DDoS routera :/

[RedGhost 0]

Witam.

Od jakiegoś czasu mój bieda 10Mbps Internet zwolnił strasznie. Nie kojarzyłem tego z niczym aż do momentu przejrzenia logów tego dziadostwa z antenką :

 

Sep  3 23:23:12 rlx-linux user.warn kernel: DoS: Whole System SYN Flood Attack
Sep  3 23:23:12 rlx-linux user.warn kernel: DoS: Per-source SYN Flood Attack source=0.0.0.0 destination=0.0.0.0
Sep  3 23:23:12 rlx-linux user.warn kernel: DoS: Per-source FIN Flood Attack source=0.0.0.0 destination=0.0.0.0
Sep  3 23:23:12 rlx-linux user.warn kernel: DoS: Per-source ICMP Flood Attack source=0.0.0.0 destination=0.0.0.0
Sep  3 23:23:12 rlx-linux user.warn kernel: DoS: Port Scan Attack source=0.0.0.0 destination=0.0.0.0
Sep  3 23:23:12 rlx-linux user.warn kernel: DoS: IP Land Attack source=0.0.0.0 destination=0.0.0.0
Sep  3 23:23:12 rlx-linux user.warn kernel: DoS: UdpEchoChargen Attack source=0.0.0.0 destination=32.48.32.67
Sep  3 23:23:12 rlx-linux user.warn kernel: DoS: UdpBomb Attack source=0.0.0.0 destination=0.0.0.0
Sep  3 23:23:12 rlx-linux user.warn kernel: DoS: PingOfDeath Attack source=0.0.0.0 destination=0.0.0.0
Sep  3 23:23:12 rlx-linux user.warn kernel: DoS: IcmpSmurf Attack source=0.0.0.0 destination=0.0.0.0
Sep  3 23:23:12 rlx-linux user.warn kernel: DoS: TearDrop Attack source=0.0.0.0 destination=0.0.0.0
Sep  3 23:23:13 rlx-linux user.warn kernel: DoS: Per-source SYN Flood Attack source=0.0.0.0 destination=0.0.0.0
Sep  3 23:23:13 rlx-linux user.warn kernel: DoS: Per-source FIN Flood Attack source=0.0.0.0 destination=0.0.0.0
Sep  3 23:23:13 rlx-linux user.warn kernel: DoS: Per-source ICMP Flood Attack source=0.0.0.0 destination=0.0.0.0
Sep  3 23:23:13 rlx-linux user.warn kernel: DoS: Port Scan Attack source=0.0.0.0 destination=0.0.0.0
Sep  3 23:23:13 rlx-linux user.warn kernel: DoS: Tcp SYN With Data Attack source=0.0.0.0 destination=0.0.0.0
Sep  3 23:23:13 rlx-linux user.warn kernel: DoS: UdpEchoChargen Attack source=0.0.0.0 destination=32.48.32.67
Sep  3 23:23:13 rlx-linux user.warn kernel: DoS: UdpBomb Attack source=0.0.0.0 destination=0.0.0.0
Sep  3 23:23:13 rlx-linux user.warn kernel: DoS: PingOfDeath Attack source=0.0.0.0 destination=0.0.0.0
Sep  3 23:23:13 rlx-linux user.warn kernel: DoS: TearDrop Attack source=0.0.0.0 destination=0.0.0.0

a potem pojawiają się już różne IP zamiast 0.0.0.0.

 

Router strasznie zwalnia. Czy mogę coś z tym zrobić?

[deton24 50]

Może to coś z okolicy lokalnych fal śmieci. Zmienić SSID, hasło, zrobić update routera jeśli jest, skontrolować listę klientów, zobaczyć czy Firewall na routerze włączony.

[RedGhost 0]

Jest firewall i ochrona DDoS. Atak jest to wtyknięciu modemu.

[Grzegorz_J 1]

Moze masz trojana i jak uzyska dostep do internetu to szaleje.

[RedGhost 0]

Mam NIS 2015. Nic nie widzi . Też już myślalem tak.

[Grzegorz_J 1]

Mam NIS 2015. Nic nie widzi . Też już myślalem tak.

 

To moze nie twoj komputer tylko ktos inni ciagnie po wifi od ciebie, moze sie wlamal na twoj MAC adres jakis i ty myslisz, ze to twoje urzadzenie jakies, a to ktos obcy np. zaposcil p2p. Logiroutera nie zawsze sa 100% realne do tego co sie dzieje w sieci domowej

[RedGhost 0]

Lista klientów się zgadza. To też sprawdzałem. Męczę się już tydzień z tym.

[Grzegorz_J 1]

Rozumiesz co ja mowie?? Mogl ktos odczytac MAC adres twojego smartfona, sa aplikacje rozne i przypisal go sobie do swojej karty w laptopie, mogl odczytac tez haslo i sie tak wlamuje. Zmien nazwe sieci wifi i haslo w routerze i zobaczysz co i jak. Wylacz wifi w urzadzeniu operatora.

[RedGhost 0]

Mam ustawione,że tylko zaufane MACi mają dostęp. WiFi wyłączone. Na liście klientów pojawia się 1 komputer, mój podłączony kablem. Więc opcja podszycia odpada, tak? Więc lista klientów się zgadza.

[Grzegorz_J 1]

Jak ktos odczytal MAC adres twojej karty sieciowej w PC i go wpisal w Windowsie do swojej karty sieciowej to jak masz zaufany ten MAC to sie moze podlaczyc do ciebie, ale wtedy twoj PC by sie nie polaczyl z routerem. Nie uzywasz smartfona, tableta, siostra, rodzice laptopa??

[Szczota 92]

Najprosciej zalogowac sie na router i ogladnac ruch przychodzacy i wychodzacy i wtedy masz jasnosc. Niestety na 99% Twoj router nie daje takiej opcji.

Wlacz swojego kompa z bootowalnego linuksa i sprawdz. Wykluczysz wtedy wirusy.

 

Jak masz DDoS to nie jestes w stanie nic zrobic

[RedGhost 0]

Najprostsze było wyłączyć WiFi i próbować tylko po kablu. Sytuacja nie zmienia się. Od kiedy tylko WAN się podepnie leci DDoS. Rozłączę WAN - log pusty (sama inicjacja routera). Zastanawiam się czy inny router lepiej by sobie poradził z tymi atakami?

[Grzegorz_J 1]

Podlacz sie kablem do sprzetu Neti bez posrednictwa Asusa czy bedzie to samo

[RedGhost 0]

Tylko "jak coś" to gdzie to ujrzę ? Czy mam obserwować efekt.

[Grzegorz_J 1]

Bedziesz widzial czy ci zwalnia czy nie.

 

Ten model Asusa juz nie ma wsparcia, nie poprawiaja firmware-u

[RedGhost 0]

Mam tą wersę 0.0.37. DDWRT czy Tomato nie współpracuje z tym routerem. Chip jest Realtek.

[Grzegorz_J 1]

Potestuj bez Asusa. Nic innego sie nie wymysli teraz

[NoLife 0]

Podepnę się pod temat, również korzystam z starego Asusa(dsl-31), w logach od początku tego roku zaobserwowałem również ataki(żeby było śmieszniej oprogramowanie tego routera jest dziurawe jak ser szwajcarski, za każdym razem reup softu pomagał), jakie teraz są polecane i bezpieczne routery co wystarczą na najbliższe kilka lat?

[deton24 50]

@OP

Sprawdź czy ten artykuł coś nie pomoże:

https://niebezpiecznik.pl/post/powazna-dziura-w-routerach-asus/

Zacznij od sprawdzenia DNSów, ew. ustawienia OpenDNS, czy Google.

Tu jeszcze można sprawdzić podatność:

https://cert.orange.pl/modemscan/

[NoLife 0]

Swój przypadek znam i nie zalicza się do powyższych, ot zwykły robak na soft router próbujący pomieszać w dns'ch i otworzyć furtkę dla innych robaków(w tym rootkitów, ba, nawet adres tej sieci namierzyłem, ale firma do której należy albo o tym wie albo ma to w 4 literach), to tez pytam o router z dobrymi zabezpieczeniami bo moje adresy wpadły do jakiejś trefnej bazy danych. W sofcie routera już po blokowałem co trzeba, jednak co jakiś czas widzę na logach, że znowu ten sam adres próbował się połączyć.

[deton24 50]

Może warto zgłębić temat bezpieczeństwa DDWRT czy Tomato w porównaniu do oryignalnych firmwarów, i szukać czegoś kompatybilnego z dobrym wsparciem.

[NoLife 0]

Dokładnie, tylko w routerach nie siedzę od 5 lat Nie mam zamiaru wydawać kasy na szmelc, myślałem tez o tanich cisco ale czy to coś warte?

[mfuker 0]

...

Jak masz DDoS to nie jestes w stanie nic zrobic

Zadzwon do operator Internetu i wytlumacz jaka jest sytuacja. Powinni zmienic Ci adress IP, ew. przelaczyc na inne DNS-y. Obecny adres zostanie poddany kwarantannie jako nieaktywny na jakis czas, dopoki booty ziejace DD0s-em wymarza Cie z potencjalnych ofiar.

 

Innej drogi opcji nie ma.

[deton24 50]

Wszystko pod warunkiem że wszyscy w tej sieci nie mają tego samego adresu.

Tutaj mamy Netię. Powinna być zmiana IP po każdym wyłączeniu routera, a on ma cały czas ataki.

[mfuker 0]

Nikt inny nie moze miec miec Twojego adresu IP, bo bylby konflikt. Czuwa nad tym DHCP operatora.

 

Za to Ty mozesz siedziec w grupie DNS, ktora obrywa DDos-em.