Gyanús jelenség: TCP 22 + 443 kifele néha nem működik percekig

 ( lolcoder | 2014. december 30., kedd - 7:30 )

Van itt egy fura jelenség amit nagyon nem tudok hova tenni. Kíváncsi lennék, kinek mi a véleménye.

A szitu röviden: T-Online ADSL-t használok itthon. Naponta többször random megszűnik működni a 22-es és a 443-as port kifele. Minden kapcsolatom nyitva marad, továbbra is tudok új kapcsolatokat létrehozni bárhova, kivéve TCP 22-t és 443-at (legalábbis idáig ezeket találtam, mert ezek ugyebár könnyen feltűnnek).

Hogy redukáljam a lehetőségek számát:

- Nem helyi gép tűzfala okozza (bármelyik helyi gépről ugyanaz a jelenség, iptables flush után is)
- VPN-en át minden működik rendesen
- Random történik, olyankor kb. 3 percig hiába próbálok kapcsolatot nyitni
- TCP traceroute azt mutatja, hogy a DSL modem/routernél áll meg a csomag - de csak ha 22 vagy 443 a port, egyéb esetben látszódik a következő hop (az rsr1-varosmajor.net.telekom.hu).

Ami nálam eltér az átlag ADSL usertől, hogy nem a T-Com ZXV10_H201L -jét használom (scanneld bármelyik T-Online dynamic adsl subnetet 58000 -es porton, vagy ha van ilyened próbáld lecserélni a TR-069 beállításokat benne és meglátod miért kukáztam - hozzátartozik, hogy az úriember aki TR-069-ről tartott előadást Hacktivity-n privát beszélgetésben megemlítette nekem, hogy elértek execet ilyen kis routeren úgy, hogy csak simán ez a request port volt nyitva - persze valószínűleg nem ezen a típuson de nálam ez a T-Com-os router már ott elvágta magát, hogy nem engedte kikapcsolni az 58000-et).

A DSL modem/router amit most használok helyette egy D-Link DSL-321B. Nincs beleépítve VOIP, de legalább teljes hozzáférésem van hozzá. Van ebben az eszközben is valami tűzfal funkció, de az ki van kapcsolva, szabályok nem lettek létrehozva.

Szóval úgy látom, két lehetőség van:

1) a D-Link modem random úgy szarik be, hogy csak a 22-es és 443-as portokat blokkolja, annak ellenére, hogy a tűzfala ki van kapcsolva

2) T-Com-nál játszik valaki valamit, pl. MITM, csak nem működik rendesen, a csomagom ahogy kimegy ADSL-en már el van térítve mielőtt az rsr1-varosmajor.net.telekom.hu elkezdené routolni a megszokott módon

[TinfoilHat]

Felhívtam őket természetesen, hogy egész véletlenül más nem jelentett hasonló problémát? Csak poén szinten egy fél mondatban megemlítettem, hogy "már mindenre gondoltam", pl hogy bugzik a szakszolgálatok valamelyik eszköze... Kb 5 perc várakozás után valami ilyet szólt, hogy beszélt a kollégákkal és "annak nem kéne ilyet okoznia". Akkor így néztem egy picit, hogy most komolyan azt mondta amit? Persze lehet, hogy félreértette amit mondok vagy nem értette egyáltalán és csak úgy mondta, hogy *az* (akármi) nem kéne, hogy ilyen problémát okozzon. De a szemöldököm megmozdult...

[/TinfoilHat]

Leginkább tippeket várok arra, hogy mi okozhatja ezt a modemben, illetve javaslatot, hogyan debuggoljam a jelenséget és hogyan szűkíthetem le a probléma forrását, hogyan tudnám kizárni akár a modemet, akár a külső (T-Com / T-Online) tényezőket.

Előre is köszönök minden konstruktív hozzászólást.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Firmware-t upgradelj először is! A D-link nem egy teljesen korrekt márka. Fél éve fogtam náluk egy hibát, 1 héten belül egy halom cuccra új szoftvert adtak ki. Találtam egy másikat is, de azt nem tudtam korrektül beazonosítani, ahhoz mélyebben ki kellene veséznem az eszközt ahhoz, hogy biztosan állíthassam róla, hogy gyári backdoor-e vagy sem....
Nem bízom a kínai firmwarekben kicsit sem... előítéletes vagyok.

Köszönöm a tippet.

Milyen megbízható ADSL2+ modemet (vagy modem+routert) ajánlasz helyette, ha a firmware upgrade nem segít?

A D-Link amúgy úgy lett, hogy bementem a Media Markt-ba és levettem kb. az egyetlen opciót a polcról hirtelen felindulásból ("bármi jó, csak ne kényszerítsen rám egy nyitott portot").

A hirtelen felindulás oka (csak érdekességként meg Google kedvéért): töltöttem egy kis időt olyan progin, ami fogja a modem config.bin fileját, kitömöríti, átír benne egy 0-t 1-re - enablézni az Administrator accountot Gj84KrtE34Vg123 jelszóval - majd mindent visszacsomagol a bin-be pontosan úgy ahogy volt. Aztán persze kiderült, hogy checksum para miatt nem fogadja el az új config.bin -t, és feleslegesen dolgoztam. Sejtettem, hogy lesz ilyen ezért első próbának átírtam random karaketert a config.bin -ben, azzal nem volt baja, csak amikor konkrét config érték módosult a kis script segítségével.

A D-Link amúgy úgy lett, hogy bementem a Media Markt-ba és levettem kb. az egyetlen opciót a polcról hirtelen felindulásból ("bármi jó, csak ne kényszerítsen rám egy nyitott portot").

Az olcsó otthoni routerekben is szokott lenni backdoor, ezért érdemes lecserélni a gyári firmware-t például openwrt-re.

Jogos... valójában ami a kezelésem alatt van router, azt mindet openwrt-re szoftvereltem.
Bízz meg embertársaidban, de emeld el a pókerpaklit!
Mondjuk a dlinket pont nem nagyon lehet...

Firmware upgrade megvolt, 1.09 -ről 1.10 -re.

Ha 48 óráig nem lesz ilyenem, hogy TCP 443 timeoutol, akkor majdnem levonhatjuk a következtetést, hogy a Media Marktban backdoorozott ADSL modemet árulnak. De persze ne szaladjunk előre. Majd megint írok, ha ismét találkozom a jelenséggel.

Természetesen addig is szívesen fogadok bármilyen javaslatot, hogy lehet kizárni a tényezőket egyéb módokon.

A D-Link oldaláról letöltött új firmware-el is szopat...

"hogyan tudnám kizárni akár a modemet"
Kérj kölcsön egyet valakitől. Valamelyik fellow hupper csak lakik a közelben. Leírtak alapján pont egy napra kéne neked.

Köszönöm a tippet.

A "kuka" nem szó szerint értendő volt amúgy, csak porosodott a T-Com-os router. Most visszacseréltem arra.

Amíg meg nem jön a TP-Link addig ezzel tolom és lenyelem az 58000-es portos békát. Ha továbbra is megakadozik a 22, 443, meg a custom SSH port az érdekes lesz. Azt beírom ide is.

sub és nálam is tapasztalható de csak a 22, meg az irc szokott lehalni, 6667-en, (egymástól független időben) a 443 nem.... fekete dlink adsl2+ modem, DSL-360R t-online internet... nekem nem percekre szakad, csak annyi idore hogy broken pipe lesz...

azóta csinálja amióta a dlink masina van itt. azthittem egyedi a hiba, trémobilosok nem mondtak semmi okosat, remélem megoldódik

Na akkor képzeld el azt, hogy kb egy órája nekem már nem csak a 22 és a 443 nem működött, de nem tudtam a szerveremre se csatlakozni SSH-n. Az SSH egy magas, kb random porton van amit csak úgy kitaláltam. Továbbra is ment minden más port.

Annak mégis mekkora az esélye, hogy a 60+k portból pont az kerül a szopóágra amin SSH-zni szoktam? Főleg ha ahhoz az elmélethez ragaszkodunk, hogy ez valami bug vagy feature.

Eléggé olyan érzésem van, mintha valaki vagy látná, hova szoktam kapcsolódni és megnézte mi van ott, vagy egy az egybe látja a plaintext forgalmat, meglátta hogy SSH banner jön vissza az adott portról, és azt is berakta a "néha MITM-eljük" listába.

Ha van egy kis időd, megnéznéd nekem amikor legközelebb jelentkezik a probléma, hogy tuti megy -e a többi port? Illetve egy tcptraceroute parancsot is ráuszítanál, ellenőrizni, hogy a modem még válaszol?

Példa:

tcptraceroute -m 10 -q1 -w1 1.2.3.4 22

Nálam amikor fail van, így néz ki:

1 192.168.11.1 0.402 ms
2 192.168.1.1 0.598 ms
3 *
4 *
5 *

Normál esetben (vagy egy "normál" portot megadva) így:

1 192.168.11.1 0.354 ms
2 192.168.1.1 0.505 ms
3 rsr1-varosmajor.net.telekom.hu (145.236.226.215) 14.337 ms
4 tge0-0-1-1-2105.er0-lagymanyos.net.telekom.hu (84.1.85.252) 14.212 ms

megint lehalt, gondoltam idenezek, es most lattam ezeket a dolgokat, termeszetesen ranezek. amint jelentkezik a hiba, ma kb du 2től folyamat sshn dolgoztam, 3x szakadt meg, az irc ma stabil volt

// szerk
Próbáltam most egy sima tracerouteot, de meg a router ipje sincs meg, az lehetséges? :D siman is neztem meg kapcsolok nelkul is

Próbáld a javasolt tcptraceroute paranccsal. Amúgyis kéne különböző portokon próbálni, sima traceroute-al az nem fog menni.

azt nem talaltam, (macosxen vagyok jelenleg) es nincs linuxom/windowsom, de megnezem hatha lehet telepiteni

// szerk - telefonomon van network management progi, abba lehet traceroutolni, ott megy minden rendesen.
https://www.dropbox.com/s/nui1lrkb9i79fgc/IMG_4935.PNG?dl=0

Szerintem meg szimplán egy nettó szarkupac a d-link, én nem látnék bele ekkora összeesküvés-elméletet a dologba.

Szelektív szarkupacnak tűnik, ami csak bizonyos portokon viccelődik. Ha nem menne a többi port se, akkor simán lecserélném és nem parazolnék rá egy percet se.

Ez olyan egy picit, mint amikor valakinek szelektív hallása van, és állandóan panaszkodik, hogy nem hallja amit kértél de ha érdeke fűződik hozzá akkor 200 méterről meghallja, hogy fingik a hangya. Vagy nem emlékszik mit ígért, de arra mindig emlékszik, te mit ígértél neki. Simán lehet feledékeny is...

ünnepek után jön meg az ac-s tplink modem+adsl2 routerem, lehet addig nem foglalkozom vele, nem er annyit

Szép. Én is kb 10 perce rendeltem meg...

TP-LINK TL-AC1750 Archer D7 450M+1300M Router 3x3MIMO Dual-Band 4 portos gigabites 2x USB2.0 Port multi-funkciós (#16518)

Igen ő az :D

Ezzel én is szemezek már vagy egy hónapja... majd ha megjött, és kipróbáltátok, meséljetek :)