防止ADSL账号被巧取豪夺
添加时间: 2007-4-11 6:32:37 作者: 网络工程师认证参考 阅读次数:85 来源: http://www.d9soft.com
要盗取他人的adsl账号密码,或者恶意破坏别人的设备配置参数,就必须获得攻击对象的adsl modem登录口令,这样才能够登录adsl modem的web 管理 页面。
adsl的不 安全 因素:
通过物理地址能够轻松计算出本地区adsl上网ip地址段。
启用adsl路由功能默认打开web和ftp服务。
adsl默认简单用户名和密码。
1.确定攻击范围
电信为每个地区的上网用户都分配了几个ip地址段,每次在上网时都会获得不同的ip地址,这个ip地址位于被分配的ip地址段中,整个c段ip地址的用户都是处于同一地区的。大家可以根据自己地区的情况,适当地调节ip地址中的第二位数字,找到同一地区的上网用户ip。
2.寻找漏洞
要寻找有登录漏洞的adsl modem,需要用一些专业的扫描工具如x-scan等,扫描指定的这个ip地址范围内满足如下条件的ip:
a.同时开放了web和ftp服务的主机;
b.该ip主机存在着ftp弱口令漏洞。
扫描的主机要满足这两个条件的原因是:我们指定的ip地址段都是宽带拨号上网的个人用户,对于个人用户来说,在电脑上同时开放web和ftp服务的很少,很少有人利用动态的ip地址来建立网站或ftp站点的。但是我们在扫描时,可以发现存在着大量满足这两个条件的主机,这主要是由于启用adsl modem的路由功能后,默认会自动打开adsl modem的web和ftp服务功能,以方便用户对adsl modem进行设置。
用x-scan扫描器扫描同时满足上面两个条件的ip地址,扫描结束后自动弹出扫描结果页面,从扫描结果中可以迅速获得大量存在登录口令漏洞的adsl modem的ip地址(图1)。可以看到用户名与弱口令均为“root”,在后面登录该ip地址时,可以看到扫到的全是“globespanvirata”型号的adsl modem。
图1
进入adsl modem的管理页面后,可以找到设置拨号连接的配置页面。在管理页面中点击“主页”标签,接着点击其中的“快速设置”项,就可以看到pppoe拨号连接设置了。
在“ppp”下就可以看到adsl宽带账号(用户名)和以“*”号表示的密码了(图2),可以看到有7位密码。但由于是“*”号显示,我们怎么能够知道是哪7位密码呢?
图2
巧取法:查看网页源代码
在浏览器的菜单中点击“查看→源文件”,会打开一个记事本文件,其中包含了我们正在远程查看的adsl modem配置页面的源代码。
接下来,在记事本的菜单中点击“编辑→查找”,输入关键词“密码”进行查找。
在源文件中可以找到如下语句“密码:</td><td class=alignleft><input class="" id=macwanpasswd type=password maxlength=128 size=16 value=2227974 name=macwanpasswd>”,其中“value="2227974"”中的数值“2227974”就是用户的adsl密码。
豪夺法:数据嗅探
刚才所介绍的方法对于大部分的adsl modem来说是有效的,但是面对那些不能查看网页源代码的adsl modem,我们该怎么办?
此时应该采用比较强硬的办法夺取账号、密码。我们可以通过嗅探法,从adsl modem与本机传输的数据中揪出密码。
嗅探数据的工具很多,可以使用commview、sniffer pro等嗅探工具,但由于我们只要嗅探通过网页发送的数据,因此可以使用一些比较简单的工具,如“wsockexpert.exe”等。
我们可在wsockexpert窗口中间的嗅探窗口中找到第二行数据,点击这一行数据后会在下方的窗口中显示详细的数据信息。可以找到以下语句“macwanusrname=0852dsl2227974&macwanpasswd=2227974”,其中usrname后的值就是用户名,而passwd后的值就是密码(图3)。
图3
上面介绍了两个获取adsl上网账号和密码的方法,第一个方法比较简单,但是对某些adsl modem不一定适用;而第二个方法由于采用数据嗅探的方法,截获配置网页与adsl modem交换的数据,因此成功率是百分之百,对于各种类型的adsl modem,嗅探密码的方法都同样适用。
要防范别人盗取自己的adsl宽带上网账号密码,可以在adsl modem的配置页面中禁止远程ip的访问。具体的配置方法在下面将作介绍:
首先我们要修改adsl猫的默认登录用户名和密码,将它们设置得尽可能地复杂一些,避免入侵者使用扫描器之类的软件轻易破解出adsl配置页面的登录密码。
另外,入侵者要想盗取adsl上网账号,必须进入adsl猫的设置页面,而想要打开adsl猫配置页面,就必须通过adsl猫的80端口进行访问。因此,如果修改了adsl猫默认的web服务端口,或者禁止从internet上访问adsl猫,那么入侵者手段再高明,也无法盗取到你的上网账号。
以笔者使用的conexant的grt1500c 为例,进入配置页面后可以点击“高级 管理 ”中的“协议配置”项(如图4),在这里将“http服务器”设置为“限制”和“lan”,表示只允许从局域网中访问adsl猫。这样任何人都无法从internet上访问此adsl了。
图4
如果非要从internet上远程管理adsl猫,可以选择“wan”,指定一个固定的ip地址。经过设置以后,在internet上只有指定的这个ip才可以访问这台adsl猫。
入侵者在扫描和访问adsl猫时,一般都是通过80端口进行的。可将“http服务器端口”中默认的80端口改为81端口,这样也可以让adsl猫躲过搜索,避免成为入侵者的攻击目标。
此外“ftp服务器”和“tftp服务器”选项一定要选择为“禁用”,因为这两个功能对一般用户来说没有什么用,只是在升级adsl猫时才用得上。
对配置adsl猫感到头疼的用户,也有一个一劳永逸的最简单的方法,那就是关闭adsl modem的路由自动拨号功能,在windows系统中建立pppoe虚拟拨号连接上网。那样除非黑客入侵你的电脑,否则别想轻易拿到你的上网账号!
上一篇文章: 计算机网络技术填空题总结 (一) 下一篇文章: 网络管理员必须掌握的知识
相关文章: