關於 PPPoE 路由工作模式斷流的原因及解決辦法

[psac]

使用globespan的稍舊型號viking或vikingII晶片容易掉線的問題。如果你的ADSL是這一款晶片並使用它的內裝路由功能，就需要開啟防火牆及修改它的預設連接阜。防止黑客和病毒攻擊。

近來，很多用戶反映使用華碩 AAM6000EV VIKING系列 ADSL 路由器，工作於 PPPoE 路由模式時，在比較短的時間內出現不能上網，ping 不通路由器乙太網接頭 IP 的情況。
現經過初步分析判定，該現象是由於有人對路由器廣域網連接阜進行掃瞄或者採用操作系統攻擊等造成的，導致系統忙於相應廣域網的訪問而不能正常回應區域網路絡客戶端個人電腦的上網要求。
我們已經在華碩相關技術支持網站上，公佈開啟路由器防火牆的方法。很多用戶已經正常使用。

--------------------
關於華碩ADSL Modem工作於PPPoE路由遭受攻擊之安全問題解決方案

事由: 華碩ADSL Modem在廣東地區爆發大規模在線中斷連線的現象, 廣東電信要求華碩電腦即刻提出此問題的相關說明及解決方案。
Modem硬體型號 Modern軟體版本 在遭受攻擊後，PPPoE連接是否會連接不暢
AAM6000EV ST 71205a20 不會
AAM6005HW 71205a20 不會
AAM6000EV A/E GLGB0235 M1 V1.10 是
AAM6000EV A/J GLGB0235 M1 V1.10138314-CN-E 是
AAM6000EV A/G1 138314-CN-E 是
AAM6000EV A/G3 138030917a26.0-GEN0CE 是
AAM6000EV A/G5 138030917a26.0-GEN1CE 是

---------------------
華碩應處理:
1. 問題說明:
經過華碩內部驗證分析, 華碩ADSL Modem在廣東電信所出現的現象實是遭到黑客惡意攻擊。由於目前華碩ADSL Modem預設值中並未啟動防火牆和IP過濾功能, 在此情形下, 黑客能先利用連接阜掃瞄軟體得知Modem現行執行中的連接阜, 爾後使用攻擊軟體大量傳送封包給這些連接阜, 造成ADSL 在線頻寬被大量佔用, 及Modem本身的資源利用率減低甚至無法回應使用者。
此現象並不會發生在ADSL Modem設定為電信局要求的橋接模式之下, 因為在橋接模式下, 黑客攻擊會直接指向使用者的電腦, 而此時對攻擊的阻擋則是靠使用者本身的電腦是否有安裝防毒軟體。一旦修改ADSL Modem的設定為路由模式, 且又未啟動防火牆的功能, 黑客是得以透過上述方式來對Modem加以惡意攻擊, 這種狀況並非只發生在華碩ADSL Modem, 而是可能發生在所有英特網上擁有Public IP address的設備上。
2. 解決方案:
針對部分使用者會自行將ADSL Modem預設的橋接模式修改為路由模式, 華碩將會提供啟動防火牆功能的軟體, 透過此軟體的自動設定模式, 使用者無需自行進入Modem來設定防火牆規則。但因此軟體的目的主在解決Modem於路由模式下遭到攻擊的問題, 假使使用者已自行修改ADSL Modem預設的IP address（192.168.1.1)或Login用戶名與密碼, 導致軟體無法與ADSL Modem溝通成功, 務請使用者先自行將ADSL Modem回復出廠預設值後再進去行防火牆的進階設定。

-------------------------
解決辦法:
將個人電腦的 IP 設定為與 ADSL 調製解調器同一網段（如:192.168.1.2)
一:　A/E的設定
1.　A/E的bios版本V1.10


2.　　A/E防火牆的開啟
英文版本在網路界面上沒有提供防火牆選項，所有版本都可以通過下列操作來開啟 ADSL 　調製解調器防火牆。
A. 進入DOS視窗界面
B. 鍵入telnet 192.168.1.1

C. 出現登入：鍵入 adsl （輸入調製解調器用戶名）
D. 出現密碼：鍵入 adsl1234 （輸入調製解調器密碼）
E出現$鍵入modify fwl global attackprotect enable （開啟防火牆的攻擊保護)
F.出現$ 鍵入modify fwl global dosprotect （開啟防火牆的DOS保護）
G.出現$ 鍵入 commit （ 儲存設定）

8。出現$鍵入get fwl global Enter鍵後顯示：
Attack Protection: Enable
Dos Protection　（說明防火牆已經開啟）

3.A/E的IP過濾
..進入網頁設定界面--->service--->選項IP過濾
安全層級: low 公共預設的行為:　accept
私人預設的行為: accept DMZ預設的行為:　deny
B.設完後點選提交按鈕
C.點選admin--->點選commit&reboot--->點選提交


2．增加新規則
Rule ID: （可以自訂) Action: deny
Direction: incoming（ PPPOE所在接頭)
Security Level: low
Protocol: eq TCP
Dest Port: eq 80
其他選項：預設設定

點選提交
點選Admin--->點選commit&reboot
點選儲存
A/J的英文版本V1.10和/E的V1.10設定是一樣的。

二：A/G1的設定
開調製解調器的防護牆：將攻擊保護和Dos保護由禁止改為許可
　方法1：對中文版本：將PC的IP設定為與ADSL　調製解調器同一網段（如:192.168.1.2)，進入調製解調器設定界面－然後點擊服務－防火牆－將攻擊保護和Dos保護由禁止改為許可
1. A/G1 bios版本138314A-CN-e
2. 　A/G1防火牆的開啟
A．進入DOS系統界面
B．鍵入 telnet 192.168.1.1 （若調製解調器　IP更改了，可通過連續按三次RESET鍵恢復出廠設定)
C．出現登入：adsl（輸入調製解調器用戶名）
D．出現密碼：adsl1234（輸入調製解調器密碼）
E．出現$modify　 fwl　 global attackprotect enable（開啟防火牆的攻擊保護）
F．出現$modify 　fwl 　global 　dosprotect enable　（開啟防火牆的Dos保護）
G．出現$ commit（儲存設定）
H．出現$ get fwl globalEnter鍵後顯示：
Attack Protection: Enable
Dos Protection: Enable　（說明防火牆已經開啟）


3．A/G1的IP過濾
進入網頁設定界面--->選項IP過濾
安全層級: low 　公共預設的行為:　accept
私人預設的行為:　accept DMZ預設的行為:　deny
點選提交

2．增加規則
方向：進入區域網路 規則：deny
規則號碼：（可以定義1） 接頭：PPPOE所在接頭
安全性選項：low
傳輸協定：eq TCP
目的連接阜：eq http 80
其他選項：預設設定
點選提交
點選管理--->選項儲存&重新啟動


A/J的中文版本138314-CN-e和A/G1的138314-CN-e的設定是一樣的。

三：A/G3的設定
1.A/G3的bios版本



2.A/G3防火牆的開啟
A．進入DOS系統界面
B．鍵入 telnet 192.168.1.1 （若調製解調器　IP更改了，可通過連續按三次RESET鍵恢復出廠設定)
C．出現登入：adsl（輸入調製解調器用戶名）
D．出現密碼：adsl1234（輸入調製解調器密碼）
E．出現$ modify fwl global attackprotect enable　（開啟防火牆的攻擊保護）
F．出現$ modify fwl global dosprotect enable　　（開啟防火牆的Dos保護）
G．出現$commit（儲存設定）
H．出現$get fwl globalEnter鍵後顯示：
Attack Protection: Enable
Dos Protection: Enable　（說明防火牆已經開啟）






3.　A/G3的IP過濾設定
A.進入網頁設定界面--->service--->選項IP過濾
安全層級:low 公共預設的行為:accept
私人預設的行為:accept DMZ預設的行為:deny
B.設完後點選提交按鈕



2.增加新規則
方向：進入 規則：deny
規則號碼：（可以自訂） 接頭：PPPOE所在接頭
安全性選項：low
傳輸協定：eq TCP
目的連接阜：eq http 80
其他選項：預設設定

點選管理--->點選提交和重啟--->點選提交

以上操作可以完全阻擋廣域網的攻擊。
開啟防火牆和增加IP過濾規則兩種方式都請做。