Re: ] Problémy s LAN - zaskodnik v siti?

[Pavel Hudecek]

Kontaktovat providera?

PH

-----Původní zpráva----- 
From: Pavel Kutina
Tak stále kvoká, stále kvoká... Situace zatím beze změn (tedy i v HW), jen
se mi podařilo modem/router nastavit tak, že už omezuje i užitečné služby :)

Každopádně jsem ho dostal do stavu, kdy asi tak čtvrt hodiny předtím, než
lehne, zahlásí mailem "Your device is under attack.', bohužel ale nepřipojí
log, takže tam prd vidím a po tvrdém restartu je log prázdný. Tu a tam se
podaří něco zachytit, když zareaguju včas, pak ten záznam vypadá takhle:

[attack] Oct 20 07:49:08 kern.alert kernel: IN=ppp2.3 OUT= MAC=
SRC=212.118.253.117 DST=89.24.134.67 LEN=44 TOS=0x00 PREC=0x00 TTL=4 ID=0 DF
PROTO=ICMP TYPE=8 CODE=0 ID=34199 SEQ=11 MARK=0x10000000

Adresy SRC se samozřejmě liší, DST je moje veřejná. Netušíte někdo, co se s
tím dá dělat?


----- Original Message ----- 
From: Michal Grunt
Jestli to nemělo souvislost s timto…
https://www.root.cz/clanky/jak-prezit-planovanou-udrzbu-dns-v-rijnu-se-meni-klice-korenove-zony/


Od: Pavel Kutina
Naopak - měl jsem tam DNS T-mobile jakožto providera, resp. DNS adresu,
automaticky vyjednanou s protistranou. Po nastavení na pevné DNS adresy
googlu tohle podivné chování (zatím) přestalo.

Kdyby došlo k omezení služeb výpadkem DNS, tak toasi poznám, od pár serverů
znám adresy, takže by se daly otevřít přes IP - ale jednak to nešlo, druhak
se nešlo zalogovat ani k tomu routeru, přestože tento (někdy) pingal a někdy
už taky ne. Ping na DNS (někdy) prošel, jindy ne. Někdy chodila pošta. A tak
podobně. Prostě některé protokoly někdy prolezly, jindy ne (míněno jako při
jiném výpadku v jiném časovém období, ne že ping prochází, pak párkrát ne a
pak zase jde v rámci jednoho spuštění).

Opravdu si nemyslím, že by za poblémy mohlo chování nadřazeného DNS serveru,
spíš nějaký "man in middle" útok či něco podobného na nějakou službu zvenku.
A modem zaraguje tím, že se odpojí - ale nenapíše to do logu, což je trochu
podezřelé.

Je mi to takové podivné - možná by to oddělení routeru a modemu pomohlo,
každopádně na Turris aktuálně nemám a o ničem alespoň podobně použitelném
nevím. Z pohledu bezpečnosti je to samozřejmé, z pohledu výkonu zatím asi
diskutabilní, nevím - i když jsem tam přilogovaný pres telnet (je tam
linuxové jádro a busybox) a koukám na top, nevidím nic tragického.

Pavel Kutina

----- Original Message ----- 
From: "Jaroslav Lukesh" <lukesh na seznam.cz>
> Pokud jste tam předtím měl googlovy dns, tak ten mívá takové problémy.
> Stejně jako ostatní googlovy služby (javascripty, fonty), prostě pak
> nevidíte půlku stránek. Jediné na co se u googlu můžete spolehnout, je
> špionáž.
>
> ----- Původní zpráva ----- 
> Od: "Pavel Kutina" <hw na prelude.cz>
>> Tak IPv6 jsem snad zaříznul už v zárodku a všude, kde to jen šlo, jsem to
>> povypínal, právě kvůli tomu, že mi to tu a tam na síti nedělalo dobrotu.
>> Každopádně od včerejšího mauálního nastavení DNS modem/router zatím drží,
>> tak uvidíme.