ADSLModem防攻击“修炼秘技”(2)

3.映射不存在的端口
　　开启路由功能的ADSL Modem都是通过NAT映射方式来实现的，NAT映射可以把来自因特网上对ADSL Modem某个端口的连接转移到内网中某个IP地址指定的端口上。病毒或恶意攻击者一般都是针对ADSL Modem的几个典型端口(如135、139、445、3127等)进行攻击，我们可以尝试把这些端口的攻击全部转移到内网中一个实际不存在的IP上，从而减少因要处理大量连接而给ADSL Modem带来的负担。在一般的ADSL Modem中，我们可以通过RDR规则和BIMAP规则来把端口映射到不存在的IP上。

　　1)使用RDR规则映射

　　如何使用RDR将Web/Telnet/FTP/TFTP等端口映射到一个不存在的IP上呢?进入ADSL Modem的配置页面，点击“服务”标签，在“NAT设置”中选择“NAT Rule Entry”，然后点击“添加”按钮，添加RDR规则。以Web端口为例，我们把它映射到一个不存在的IP:192.168.1.100上(图4)，选择Rule Flavor为RDR，填入Rule ID，在本地IP地址的开始和结束分别填入192.168.1.100，在目标端口的起始值/终止值和本地端口中分别选择HTTP(80)，其他的选项都选择默认值即可。Telnet/FTP/TFTP端口可参照此设置。

2)使用BIMAP规则映射

　　使用BIMAP透明规则做所有的端口映射，将它们映射到一个不存在的IP。进入ADSL Modem的配置页面后，点击“服务”标签，在“NAT设置”中选择“NAT Rule Entry”，然后点击“添加”按钮，添加BIMAP规则。例如，我们把BIAMP规则映射到一个不存在的IP:192.168.1.200上。选择Rule Flavor为BIAMP，填入Rule ID，在本地IP地址的开始和结束分别填入192.168.1.200即可。

　　通过这样的设置，针对ADSL Modem的一般服务端口(或所有端口)进行的攻击，就被全部转移到内网中一个实际不存在的IP地址192.168.100(或200)上了。

　　4.升级固件

　　因为有些ADSL Modem在市场上投入的时间较早，原来采用的软件版本较低，在安全方面有一定的缺陷。现在有很多厂商在各自的主页上都有最新的固件程序提供下载，针对此类问题进行了修改，我们可通过升级ADSL Modem的固件来解决。具体的方法在厂商官方网站上都有介绍，笔者这里就不再详述了。