Jsem připojená k síti (wifi), ale intertnet nejde

Re:Jsem připojená k síti (wifi), ale intertnet nejde
« Odpověď #75 kdy: 05. 03. 2018, 18:30:48 »
Podle mého paní dost schopně spolupracovala, dodala screenshoty prakticky všeho o co si kdo řekl. Palec nahoru.


JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Jsem připojená k síti (wifi), ale intertnet nejde
« Odpověď #76 kdy: 05. 03. 2018, 19:13:10 »
Podle mého paní dost schopně spolupracovala, dodala screenshoty prakticky všeho o co si kdo řekl. Palec nahoru.

Mrkni sem: https://forum.root.cz/index.php?topic=17136.0 Doporuceni o vareni hned ve treti odpovedi, jeste nez tazatelka stacila zareagovat na prvni dve.

daemon

Re:Jsem připojená k síti (wifi), ale intertnet nejde
« Odpověď #77 kdy: 05. 03. 2018, 19:15:08 »
To nevim, ale dost me prekvapuje, ze tentokrat ji snad ani nikdo nerekl, ze je uplne blba a ze se ma drzet sporaku a zehleni.
Pochopitelně. Protože tehdy tam ta genderová feministka se ptala takovým způsobem, že muselo být každému okamžitě jasné, že to je provokace.

V.

Re:Jsem připojená k síti (wifi), ale intertnet nejde
« Odpověď #78 kdy: 05. 03. 2018, 20:09:23 »
Napadla mne ještě jedna věc, co vyzkoušet.

Pokud je vás tam v podnájmu víc, ať někdo , komu to funguje, nasdílí připojení. Připojte se přes něj, tj. pravděpodobně on přes wifi a vy kabelem přes toho prostředníka.

Jsem zvědavej, jak to dopadne ...

Jako první dva odkazy s návodem jsem našel http://pc-help.cnews.cz/viewtopic.php?t=2172 a https://support.microsoft.com/cs-cz/help/314066/how-to-enable-internet-connection-sharing-on-a-home-or-a-small-office

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Jsem připojená k síti (wifi), ale intertnet nejde
« Odpověď #79 kdy: 05. 03. 2018, 21:06:19 »
Pochopitelně. Protože tehdy tam ta genderová feministka se ptala takovým způsobem, že muselo být každému okamžitě jasné, že to je provokace.

Mozna byla, mozna nebyla. Ty si tim muzes byt jisty na 100 % jiz z dotazu? A je to duvod na to skocit a radit vareni?


MD

Re:Jsem připojená k síti (wifi), ale intertnet nejde
« Odpověď #80 kdy: 05. 03. 2018, 21:42:22 »
Nevím, jestli již nebylo zkoušeno, ale co nastavit konfiguraci toho adaptéru staticky za použití adres, které dává DHCP server? A třeba se omezit počet DNS serverů na 1-2 (což považuji za standardnější konfiguraci)?

Třeba:
IPv4 adresa: 192.168.1.30
Maska podsítě: 255.255.255.0
Výchozí brána: 192.168.1.1
DNS servery:
192.168.1.1
8.8.8.8
(nebo klidně jiné dva z toho seznamu na obrázku).

(mimochodem, měla byste se tady dostat k dialogu, co ukazuj pakety přijaté a odeslané daným adaptérem, což může posloužit trochu jako indikace, že to nějak funguje... tzn. není třeba Wireshark).

Jen je třeba dohlédnout na to, aby ta IPv4 adresa mohla být teoreticky přidělována routerem (ty rozsahy obvykle bývají velké) a aby ji aktuálně nikdo neměl přidělenou (což prozradí u každého výpis ipconfig).

Jistě, když se pak připojíte do jiné sítě, kde vám to normálně funguje (wifi), budete muset změnit nastavení opět na dynamiku (DHCP), takže to není nic moc pohodlného, ale zkusit by se to podle mě mohlo.

Nedávno jsem měl také problém, že USB wifi karta upřednostňovala režim ac, ale router uměl jen b/g/n, takže bylo třeba ji trochu pošťouchnout ve Správci zařízení. ALe to nebyla vidět ani místní síť.

V.

Re:Jsem připojená k síti (wifi), ale intertnet nejde
« Odpověď #81 kdy: 05. 03. 2018, 22:08:57 »
Vy milí teoretici ...

v ideálním stavu by šlo wiresharkem zjistit, zda skutečně je obdržen dhcp lease a odkud.

pokud jsem dostal z dhcp přes wifi (nebo jak paní píše i púřes ethernet) IP adresu, tak linková vrstva je aspoň chvíli ok.

Ono by šlo i přinést si vlastní AP, udělat si z něho klienta a připojit se k němu. Což je zase varianta "někdo/něco mi udělá prostředníka".

Pokud se nepletu, tak i "dhcp renew" funguje, obnovení/prodloužení leasu.

Nemam tucha, zde existuje nějakej malware, kterej by se choval takhle, že by blokoval uživatelský provoz.

Takže snad se dozvíme, co to bylo ...

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Jsem připojená k síti (wifi), ale intertnet nejde
« Odpověď #82 kdy: 05. 03. 2018, 23:27:59 »
A třeba se omezit počet DNS serverů na 1-2 (což považuji za standardnější konfiguraci)?

Kde tam ty DNS servery vidite? Jsem se na ty obrazky ted koukal a DNS server tam nejak nevidim ani jeden.

Ostatne blby DNS server nevysvetluje, proc nechodi ping na adresu.

V.

Re:Jsem připojená k síti (wifi), ale intertnet nejde
« Odpověď #83 kdy: 05. 03. 2018, 23:43:37 »
DNS viz příspěvek "Odpověď #47 kdy: 04. 03. 2018, 11:22:22" (je tam obrázek od ipconfig/all)

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Jsem připojená k síti (wifi), ale intertnet nejde
« Odpověď #84 kdy: 06. 03. 2018, 00:56:17 »
DNS viz příspěvek "Odpověď #47 kdy: 04. 03. 2018, 11:22:22" (je tam obrázek od ipconfig/all)

Aha, vidim. Ale ctyri DNS servery by nemely byt nic proti necemu  a i kdyby, tak ping na adresu by mel jit.

xxxxx

Re:Jsem připojená k síti (wifi), ale intertnet nejde
« Odpověď #85 kdy: 06. 03. 2018, 01:05:49 »
včera jsou zkoušela vypnout firewall a když jsem ho vypla, tak mi ta síť zmizela a ani se nezobrazovala v nabídce
Toto je hodně podivné chování. Nebude nakonec přece jen neplecha ve firewall? Pokud by dříve byla místní síť konfigurovaná jinak, mohl by firewall současný nový rozsah blokovat (nastaveno mohlo být už někdy hodně dříve - jen se projevilo až tou změnou).

Plus, zapadla tu i odpověď na antivir. ... Pozor, nové antiviry mívají svůj vlastní firewall a zároveň mají vista i jejich vlastní firewall, takže vypnutí pouze jednoho z nich nestačí.

Nemám zkušenosti, že by vypnutí interního vista firewall mívalo za následek ztrátu viditelnosti připojení - takže je otázka, co bylo vlastně při tom pokusu bylo vypnuto. Zkuste si pohrát tímto směrem.

Např.:
- zkontrolovat, zda to pokusné vypnutím (disable) firewallu bylo vypnutí a nikoli naopak zastavení provozu (odříznutí od světa)
- pokud vypnutí firewallu bude mít stále za následek ztrátu viditelnosti bezdrátového připojení, zkuste připojit kabelem a jak se to bude chovat
- a tak podobně

Re:Jsem připojená k síti (wifi), ale intertnet nejde
« Odpověď #86 kdy: 06. 03. 2018, 11:23:56 »
Ještě jeden krajně neužitečný přípodotek:

Pro výrobce 3rd-party firewallů a jiných síťových vychytávek (např. libPCAP, MS virtual WiFi) pod Windows existuje doporučený zdvořilý způsob, jak si do systému zavěsit "fitrující mezivrstvu" do síťového stacku. Našel jsem pro to názvy "NDIS filter driver" nebo "NDIS intermediate driver" - netuším, zda se jedná o synonyma, nebo dvě různé evoluční varianty, nebo úplně jiné věci. (V případě Windows Vista se bavíme o ovladačích dle standardu NDIS 6.)

I pídil jsem se po možnosti, jak vypsat nainstalované takové drivery. Našel jsem zmínky o "fltmc" (standardní součást Win7+, nevím jak Vista) ale ten zřejmě vypisuje jenom filter drivery ve storage subsystému (v oblasti souborových systémů). Nějaké síťové filter drivery jsou vidět ve "vlastnostech adaptéru" (GUI) - netuším zda striktně všechny, nebo třeba jenom moderní a slušně vychované... analogicky podle situace v oblasti driverů obecně, kde staré "NTDM" drivery často nemají ikonku v device manageru, a modernější slušně vychované WDM/WDK drivery obvykle ano.

Taky jsem zkoušel hledat v regeditu, a našel jsem u konkrétního síťového adaptéru větev Linkage a v ní položku FilterList, což je textový seznam odkazů na jakési GUIDy... které jsem dohledal někam do podvětví HKLM\SYSTEM\CurrentControlSet\Control\Network\{4d36e974-e325-11ce-bfc1-08002be10318}. Všude samé GUIDy. Nemám rád GUIDy. Zkoušel jsem brouzdat nápovědou netsh a netcfg, jestli by nebyl lidský seznam, ale kde nic tu nic.

Ze širšího nadhledu: filter drivery nejsou příliš odlišné od standardních driverů pro fyzický hardware. Všechny žijí v kernelu, a zdvořile se zavěšují do NDIS API. Všimněte si, že Microsoftí vlastní firewall v seznamu "filter driverů" nenajdete. Někdo tady káže vodu a pije víno :-) Bodejť ne, když si především sami napsali celý NDIS framework - zdvořile se zavádět a standardně se představit musí všichni *ostatní* :-) Tj. všichni ostatní zdvořilí.

Zdvořilý malware je hloupý a trapný. Skutečný malware bydlí v kernelu a háčkuje kernel API. Klasika jsou kejkle s tabulkou procesů, ale i pro nás by se určitě našla nějaká tabulka symbolů v síťovém stacku nebo nějaká příhodná tabulka NDIS callbacků apod. Čili trochu šikovný malware je na úrovni MS firewallu, může se snažit ho vyšachovat apod. V seznamu zdvořilých NDIS driverů potažmo šikovný malware není vidět. Jakmile jednou dostanete svůj driver do kernelu, můžete téměř všecko.

Další možný "vektor útoku" je tradičně v user space - tradičně výměnou/zaháčkováním winsock2.dll (nebo jak se ta knihovna dneska jmenuje). Jakákoli user-space aplikace, která jede přes sockety (včetně raw socketů? včetně ICMP utilit?) musí skrz winsock.dll. Pokud hijacknete winsock.dll, držíte v hrsti prakticky všechny síťoviny v user space, a nemusel jste ani prosadit svůj driver do kernelu. V cestě Vám stálo "jenom" user-space UAC. Existují legitimní softwarové balíky, které tohle dělají - tradičně socks proxy. Obecně háčkovat DLL (prakticky celé WinAPI) umí třeba APImonitor. Logicky malware útočící na winsock.dll toto nebude nikde roztrubovat. Navíc v případě háčkování winsock.dll ani nevím o možnosti, jak toto udělat "zdvořile" = podle mého admin ani nemá kam se podívat po nějakém seznamu zavěšených procesů/knihoven třetích stran.

Další věc je, že jak malware, tak antiviráky (a zejm. jejich uninstalátory) oplývají bugy. Takže pokud je "rootnutý firewall", obecně není vyloučen efekt "když vypnu firewall, umře síť úplně".

A pak mám několik zkušeností, kdy jsem hledal "copak nám to zase žere procesor" nebo "copak nám to štrachá na disku" a zjistil jsem "jo aha, ona je to jakási inovativní USB-over-IP serviska, součást podpory WiDI, standardní součást Windows" nebo "aha, Microsoft malware protection engine" . Což je ještě dobrá varianta, protože se jedná v rámci možností o slušně vychovaný software, který svoji "spotřebu" nemaskuje v resmonu apod.

https://docs.microsoft.com/en-us/windows-hardware/drivers/network/ndis-intermediate-drivers
https://docs.microsoft.com/en-us/windows-hardware/drivers/network/ndis-filter-drivers
https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/content/_netvista/
https://serverfault.com/questions/336630/is-there-a-quick-way-to-see-what-filesystem-filter-drivers-are-loaded-on-windows
https://support.kaspersky.com/us/5922
http://www.rohitab.com/apimonitor

MD

Re:Jsem připojená k síti (wifi), ale intertnet nejde
« Odpověď #87 kdy: 06. 03. 2018, 13:08:25 »
Předně, omluva za off-topic.

Citace
Pro výrobce 3rd-party firewallů a jiných síťových vychytávek (např. libPCAP, MS virtual WiFi) pod Windows existuje doporučený zdvořilý způsob, jak si do systému zavěsit "fitrující mezivrstvu" do síťového stacku. Našel jsem pro to názvy "NDIS filter driver" nebo "NDIS intermediate driver" - netuším, zda se jedná o synonyma, nebo dvě různé evoluční varianty, nebo úplně jiné věci. (V případě Windows Vista se bavíme o ovladačích dle standardu NDIS 6.)
NDIS intermediate (Protocol) driver a (lightweight) NDIS filter driver se AFAIK liší v tom, že u tohot druhého máte daleko méně práce s programováním, protože Microsoft potřebný obecný kód udělal za vás (proto lightweight).

Citace
I pídil jsem se po možnosti, jak vypsat nainstalované takové drivery. Našel jsem zmínky o "fltmc" (standardní součást Win7+, nevím jak Vista) ale ten zřejmě vypisuje jenom filter drivery ve storage subsystému (v oblasti souborových systémů). Nějaké síťové filter drivery jsou vidět ve "vlastnostech adaptéru" (GUI) - netuším zda striktně všechny, nebo třeba jenom moderní a slušně vychované... analogicky podle situace v oblasti driverů obecně, kde staré "NTDM" drivery často nemají ikonku v device manageru, a modernější slušně vychované WDM/WDK drivery obvykle ano.
Filtry souborového systému fungují jiným způsobem než NDIS filtry, není tu žádná společná báze. Device Manager vám zobrazí v zásadě ovladače obsluhující fyzický či virtuální hardware, popř. v něm dohledáte jejich filtry (ač to dá dost práce). To platí ale o typech zařízení, která se filtrují standardním způsobem ("zavěšení" nad zařízení, které chtějí filtrovat), "moderní" FS filtry a NDIS filtry fungují jinak (zřejmě kvůli výkonu). Koneckonců, plug&play ovladače, kterých je drtivá většina, se v paměti vyskytují právě v případě, že je jich zapotřebí.

Citace
Taky jsem zkoušel hledat v regeditu, a našel jsem u konkrétního síťového adaptéru větev Linkage a v ní položku FilterList, což je textový seznam odkazů na jakési GUIDy... které jsem dohledal někam do podvětví HKLM\SYSTEM\CurrentControlSet\Control\Network\{4d36e974-e325-11ce-bfc1-08002be10318}. Všude samé GUIDy. Nemám rád GUIDy. Zkoušel jsem brouzdat nápovědou netsh a netcfg, jestli by nebyl lidský seznam, ale kde nic tu nic.
Ano, čekal bych něco takového. GUID je velmi oblíbený druh indexu (je dostatečně dlouhý, aby byl jedinečný).

Citace
Všimněte si, že Microsoftí vlastní firewall v seznamu "filter driverů" nenajdete. Někdo tady káže vodu a pije víno :-) Bodejť ne, když si především sami napsali celý NDIS framework - zdvořile se zavádět a standardně se představit musí všichni *ostatní* :-) Tj. všichni ostatní zdvořilí.
Protože Windows Firewall není implementovaný prostřednictvím filtru NDIS, ale je to Callout driver používající rozhraní Windows Filtering Platform. Z toho také vyplývalo, že pracuje nejníže na IP vrstvě (WFP už umí filtrovat i linkovou, je to novinka cca od Windows 8/8.1, ale nevím, zda to do firewallu zarhnuli). Ovladače spojené s NDIS se dostávají do akce až pod firewallem.

Citace
Zdvořilý malware je hloupý a trapný. Skutečný malware bydlí v kernelu a háčkuje kernel API. Klasika jsou kejkle s tabulkou procesů, ale i pro nás by se určitě našla nějaká tabulka symbolů v síťovém stacku nebo nějaká příhodná tabulka NDIS callbacků apod.

Taková tabulka by se určitě našla. Otázka je, jak moc je hlídána proti těmto změnám technologií KPP (Patchguard). Nějaké šachování se spojovým seznamem procesů (ne, není to tabulka, tabulka tu je jen jako mapovátko jejich čísel na jejich datové struktury) či "háčkování API" se v dnešní době moc praktikovat nedá, protože naopak vede k nestabilitě sytému (KPP v případě nalezené modifikace vyvolá BSOD). Samozřejmě, je to o tom najít datovou strukturu, která (zatím) hlídána není.

Citace
Čili trochu šikovný malware je na úrovni MS firewallu, může se snažit ho vyšachovat apod. V seznamu zdvořilých NDIS driverů potažmo šikovný malware není vidět. Jakmile jednou dostanete svůj driver do kernelu, můžete téměř všecko.

Ano, jakmile jste v jádře, bezpečnostní pravidla pro vás neplatí, protože jste prostě důvěryhodný. A vzhledem ke sdílení adresového prostoru s ostatními ovladači se nikoho na nic ptát nemusíte. Pro vstup do kernelu je ale potřeba podpis důvěryhodným certifikátem, což, jak se mi zatím jeví, je pro autory malware stále dost problém (rozhodně to není běžná praxe).

Citace
Další možný "vektor útoku" je tradičně v user space - tradičně výměnou/zaháčkováním winsock2.dll (nebo jak se ta knihovna dneska jmenuje). Jakákoli user-space aplikace, která jede přes sockety (včetně raw socketů? včetně ICMP utilit?) musí skrz winsock.dll. Pokud hijacknete winsock.dll, držíte v hrsti prakticky všechny síťoviny v user space, a nemusel jste ani prosadit svůj driver do kernelu. V cestě Vám stálo "jenom" user-space UAC. Existují legitimní softwarové balíky, které tohle dělají - tradičně socks proxy. Obecně háčkovat DLL (prakticky celé WinAPI) umí třeba APImonitor. Logicky malware útočící na winsock.dll toto nebude nikde roztrubovat. Navíc v případě háčkování winsock.dll ani nevím o možnosti, jak toto udělat "zdvořile" = podle mého admin ani nemá kam se podívat po nějakém seznamu zavěšených procesů/knihoven třetích stran.
Ano, toto se dá. Pokud se ale jedná o úpravu DLL na disku (ne v paměti aplikací, které chceme přesměrovávat), lze na to přijít pravidelnou kontrolou integrity (tyhle systémové DLLky bývají digitálně podepsané Microsoftem).

Správě byste samozřejmě měl pracovat pod opravdovým účtem s omezenými právy (pak je pro projití UAC třeba heslo a nefungují ani běžné triky, pokud vynecháme bugy). Ale z historických důvodů to nepatří k běžné domácí praxi.

Re:Jsem připojená k síti (wifi), ale intertnet nejde
« Odpověď #88 kdy: 06. 03. 2018, 17:52:37 »
@MD: velice Vám děkuji za působivou smeč :-) Takhle v kostce bych se tohle všechno nikde jinde nedočetl.

?

Re:Jsem připojená k síti (wifi), ale intertnet nejde
« Odpověď #89 kdy: 06. 03. 2018, 18:54:56 »
V úplně první odpovědi jsem jako první radu navrhoval odintalovat antivir, takže bych se rád zeptal, když už jsme na té 6. stránce, zda již je konečně odinstalovaný.