|
|
|
Тема
|
 Как се спира смърф?
|
|
| Автор |
sp2 (непознат
) |
| Публикувано | 22.03.07 21:59 |
|
|
Здравейте,
Имам един леко сериозен въпрос. Искам да знам, по какъв начин се спира този постоянен смърфинг на който е подложен рутера ми (или може би връзката ми).
Като за начало, да уточня характеристики: рутера е 3com Wi-Fi ADSL Office Connect. Напълно апдейтнат, що се отнася до софтуер. От няколко седмици имам проблеми с линията ми и след разговор с техници от ИСП-то ми, отново имам интернет връзка, но и те не са наясно от какво точно се е получило това прекъсване. Линията е ADSL 4 Mb.
След като миналия ден ми оправиха уж връзката, снощи отново оставам без нет, но рутера сигнализира, че висчко е ок. Проблемът започна с не достъп до настройките на рутера. След дълги минути включване и изключване на различни кабели и оправяне на настройки в Inet Connections успявам да се добера до страницата на рутера и за моя изненада откривам някакъв страхотен УДП флууд из логовете на рутера от сорта на:
03/21/2007 02:07:51 **UDP Flood to Host** 192.168.1.2, 3802->> 87.126.118.204, 50623 (from ATM1 Outbound)
Продължението на това е SYN flood като:
TCP ACCESSDENIED:1858 83.146.14.42:1246 SYN_SENT
TCP ACCESSDENIED:1859 83.112.12.172:61386 SYN_SENT
TCP ACCESSDENIED:1860 82.40.125.158:13660 SYN_SENT
*И други произволни Айпи-Адреси...
Рутерът ми изписваше следното през секунди:
03/21/2007 23:54:53 **Smurf** 169.254.255.255->> 169.254.209.114, Type:3, Code:3 (from ATM1 Outbound)
*169.254.209.114 е някакво АйПи за автоматична конфигурация което и аз незнам какво точно значи. Нямам си и на представа кой и по какъв начин е могъл да го смени. След като първоначалния ЛАН адрес е 192.168.1.2.
Субнет маската беше също променена, и като Gateway към рутера нямаше никакъв посочен адрес (като фабрична стойност на адреса е 192.168.1.1), явно за да не може уиндоусът да го разпознае.
И следното смърфене е, както виждате, от днескашна дата:
03/22/2007 00:07:06 **Smurf** 192.255.255.255->> 192.168.1.2, Type:3, Code:3 (from LAN Outbound)
03/22/2007 00:07:04 **Smurf** 192.255.255.255->> 192.168.1.2, Type:3, Code:3 (from LAN Outbound)
03/22/2007 00:07:03 **Smurf** 192.255.255.255->> 192.168.1.2, Type:3, Code:3 (from LAN Outbound)
Разрових се в Уикипедиа на тема Смърф и открих, че това е някакъв масивен флууд на пакети към определена мрежа и система от компютри с цел недостиг на връзка за крайните клиенти, причинявайки снижение на скоростта и запълване на broadband-а. Следователно, тоя флууд като стига до сървъра го пренатоварва и интернет връзката се прекъсва и забранява.
Искам да знам има ли някакъв начин да разбера от къде идва тоз флууд, тъй-като въпросния смърф ползва някакви проксита и dyndns-и.
И, всъщност, дали клиентът е целта или сървъра? ИСП-то ми е известно с не-много красиви описания. И днес като им съобщих това, не бяха никак притеснени и операторката ми каза, че оправяли незнам си какво в централата. Но се питам това какво общо има...
Аз, като балък, не съм наясно с тези неща, така че ще се радвам, ако някой който по-разбира ми обясни цялата тази стратегия и по какъв начин се премахват този тип проблеми.
sp2
| |
|
Тема
|
 Re: Как се спира смърф?
[re: sp2]
|
|
| Автор |
AliBabach (heavy drinker) |
| Публикувано | 23.03.07 00:38 |
|
|
Да не си закачил още 2-3 съседа и да с те охлабили торентите да точат на максимум?
| |
|
Тема
|
Re: Как се спира смърф?
[re: sp2]
|
|
| Автор | ShaDoW (Нерегистриран) |
| Публикувано | 23.03.07 11:03 |
|
|
Явно виждаш толкова различни и много IP адреси, защото са *фалшиви*.
http://www.pentics.net/denial-of-service/white-papers/smurf.cgi
Тук има информация, как може да бъде спряно такова нещо.
Успех..
| |
|
Тема
|
Re: Как се спира смърф?
[re: AliBabach]
|
|
| Автор |
sp2 () |
| Публикувано | 23.03.07 15:12 |
|
|
Не, не съм, това е нелегално . Както казах, до сега нямах дори линия. Миналия ден ми я пуснаха, и от както ми я пуснаха, забелязах този смърфинг в лога... А за торенти, да не говорим, от 3 месеца насам нямам нищо ново даунлоднато заради постоянните прекъсвания ...
| |
|
Тема
|
Re: Как се спира смърф?
[re: ShaDoW]
|
|
| Автор |
sp2 () |
| Публикувано | 23.03.07 15:15 |
|
|
ShaDow, мерси, точно тази страница четях и аз в момента, дано разбера нещо...
| |
|
Тема
|
Re: Как се спира смърф?
[re: sp2]
|
|
| Автор |
Пeтъp_ (професора :)) |
| Публикувано | 24.03.07 23:51 |
|
|
може би някой съсед се опитва да се закачи към wi-fi-то
| |
|
Тема
|
Re: Как се спира смърф?
[re: Пeтъp_]
|
|
| Автор |
sp2 (forgotten) |
| Публикувано | 25.03.07 00:50 |
|
|
Няма такава възможност, понеже wi-fi функцията е деактивирана, освен, че каналът е кодиран и, че рутерът не е на удобно за ловене на вълна място. Просто си нямам обяснение, как е могло да стане това нещо. Имам едно съмнение. Значи, няколко часа преди да се прецака връзката с рутера, бях отворила портове за директна връзка през DC++, но не съм теглила абсолютно нищо. Възможно ли е някой кракер да се е възполвал от това? Но дори и да е станало така, просто не разбирам с каква цел го прави това. Ако аз само препредавам пинг пакетите, коя е крайната жертва? И защо на тия от ИСП-то ми изобщо не им пука? Все пак техните DNS сървари се прецакват....
sp2
| |
|
Тема
|
Re: Как се спира смърф?
[re: sp2]
|
|
| Автор |
AliBabach (heavy drinker) |
| Публикувано | 25.03.07 14:55 |
|
|
бях отворила портове за директна връзка през DC++
e oт тук ти идват всички проблеми, според мен, ти може да не си теглила, но отваряйки портовете предлагаш на други да теглят от теб. Верно че няма какво, но те са длъжни да проверят (правят го програмите автоматично на другите потребители)
| |
|
Тема
|
 Re: Как се спира смърф?
[re: AliBabach]
|
|
| Автор | ShaDoW (Нерегистриран) |
| Публикувано | 25.03.07 21:14 |
|
|
Да бе да..заради DC++ е НЕВЪЗМОЖНО да стане такова нещо. Замисли се, колко хора щяха да пропищят със същия проблем, ако ставаше просто заради това че ползваш DC++
Възможно е да се получи такова нещо и кофти конфигурация на доставчика ти. Според мен, проблемът е в доставчика ти. Още повече, незнам каква информация пазиш и обработваш при теб, че някой да те мъчи със седмици. Имаш проблема от мноого време явно.
Я им разкажи играта на тия, какво значение има дали някой те хаква, те са длъжни да осигурят услугата за която си плащаш, и тя да е на ниво. Един добре конфигуриран рутер няма да допусне такова нещо, каквото се получава при теб,бъди сигурен/сигурна!
| |
|
Тема
|
Мамчето на Майкрософт...
[re: ShaDoW]
|
|
| Автор |
sp2 (forgotten) |
| Публикувано | 04.04.07 21:02 |
|
|
Първо да се похваля, че оправих проблема за смърфинга. Второ да ви кажа, ако още не сте дочули какви мафиоти са тези от Microsoft ® ...
Трето, сега ще ви разкажа какво стана и какво става в момента...
Ами, както каза ShaDow, не е било от DC++. Говорих цели 40 мин с някакъв неграмотен оператор от ИСП-то ми и човечеца накрая ми каза "да се оправям". Т.е., че те не са отговорни за възможни кракерски атаки. Единственото за което са отговорни е да ми осигуряват динамично ИП 24 ч., 365 дена в годината - за жалост и това не го правят.
И си казах "sp, айде сега почваме с рутера"...
Разблокирах и отново блокирах всички възможни УДП портове. По такъв начин успях да спра УДП флууда към абсолютно всички външни ИП-та. Но смърфа продължаваше... Е, тогава се сетих за последните думи на неграмотния оператор. Бях го питала дали е жъзможно да си променя локал хоста и/или да мина на статично ИП. И ония ми обясни, че естествено, че можело. Да съм отваряла Интернет настройките на Уиндоуса и там да съм посочвала ново ИП към рутера. "Е, да, ама - викам му аз - ако барна там ИП-то няма да мога да си влезна изобщо в рутера". И ония ме уверява и осигурява, че, трябва от там да го сменя. Викам хубаво, затворих, и пробвам аз да слушам съвета на неграмотен оператор. И не мога, братко, не мога да се свържа с рутера, щото ми изписва "Duplicated administrator", което означава: "внимавай, че може да прецакаш рутера на комщията от горния етаж".
Усетих аз, че има нещо странно в тая интернет конфигурация, и пробвах да сетна автоматично засичане на ИП адреса. И познайте... с един Аплай ми засича ИП-то и се втурвам да видя какво става в лога. Че чудо ли беше, к'во беше, незнам, ама смърфинга автоматично спря.
Само че да уточня: предните дни проверявах много често това спууфено ИП какви ИП-та съдържа и на кого принадлежат. Най-интересното е, че всичките прелитаха атлантическия океан. т.е., свързваха се от УСА. Имаше даже разни университетски ИП-та. Копирах си лога и го пратих където трябва: на abuse@isp.com. И след 2 дена поучавам имейл, в който ми съобщават, че щали да прехвърлят предоставените от мен данни в отдела който се занимавал с тези неща... С няколко думи: "и мейли да ни пращаш, не ни интересува...".
Второто което трябва да уточня: забелязвали ли сте във Firewall -а на Уиндоус, че ICMP пингът е разрешен по defalut и не може да се деотметне по никакъв начин, освен блокирайки ТСП порт 445? За всеки случай, се погрижих и него да блокирам, но гледайте какво става когато има Ъпдейт на Уиндоус и същевременно порт 17690 на БитКомет е разрешен:
04/03/2007 01:33:40 **UDP Flood Stop** (from ATM1 Outbound)
04/03/2007 01:33:39 **UDP flood** 219.70.249.81, 45527->> 192.168.1.2, 17690 (from ATM1 Inbound)
04/03/2007 01:33:39 **UDP flood** 86.135.137.221, 50878->> 192.168.1.2, 17690 (from ATM1 Inbound)
04/03/2007 01:33:39 **UDP Flood (per Min) Stop** (from ATM1 Inbound)
04/03/2007 01:33:38 **UDP Flood (per Min)** 69.84.124.72, 52119->> 192.168.1.2, 17690 (from ATM1 Inbound)
04/03/2007 01:33:38 **UDP flood** 69.84.124.72, 52119->> 192.168.1.2, 17690 (from ATM1 Inbound)
04/03/2007 01:33:23 Reject packet from 192.168.1.2:17690 to 84.121.34.0:14923
04/03/2007 01:33:11 Reject packet from 192.168.1.2:17690 to 203.134.237.246:17953
04/03/2007 01:33:11 Reject packet from 192.168.1.2:17690 to 80.203.135.223:11385
04/03/2007 01:33:11 Reject packet from 192.168.1.2:17690 to 207.216.59.253:23379
04/03/2007 01:33:11 Reject packet from 192.168.1.2:17690 to 222.70.14.96:15174
04/03/2007 01:33:11 Reject packet from 192.168.1.2:17690 to 125.24.5.28:17186
04/03/2007 01:33:11 Reject packet from 192.168.1.2:17690 to 213.37.58.125:22001
04/03/2007 01:33:11 **UDP Flood (per Min)** 192.168.1.2, 17690->> 87.126.114.240, 48992 (from ATM1 Outbound)
04/03/2007 01:33:11 **UDP flood** 192.168.1.2, 17690->> 87.126.114.240, 48992 (from ATM1 Outbound)
04/03/2007 01:33:11 Reject packet from 192.168.1.2:17690 to 59.117.125.155:20834
04/03/2007 01:33:11 Reject packet from 192.168.1.2:17690 to 68.36.254.144:8686
04/03/2007 01:33:11 Reject packet from 192.168.1.2:17690 to 85.76.244.88:8817
Легенда: *192.168.1.2 е локоалното ми ИП. *17690 е default порта който използва Биткомет. *АТМ outbound e това което отива от ПАН мрежата на вън, т.е., пакетите които изпращам. *АТМ inbound e противоположното, т.е. пакетите които аз получавам. *След това флууда е спрян от двете страни.
Как пъх забелзях и следното, незнам:
04/03/2007 16:51:01 **UDP flood** 192.168.1.2, 3802->> 85.91.130.74, 1216 (from ATM1 Outbound)
Порт 3802, който 3 пъти погледнах, да не би да съм пропуснала да блокирам в рутера, и не. Същата вечер получавам аз известие за Ъпдейт на програма за валидиране на незнам си какъв фалшив уиндоуски код. Пишеше, че това трябва да се инсталира, за да може Уиндоусът да предпазва от разни пиратски програми, и че, инсталирайки ъпдейта невалидните копии ще имат правото на безплатен лиценз, за валидиране. Да, ама нямаше кой да се хване и не го инсталирах. Обаче, разбрах, че порт 3802 е този който Майкрософт използва.
До днес продължавам да reject-вам всички УДП пакети, включително и от този порт, но отворя ли БитКомет не съм застрахована от UDP flood от страна на Microsoft.
Последно да кажа, че тази сутрин пристига втори ъпдейт за сигурност на Уиндоус. Този път обесняват, че системата не била защитена от хакерски атаки, и че моя компютър бил изложен на голяма опасност ако не се инсталира незабавно. Консултирах и линка който посочват за по-вече информация относно ъпдейта, и в някака страница пише, че ако се инсталира, понеже не е достатъчно изпробван, има вероятност да ти прецака саунд картата, или по-точно RealTek.exe-to.
Ако ми правят някакъв номер за това, че не инсталирах "клопката", и остана без саунд карта, ще намеря начин да ги осъдя!
*Забележка: в страницата на Майкрософт, също има линк за "как се оправя, в случай, че има проблем след ъпдейта". Но за да изтеглиш пакета за поправка, трябва да имаш валидиран кей.
sp2
| |
|
| 
|
|
