Re: [OT:] Problémy s LAN - zaskodnik v siti?

Pavel Kutina hw na prelude.cz
Sobota Říjen 20 22:40:42 CEST 2018 

Tak stále kvoká, stále kvoká... Situace zatím beze změn (tedy i v HW), jen 
se mi podařilo modem/router nastavit tak, že už omezuje i užitečné služby :)

Každopádně jsem ho dostal do stavu, kdy asi tak čtvrt hodiny předtím, než 
lehne, zahlásí mailem "Your device is under attack.', bohužel ale nepřipojí 
log, takže tam prd vidím a po tvrdém restartu je log prázdný. Tu a tam se 
podaří něco zachytit, když zareaguju včas, pak ten záznam vypadá takhle:

[attack] Oct 20 07:49:08 kern.alert kernel: IN=ppp2.3 OUT= MAC= 
SRC=212.118.253.117 DST=89.24.134.67 LEN=44 TOS=0x00 PREC=0x00 TTL=4 ID=0 DF 
PROTO=ICMP TYPE=8 CODE=0 ID=34199 SEQ=11 MARK=0x10000000

Adresy SRC se samozřejmě liší, DST je moje veřejná. Netušíte někdo, co se s 
tím dá dělat?

Pavel Kutina



----- Original Message ----- 
From: Michal Grunt
To: HW-news
Sent: Thursday, October 18, 2018 6:38 AM
Subject: RE: [OT:] Problémy s LAN - zaskodnik v siti?


Jestli to nemělo souvislost s timto…
https://www.root.cz/clanky/jak-prezit-planovanou-udrzbu-dns-v-rijnu-se-meni-klice-korenove-zony/


Od: Pavel Kutina
Odesláno:středa 17. října 2018 22:35
Komu: HW-news
Předmět: Re: [OT:] Problémy s LAN - zaskodnik v siti?

Naopak - měl jsem tam DNS T-mobile jakožto providera, resp. DNS adresu,
automaticky vyjednanou s protistranou. Po nastavení na pevné DNS adresy
googlu tohle podivné chování (zatím) přestalo.

Kdyby došlo k omezení služeb výpadkem DNS, tak toasi poznám, od pár serverů
znám adresy, takže by se daly otevřít přes IP - ale jednak to nešlo, druhak
se nešlo zalogovat ani k tomu routeru, přestože tento (někdy) pingal a někdy
už taky ne. Ping na DNS (někdy) prošel, jindy ne. Někdy chodila pošta. A tak
podobně. Prostě některé protokoly někdy prolezly, jindy ne (míněno jako při
jiném výpadku v jiném časovém období, ne že ping prochází, pak párkrát ne a
pak zase jde v rámci jednoho spuštění).

Opravdu si nemyslím, že by za poblémy mohlo chování nadřazeného DNS serveru,
spíš nějaký "man in middle" útok či něco podobného na nějakou službu zvenku.
A modem zaraguje tím, že se odpojí - ale nenapíše to do logu, což je trochu
podezřelé.

Je mi to takové podivné - možná by to oddělení routeru a modemu pomohlo,
každopádně na Turris aktuálně nemám a o ničem alespoň podobně použitelném
nevím. Z pohledu bezpečnosti je to samozřejmé, z pohledu výkonu zatím asi
diskutabilní, nevím - i když jsem tam přilogovaný pres telnet (je tam
linuxové jádro a busybox) a koukám na top, nevidím nic tragického.

Pavel Kutina

----- Original Message ----- 
From: "Jaroslav Lukesh" <lukesh na seznam.cz>
To: "HW-news" <hw-list na list.hw.cz>
Sent: Wednesday, October 17, 2018 5:39 PM
Subject: Re: [OT:] Problémy s LAN - zaskodnik v siti?


> Pokud jste tam předtím měl googlovy dns, tak ten mívá takové problémy.
> Stejně jako ostatní googlovy služby (javascripty, fonty), prostě pak
> nevidíte půlku stránek. Jediné na co se u googlu můžete spolehnout, je
> špionáž.
>
> ----- Původní zpráva ----- 
> Od: "Pavel Kutina" <hw na prelude.cz>
>
>> Tak IPv6 jsem snad zaříznul už v zárodku a všude, kde to jen šlo, jsem to
>> povypínal, právě kvůli tomu, že mi to tu a tam na síti nedělalo dobrotu.
>> Každopádně od včerejšího mauálního nastavení DNS modem/router zatím drží,
>> tak uvidíme.
>
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
>

_______________________________________________
HW-list mailing list  -  sponsored by www.HW.cz
Hw-list na list.hw.cz
http://list.hw.cz/mailman/listinfo/hw-list




_______________________________________________
HW-list mailing list  -  sponsored by www.HW.cz
Hw-list na list.hw.cz
http://list.hw.cz/mailman/listinfo/hw-list

Další informace o konferenci Hw-list