Příspěvky

1

Sítě / Re:Extrémně nestabilní ping

« kdy: 29. 10. 2015, 22:07:02 »

Small addition for free:

Hodně routerů má v administraci diagnostiku a možnost udělat ping přímo z něj. To by ti mohlo usnadnit práci. ;-)

2

Sítě / Re:Extrémně nestabilní ping

« kdy: 29. 10. 2015, 21:58:33 »

Osobně jsem hráčem DotA 2, když na to mám čas, takže vím, o čem mluvíš. Je zde spousta věcí k prověření, nicméně ostatní mají vcelku pravdu.

• Základem je otestovat připojení bez routerů, jen z kabelu od ISP. Bez toho nemůžeš ISP argumentovat, že je problém u nich. Pošlou tě onam (byť slušně). To můžeš udělat tak, že si z routeru opíšeš konfiguraci WAN a připojíš PC nebo NTB na ten kabel a nastavíš IP stejně jako na routeru. Pokud to nepojede, neudělal jsi přesně to, co zde píši.
• Prověř, jestli to není LoL servery, na kterých hraješ. Zkontroluj ping třeba na seznam.cz a porovnej to s LoL. Pokud je to LoL, nainstaluj steam, stáhni DOTU a staň se opravdovým pro-gamerem :-)

Moje zkušenost WiFi vs. Cat5:

Cat5:

Kód: [Vybrat]

Pinging seznam.cz [77.75.77.53] with 64 bytes of data:

 Reply from 77.75.77.53:  bytes=64  time=1  TTL=251  seq=1
 Reply from 77.75.77.53:  bytes=64  time=1  TTL=251  seq=2
 Reply from 77.75.77.53:  bytes=64  time=1  TTL=251  seq=3
 Reply from 77.75.77.53:  bytes=64  time=1  TTL=251  seq=4
WiFi v paneláku:

Kód: [Vybrat]

Pinging seznam.cz [77.75.77.53] with 32 bytes of data:
Reply from 77.75.77.53: bytes=32 time=2ms TTL=250
Reply from 77.75.77.53: bytes=32 time=5ms TTL=250
Reply from 77.75.77.53: bytes=32 time=173ms TTL=250
Reply from 77.75.77.53: bytes=32 time=103ms TTL=250
Reply from 77.75.77.53: bytes=32 time=17ms TTL=250
Reply from 77.75.77.53: bytes=32 time=3ms TTL=250
Reply from 77.75.77.53: bytes=32 time=3ms TTL=250
Reply from 77.75.77.53: bytes=32 time=3ms TTL=250
Reply from 77.75.77.53: bytes=32 time=3ms TTL=250

3

Sítě / Re:Náhoda nebo sofistikovaný útok

« kdy: 29. 10. 2015, 08:44:29 »

Sietarine a zabespeceniu nie velmi rozumiem, ale nieco podobne sa mi stalo v utorok 27.10. Na router Asus Rt-N66U sa pripajam zvonka cez openvpn. Bez toho zeby som cokolvek zmenil, prestalo toto pripojenie fungovat. V domacej sieti, ale vsetko islo bez problemov.
Vyriesil som to updateom novsieho firmweru a vygenerovanim noveho nastavenia. Ovsem stale mam pocit, ze islo o nieco zvonka.

RT-N66U má prakticky totožný firmware s tím mým (RT-N56U). Řešení s firmware mě taky napadlo, ale stejně jsem ho měl aktuální, takže se domnívám, že při zopakování útoku by stejně neodolal. Stalo se vám to úplně ve stejný den jako mně. První výpadek jsem zaregistroval někdy mezi 3-4 hodinou odpolední 27.10. A ano, já se nedostal do WAN, ale LAN byla normálně v provozu.

Součást botnetu a DDoS zní asi jako nejrozumnější vysvětlení. Jenom je podivné, že napaden byl i TP-Link..

Edit: Root mě odhlásil a při vkládání odpovědi založil nové téma. Fakt super...

4

Sítě / Re:Náhoda nebo sofistikovaný útok

« kdy: 29. 10. 2015, 08:03:59 »

Ahoj,

díky všem za odpovědi.

Ohledně pe3ny.net - výpadek na mé lince neměli. To jsem s nimi konzultoval. Nevypadá to ani na přetížený DNS server - DNS v mé LAN poskytuje řadič domény.

Chápu, že jsem se mohl pokusit za doby incidentu použít wireshark, avšak prioritou pro mně v tu chvíli bylo obnovit standardní funkčnost mé sítě. Navíc, rotuery jsem odpojil, zapojil jen k NTB a byly v pořádku. Pak jsem je dal zase na výchozí místo a zapojil do WAN a problém se opakoval.

Dnes by mi měli volat z pe3ny.net - požádal jsem je o prověření provozu v dané době, tak uvidím.

5

Sítě / Re:Náhoda nebo sofistikovaný útok

« kdy: 28. 10. 2015, 15:06:35 »

Wireshark právě neukazuje teď nic co by ukazovalo na infekci vnitřní sítě. Budu samozřejmě prověřovat ještě oba routery a to, co posílají do WAN, ale potřebuji na to nejprve připravit bezpečné prostředí.

ISP je pe3ny.net, neměli žádné problémy, když jsem s nimi o tom hovořil.

Výchozí hesla jsem opravdu neměl, remote management byl vypnutý (z WAN), oba stroje měly různé hesla.

Zevnitř to nevypadá, jsem velmi obezřetný v tom, co za software spustím a které weby navštěvuji.

6

Sítě / Náhoda nebo sofistikovaný útok

« kdy: 28. 10. 2015, 14:17:24 »

Dobrý den všem,

rád bych Vás požádal o názory, analýzu, atd k následující situaci, která se udála v mé síti během včerejšího dne:

V anglickém jazyce jsem události popsal zde:
http://superuser.com/questions/992717/is-that-a-coincidence-or-sophisticated-attack

V češtině:

Jako obvykle jsem byl z práce připojen ke svému serveru přes webové rozhraní (Outlook Web App). Spojení se náhle přerušilo a už jsem se nepřipojil. Když jsem dorazil domů, zjistil jsem, že je problém s routerem ASUS RTN56U. Nebylo možné se připojit do web managmenetu a ani obecně ven z vnitřní sítě. Odhadl jsem, že router "odešel" a protože jsem měl druhý router pro hosty připojený za ASUSem (TP Link WR741ND), nakonfiguroval jsem ho tak, aby sloužil jako hlavní router.

Spojení se rozběhlo, avšak při pingu z routeru TPLink na nic.cz byla 70% ztráta paketů. LED kontrolka WAN blikala jako o život. To vše se dělo včera, 27.10. mezi 15:30 - 23:00. Přestalo to ve chvíli, kdy jsem si vypůjčil jiný router (jiný model TPLink) od známého a ostatní dva odpojil.

Je nepravděpodobné, že by za to mohlo přepětí v síti. Switch, který byl mezi oběma routery to nepostihlo. Nevypadá to, že by infekce pocházela z doménové sítě - Wiresharkem jsem celou noc sbíral komunikaci, zatím jsem nenašel nic podezřelého.

Ze všech okolností mi vyplývá, že byly zřejmě napadeny mé routery. SPAM neposílaly - blacklisty doménu jandrozd.eu nezachytily. DDoS z venku to také pravděpodobně nebyl, i když je to možné, že by to firewall jiného TP-Linku zachytil narozdíl od prvních dvou routerů. Mohly se tedy stát součástí botnetu a používat linku k útočení různým způsobem. Taky se mohly pokoušet odposlouchávat provoz na LAN - která BTW celou dobu fungovala, vč. řadiče domény, poštovního serveru a klientských stanic - a posílat bůhvíkam danou komunikaci.

Původní routery tu stále mám, neresetoval jsem je.

Mé otázky jsou:

• Uvažuji správně? Neuniklo mi něco?
• Co jiného by to mohlo způsobit?
• Co mohu nyní udělat, abych zjistil dopad, pokud šlo o útok?