)，選擇Rule Flavor為RDR，填入Rule ID，在本地IP地址的開始和結(jié)束分別填入192.168.1.100，在目標端口的起始值/終止值和本地端口中分別選擇HTTP(80)，其他的選項都選擇默認值即可。Telnet/FTP/TFTP端口可參照此設置。
     2)使用BIMAP規(guī)則映射
    使用BIMAP透明規(guī)則做所有的端口映射，將它們映射到一個不存在的IP。進入ADSL Modem的配置頁面后，點擊“服務”標簽，在“NAT設置”中選擇“NAT Rule Entry”，然后點擊“添加”按鈕，添加BIMAP規(guī)則。例如，我們把BIAMP規(guī)則映射到一個不存在的IP:192.168.1.200上。選擇Rule Flavor為BIAMP，填入Rule ID，在本地IP地址的開始和結(jié)束分別填入192.168.1.200即可。
    通過這樣的設置，針對ADSL Modem的一般服務端口(或所有端口)進行的攻擊，就被全部轉(zhuǎn)移到內(nèi)網(wǎng)中一個實際不存在的IP地址192.168.100(或200)上了。
    4.升級固件
    因為有些ADSL Modem在市場上投入的時間較早，原來采用的軟件版本較低，在安全方面有一定的缺陷?，F(xiàn)在有很多廠商在各自的主頁上都有最新的固件程序提供下載，針對此類問題進行了修改，我們可通過升級ADSL Modem的固件來解決。具體的方法在廠商官方網(wǎng)站上都有介紹，筆者這里就不再詳述了。