Kotiverkossa satunnaisesti sisään tulevaa verkkoliikennettä kaistan täydeltä, jolle ei löydy asiakasta

  • Keskustelun aloittaja Keskustelun aloittaja Alppis
  • Aloitettu Aloitettu
Liittynyt
21.10.2016
Viestejä
199
Viimeisen viikon aikana on kotiverkkoa vaivannut otsikon mukainen ongelma, eli satunnaisesti netti alkaa ns. "tökkimään" ja reitittimen (Asus RT-AC86U / Asuswrt-Merlin 386.3_2) mukaan sisään tulevan verkkoliikenteen määrä on noin liittymän (100/100 Mbit/s) maksiminopeus, mutta reitittimen käyttöliittymästä ei löydy sellaista laitetta, joka tuon kaiken kaistan rohmuaisi. Tämän tuloksena yksittäisen asiakaslaitteen saama latauskaistanleveys putoaa jonnekin 0-3 Mbit/s välimaastoon. Lähetysnopeuteen tällä ei ole ollut vaikutusta.

Näitä tapauksia on nyt ollut kolmena tai neljänä päivänä viimeisen viikon aikana ja kesto on ollut 10 minuutista aina kolmeen tuntiin. Reitittimen asiakaslistauksessa ei näy tuntemattomia asiakkaita eikä myöskään kaistanleveyden valvonnasta selviä, mikä asiakas tuota kaistaa käyttäisi. Ajallisestikin nämä tapahtumat ovat sijoittuneet aina aamu kymmenen ja ilta kymmenen välille. Reitittimen uudelleenkäynnistyksellä ongelma ei ratkea, vaan jatkuu samanlaisena heti reitittimen käynnistyttyä uudelleen ja loppuu satunnaisen ajan päästä itsekseen. En oikein ymmärrä, mistä tämä verkkoliikenne voisi olla peräisin. Kotiverkossa on rasbi pyörittämässä Adguard Home + Unbound komboa, mutta nämä eivät ole avoinna ulkoverkkoon päin. Asus Instant Guard VPN on ollut reitittimessä käytössä, mutta senkään käytöstä poistaminen ei ratkaissut ongelmaa.
 
Kyllähän tuo kuulostaisi vähän just DDOS -tyyliseltä tapaukselta.
Kannattanee kysästä operaattoriakin tutkimaan asiaa jos kerta haittaa käyttöä noin paljon.

Onko sattunut jossain pelissä tai muussa jotain sellaista, että joku ois ottanut siitä herneen nenään, näitäkin tapauksia löytyy...
 
Ehkä porttiskannausta, katso vaikka AbuseIPDB - IP address abuse reports - Making the Internet safer, one IP at a time
Skannaa itse itsesi vaikka tällä grc.com:n ShieldsUp!:illa GRC | ShieldsUP! — Internet Vulnerability Profiling
Jos tuloksissa 0-1055 ei ole pelkkää vihreää, niin konffaa palomuuria. Esim. Closed-portit nopeuttavat hakkereiden tekemää skannausta vs Stealth.

Täytyypä tutkia tuota omien porttien skannausta jossain kohtaan. Tuossa reitittimen palomuurissa ei ole pahemmin mitään, mitä voisi säätää. Vaihtoehdot on palomuuri päälle / pois ja IPv6 palomuuri päälle / pois. Reitittimen DoS suojaus on päällä myös, sitä en tiedä kuinka toimiva se on. Yhtään port forwarding sääntöä ei ole tehty reitittimeen. UPnP on käytössä, koska mikäli sen poistaa käytöstä, lakkaa esimerkiksi Chromecast toimimasta.

Kyllähän tuo kuulostaisi vähän just DDOS -tyyliseltä tapaukselta.
Kannattanee kysästä operaattoriakin tutkimaan asiaa jos kerta haittaa käyttöä noin paljon.

Onko sattunut jossain pelissä tai muussa jotain sellaista, että joku ois ottanut siitä herneen nenään, näitäkin tapauksia löytyy...

Operaattorin (DNA) asiakaspalveluun tuosta jo soittelinkin ja tarjosivat asentaja ihmettelemään tilannetta nopeuslupauksen pohjalta. Asiakaspalvelijan mukaan ei koskaan hänen uransa aikana ole tullut vastaan DoS hyökkäyksiä. Millä lie taikasanoilla pääsisi sitten juttelemaan DNA:n päässä sellaisen tyypin kanssa, joka osaisi asiaa selvitellä. Vähän veikkaan, ettei asentaja kovin kauaa ihmettele, kun on jo mulla lasku kourassa tyhjästä käynnistä. Sen mitä kerkeää pelata, niin 90% tulee pelattua tällä hetkellä yksinpelejä eikä kyllä muutenkaan ole tietääkseni mitään sellaista tapahtunut, josta joku voisi oikein ottaa herneen nenään.
 
UPnP on käytössä, koska mikäli sen poistaa käytöstä, lakkaa esimerkiksi Chromecast toimimasta
UPnP on kyllä erittäin epäilyttävä, varsinkin jos sitä ei voi mitenkään kontrolloida vaan se on auki jokaiselle laittelle LANissa. Itse en ole koskaan tarvinnut missään verkossa UPnP:tä Chromecastin tai Miracastin kanssa. Laita se pois ja ellei Chromecast toimi, etsi vikaa muualta. Ei kai client isolaatio ole päällä wifissä?

DNA taitaa estää ihan pyytämättä portit alle 1024:n, paitsi ehkä 5G kotiliittymissä. On siinä tietysti vielä 63k muuta porttia mahdolliista saada vastaamaan jotakin hakkereille.

Kai myös palomuurista saa sen verran logia, että sisäänpyrkijöiden IP:t saa näkyviin, ja niillä etsii tuolta abuseipdb:stä. Mitä ne ovat tehneet jollekin toiselle, samaa ne tekevät sinulle.
 
Hieman tuoksahtaa mahdollinen bottiverkko ruuterissa itsessään. Satunnaisesti kaista tukkiutuu ja palautuu normaaliksi
 
Hieman tuoksahtaa mahdollinen bottiverkko ruuterissa itsessään. Satunnaisesti kaista tukkiutuu ja palautuu normaaliksi
Epätodennäköistä, uppikaistahan on normaali, DL menee tukkoon. Lisäksi botin isännälle sen ei ole tarkoitus paljastua
 
Enpä muista mitä Merlinissä oli työkaluja GUI:ssa, mutta jos liikenne reitittimelle asti tulee, niin sitten sitä voi satavarmasti tarkastella esim tcpdumpilla:


Kaikki muu on turhaa spekulaatiota.
 
Täytyy myös todeta "hakkeroi itse palomuurisi (joka säätämisen jälkeen)" lisäksi, että nämä ovat perusjuttuja, mitä palomuurin pitää näyttää. Jos tuo Asus Merlin ei näihin pysty vastaamaan, niin on parempi paiskata se SERriin ja hommata jotain parempaa tilalle, joka pystyy esim. tallentamaan logia pitkältä ajalta.
 
DNA taitaa estää ihan pyytämättä portit alle 1024:n, paitsi ehkä 5G kotiliittymissä. On siinä tietysti vielä 63k muuta porttia mahdolliista saada vastaamaan jotakin hakkereille.
Kiinteissä kuluttajaliittymissä ei käsittääkseni ole suljettu kuin ne suositellut.
Tuo alle 1024 porttin laaja sulkeminen koskee liikkuvialaajakaista liittymiä, vaikka olisi julkinen IPv4.
Liikkuvassakin IPv6 taisi olla suljettuna vain suljettavaksi suositellut portit.

Täytyy myös todeta "hakkeroi itse palomuurisi (joka säätämisen jälkeen)" lisäksi, että nämä ovat perusjuttuja, mitä palomuurin pitää näyttää. Jos tuo Asus Merlin ei näihin pysty vastaamaan, niin on parempi paiskata se SERriin ja hommata jotain parempaa tilalle, joka pystyy esim. tallentamaan logia pitkältä ajalta.
Tuli mieleen että oliko tuo laitetoimittajan oma ohjelmisto, tai siis saa muitakin ohjelmistoja. ennen kuin kiikuttaa SER lavalle.

Aloittajan ketomuksen mukaan ongelma ajoittuu "päiväsaikaan", mikä ei ihan kokoaan poissulje omia laitteita.
Jos epäilee että joku kohdistaa julkiseen IPhen liikenenttä, vahingossa tai tahallaan, niin julkisen IPn vaihto.

Logien selailau luulisi jotain hajua antavan, tosin jos vääntää kaikki logirivit päälle, niin voi silläkin saada ongelmia aikaan...
 
Viimeksi muokattu:
UPnP on kyllä erittäin epäilyttävä, varsinkin jos sitä ei voi mitenkään kontrolloida vaan se on auki jokaiselle laittelle LANissa. Itse en ole koskaan tarvinnut missään verkossa UPnP:tä Chromecastin tai Miracastin kanssa. Laita se pois ja ellei Chromecast toimi, etsi vikaa muualta. Ei kai client isolaatio ole päällä wifissä?

DNA taitaa estää ihan pyytämättä portit alle 1024:n, paitsi ehkä 5G kotiliittymissä. On siinä tietysti vielä 63k muuta porttia mahdolliista saada vastaamaan jotakin hakkereille.

Kai myös palomuurista saa sen verran logia, että sisäänpyrkijöiden IP:t saa näkyviin, ja niillä etsii tuolta abuseipdb:stä. Mitä ne ovat tehneet jollekin toiselle, samaa ne tekevät sinulle.

Client isolaatio ei ole päällä wifissä, mutta Chromecastit lakkaa löytymästä, mikäli tuon UPnP nappaa pois päältä. Mistä muualta tuota vikaa sitten lähtisi etsimään? UPnP on päällä "secure modessa", joka napin kuvauksen perusteella estää clienttiä forwardoimasta porttia muuhun IP osoitteeseen kuin omaansa. Tiedä kuinka paljon tuo secure mode sitten lohduttaa.

Hieman tuoksahtaa mahdollinen bottiverkko ruuterissa itsessään. Satunnaisesti kaista tukkiutuu ja palautuu normaaliksi

Oikeastaan ainoat vaihtoehdot mitä itselle tulee mieleen on, että reititin olisi korkattu / osana bottiverkkoa tai sitten DoS hyökkäys. Ensimmäinen vaihtoehto vaikuttaisi kovin oudolta, kun tosiaan verkkoliikennettä tulee ainoastaan omaan verkkoon päin, eikä ulospäin suuntautuvaa liikennettä ei ole. Alla kuvassa Speedtest Trackerin tuloksia noin kahdelta viime vuorokaudelta (mittausvälinä 15min), jossa punaisella alleviivattu noin tunnin kestänyt verkon latausnopeuden notkahdus. Muut yksittäiset notkahdukset ovat luultavasti seurausta muusta omasta verkkoliikenteestä (päivitysten lataukset, Netflix / Youtube, tms.).
Speedtest tulokset.PNG

Enpä muista mitä Merlinissä oli työkaluja GUI:ssa, mutta jos liikenne reitittimelle asti tulee, niin sitten sitä voi satavarmasti tarkastella esim tcpdumpilla:


Kaikki muu on turhaa spekulaatiota.
Kiinteissä kuluttajaliittymissä ei käsittääkseni ole suljettu kuin ne suositellut.
Tuo alle 1024 porttin laaja sulkeminen koskee liikkuvialaajakaista liittymiä, vaikka olisi julkinen IPv4.
Liikkuvassakin IPv6 taisi olla suljettuna vain suljettavaksi suositellut portit.


Tuli mieleen että oliko tuo laitetoimittajan oma ohjelmisto, tai siis saa muitakin ohjelmistoja. ennen kuin kiikuttaa SER lavalle.

Aloittajan ketomuksen mukaan ongelma ajoittuu "päiväsaikaan", mikä ei ihan kokoaan poissulje omia laitteita.
Jos epäilee että joku kohdistaa julkiseen IPhen liikenenttä, vahingossa tai tahallaan, niin julkisen IPn vaihto.

Logien selailau luulisi jotain hajua antavan, tosin jos vääntää kaikki logirivit päälle, niin voi silläkin saada ongelmia aikaan...

Tuosta Asuksen purkista löytyy "System Log" -välilehden alta "General Log", mutta ainakaan tuon viimeisen tapauksen ajalta sieltä ei löydy kuin "wlceventd" ja "rc_service: dhcp6c *******:notify_rc restart ddns" tapahtumia, joita löytyy lokilta myös verkon toimiessa normaalisti. Toinen paikka reitittimessä, mistä jotain voisi yrittää kaivella on "Network Tools" -välilehden alta löytyvä "Netstat", mutta tuota pitäisi sitten osata käyttää ja suurin piirtein tietää, mitä on etsimässä (ja sama homma sitten tuon tcpdumpin kanssa). "Method" dropdownin alta löytyy sitten vaihtoehtona vielä Netstat-NAT. Olisko näistä mitään iloa selvittelyssä ja minkä nimisiä tietoa noista pitäisi etsiä?
Network tools.PNG
Päiväsaikaan, 10:00 - 23:00 välille, ovat tosiaan ajoittuneet ne tapaukset, jotka itsellä on tiedossa. Eli ihan täysin ei voi sulkea pois sitä, että ongelmia olisi myös yöaikaan ollut, mutta ennen Speedtest Trackerin käyttöönottamista ei itsellä ole ollut keinoa niitä huomata. Yhteystyyppinä reitittimessä on "Automatic IP", eli käsittääkseni operaattori dynaamisesti assignoi asiakkaille näitä julkisia IP osoitteita. Pitäisikö uuden IP osoitteen pyytäminen onnistua suoraan reitittimestä vai vaatiiko soiton operaattorin asiakaspalveluun kuten oletan?
 
Client isolaatio ei ole päällä wifissä, mutta Chromecastit lakkaa löytymästä, mikäli tuon UPnP nappaa pois päältä. Mistä muualta tuota vikaa sitten lähtisi etsimään? UPnP on päällä "secure modessa", joka napin kuvauksen perusteella estää clienttiä forwardoimasta porttia muuhun IP osoitteeseen kuin omaansa. Tiedä kuinka paljon tuo secure mode sitten lohduttaa.
En tuota purkkia tunne, mutta tulee mieleen että onko palumuurisi muuten tiukka. Tuo purkki tarvii kuitekin yhteyksiä mailmalle, vaikka paikallisia juttuja käytät. ja suurin osa tyypillisestä käytöstä taitaa olla sellaista että liikenne tulee suoraan netistä.

Josta taasen tuli mieleen että olisiko tuolla osasyytä ongelmiin, tosin jos joku yksittäinen streemi törmää reittimeen, niin ei se koko putkea tuki. Eli voi olla aika kaukaa haettu.


Netti siis oli jokin tyypillinen kotinetti, kaapelimedeemi kuitu/ethernet, IPV4 julkinen ip.
 
Päiväsaikaan, 10:00 - 23:00 välille, ovat tosiaan ajoittuneet ne tapaukset, jotka itsellä on tiedossa. Eli ihan täysin ei voi sulkea pois sitä, että ongelmia olisi myös yöaikaan ollut, mutta ennen Speedtest Trackerin käyttöönottamista ei itsellä ole ollut keinoa niitä huomata. Yhteystyyppinä reitittimessä on "Automatic IP", eli käsittääkseni operaattori dynaamisesti assignoi asiakkaille näitä julkisia IP osoitteita. Pitäisikö uuden IP osoitteen pyytäminen onnistua suoraan reitittimestä vai vaatiiko soiton operaattorin asiakaspalveluun kuten oletan?
Todennäköisesti ei saa suoraan laitteesta pyydettyä uutta IP:tä mutta sammuttamalla purkin joksikin aikaa (ehkä tunti, että lease pääsee vanhenemaan) operaattori ainakin antaa uuden osoitteen.

Tietenkin tcpdumpilla tuon liikenteen tutkiminen olisi varmaan helpoin tapa selvittää mikä siellä oikein liikennöi. Tietty voi kokeilla niinkin että ongelman alkaessa ottaa kaikki muut laitteet pois verkosta ja jos liikenne loppuu niin joku verkosta irrotetuista laitteista on osasyyllisenä liikenteeseen. Samoin tcpdumppia ajaessa kannattaa ottaa ylimääräiset laitteet verkosta pois ettei niiden verkkoliikenteestä tule ylimääräistä kohinaa dumppiin, ainakin windows-koneet kun tuppaavat höpöttelemään oletusarvoisesti lähes koko ajan jonnekin.

Netstatillakin tietty näkee mitä portteja ja yhteyksiä on auki joten siitäkin varmaan voisi jotain päätellä. Ottaa vaikka ongelman aikana ja toimivan yhteyden aikana erilliset listat mitä yhteyksiä on olemassa ja niitä vertailemalla voisi koittaa päätellä jotain.
 

Statistiikka

Viestiketjuista
261 396
Viestejä
4 536 806
Jäsenet
74 795
Uusin jäsen
karhuluu

Hinta.fi

Back
Ylös Bottom