# probléma: Telekom ADSL eldobja a WAN-t (LAN marad, eszköz elérhető)
Néha napokig jó, néha egynap 10x is elmegy - visszajön, eseményhez nem köthető (pl.: hányan mire, használják).
Sima családi netetés megy rajta, semmi extra.
# eszköz, modem + router: Sercomm France, Speedport Plus
IPv4 van
# log, minden esetben ezek az események:
2022-05-27 18:55:38 DNSv6-error:The DNSv6 Servers 2001:4c48:1::1 replies Non Existent Domain(3). (P008)
2022-05-27 18:55:38 IPv6 Address sent 2001:4c4e:1160:c6dd::/64 to LAN (ME104)
2022-05-27 18:55:38 IPv6 connection 2001:4c4e:1160:c600::/56 could be established.IPv6 Prefix received. (P005)
2022-05-27 18:55:30 From internet service provider transferred WAN IPv6 address: 2001:4c4e:1:5f9c:fc0a:f847:7a5:162 (P001)
2022-05-27 18:55:27 Time Server v6 successfully connected and time synchronization achieved. (NT101)
2022-05-27 18:55:14 Time Server v6 successfully connected and time synchronization achieved. (NT101)
2022-05-27 18:55:11 Internet connection successfully established. (R010)
2022-05-27 18:55:11 From internet service provider transferred Gateway IP address: 5.187.236.242 (R022)
2022-05-27 18:55:11 Timeout during PPP initialization. (IPCP) (R023)
2022-05-27 18:55:10 From internet service provider transferred Gateway IPv6 address: fe80::4255:39ff:fe68:247a (P002)
2022-05-27 18:55:05 Connection to the Internet has been terminated. (R009)
2022-05-27 18:55:05 Denial of Service incident detected RateFloodIcmpInput (FW101)
Hétfőn beszélek a Telekomal, de esetleg van valakinek tapasztalata / tippje
ezzel kapcsolatban? Előre is köszi! :-]
Hozzászólások
"2022-05-27 18:55:05 Denial of Service incident detected RateFloodIcmpInput (FW101)"
Ebben benne van minden :) szerintem nézz szét a hálózaton csücsülő gépek között, mely botnet részévé lettek
// Happy debugging, suckers
#define true (rand() > 10)
Persze, de ha nem megy semmilyen gép egész nap, akkor is csinalja. :-D
Wi-Fi sincs. Én csak a logokat nézem nap végén.
# RHE, Rocky, NethServer, MBP14
Alulról felfelé kell olvasni a logot. Valami ICMP flood miatt bontja a kapcsolatot. Az ICMP nem csak ping lehet :-) Lehet akár Router Advertisement vagy sok egyéb. Azt mondod, hogy csak az IPv6 szakad meg?
IPv4 publikus címem van, szerintem nem NAT-olt.
what is my ip => 5.187.231....
<< Azt mondod, hogy csak az IPv6 szakad meg?
Teljes PPPoE-t bontja, net teljesen megszakad.
Vagy másra gondoltál? Köszi!
# plusz infó:
Type: Route
Connection Name: Internet_VDSL
Transfer Mode: PTM
VLAN: 32
IP Version: IPv4/IPv6
NAT: Enabled
IPv4 Connection Status: Connected
IPv4 Online Duration: 01:00:48
IP: 5.187.....
Default Gateway: 145.236.238.17
DNS: 84.2.46.1/84.2.44.1
IPv6 Connection Status: Connected
IPv6 Online Duration: 01:00:49
Default Gateway: fe80::4255:...
LLA: fe80::49bd:...
GUA: 2001:4c4e:1:592b:...
Assigned LAN Prefix: 2001:...
Usable LAN Prefix: 2001:4c4e:...
DNS: 2001:4c48:...
# RHE, Rocky, NethServer, MBP14
És ha tesztképpen egy routert utána kötsz, és PPPoE passthrough-t bekapcsolva tesztelnéd?
Vagy ami még eszembe jutott, hogy egy factory reset lehet segítene az eszköznek.
Igen, köszi, már terveztem. ;-]
Jövő héten beteszek egy MikroTik hAP ac3.
Fél éve itt van egy bontatlanul, csak utálok itthon is IT-val foglalkozni. :-D
# RHE, Rocky, NethServer, MBP14
'Denial of Sevice = Szolgáltatásmegtagadás' szóval ez teljesen korrekt, tényleg ezt csinálják. Jó kérdés, hogy miért.
Nem lehet esetleg, hogy a routeredben be van kapcsolva a time server (ntpd) abban nincsen védelem, és frankón "hasznos" része lesz amplification attack-nek?
Ugye ez a támadás mód arról szól, hogy a szervernek olyan UDP csomagokat küldenek, ahol a feladó címe hamisított (a támadott ipcím van beleírva), ilyen módon elküldenek 100 byte-ot request-et a servernek, a server pedig 4-500-byte-os választ küld a támadott félre, azaz olyan 4-5x "erősítés" történik.
Primary NTP Server address: ntp.telekom.hu
Kitöröltem, figyelem, tesztelem.
Köszi a tippet, sokat tanulok tőletek! :-]
pl.: Router Advertisement, amplification attack, stb.
# RHE, Rocky, NethServer, MBP14
az, hogy a router honnan veszi az időt, egy dolog. Az, hogy kinek biztosít lekérdezési lehetőséget - pedig egy másik.
Hasonló amp.attack-re adott lehetőséget Mikrotik-ben ill. TP-Link routerben lévő "belső" DNS forwarder is.
Igen, persze, MikroTik-en tudom tűzfalból kezelni.
Ellenben a Telekomos "Sercomm France, Speedport Plus" eszközön nincs ilyen opció. ;-]
Kikapcsolni sem lehet, annyi az összes lehetőség, hogy törlöm az ntp.telekom.hu -t.
Igazából sok mindent nem is lehet benne állítani, egyszerű kis modem+router.
# RHE, Rocky, NethServer, MBP14
az akkor csodálatos, ha kikapcsolni nem tudod, és korlátozni sem...
1) érdemes volna megnézni, h bekapcsolt állapotban külső hálózatból nézve (érdemben) válaszol-e (azaz tényleg jól tippeltem)
2) ha igen, akkor jelezni Telekomnak mert vélhetően nem egyedi eset, és ha más nem, központi tűzfalazással tud védekezni ellene
3) ha nem állítasz be neki servert, akkor is válaszol-e. Ha igen, akkor tényleg az egyetlen biztonságos út előre, ha passthru-ba kapcsolod és beteszel egy saját routert.
Esetleg ehhez lehet köze, vagy tudja valaki, hogy hol lehet erről további információt elérni?