NAS ja pätkivä netti

[Jaamäävai]

Sain taannoin kaverilta Buffalon vanhahkon verkkolevyn, jonka sainkin toimimaan. Hidas se on mutta täyttää tarpeeni.

Toista viikkoa meni hyvin. Ongelmia alkoi ilmetä toissapäivänä. Levy on kiinni Huawein 4G-reitittimessä, netti alkoi pätkiä. Huawein buuttaaminen auttoi vain hetkeksi.

Katsoin logia, ja siellä oli ilmoitus " Detect UDP port scan attack, scan packet from 192... =mun levyn IP ".
Irroitin levyn reitittimestä ja toistaiseksi on toiminut. EIkä tuo ilmo ole tietenkän toistunut.

Sattumaa vai jotain muuta ?

 

[mikajh]

Katsoin logia, ja siellä oli ilmoitus " Detect UDP port scan attack, scan packet from 192... =mun levyn IP ".

Tuo on puhtaasti LANissasi tapahtuvaa. Jos netti siihen katkeaa, niin johtunee siitä, että Huihai ottaa täpinöissään ylikierroksia eikä tee oikeita hommia

 

[Jaamäävai]

OK. Moista epäilinkin, Huihai ei jaksa. Eroon ongelmasta ei päässe muuta kuin just kaapelin irroituksella.

Samapa tuo, varmuuskopiointiin se levy vain onkin.

Kiitos.

 

[Jaamäävai]

Mutta miksi ELisan IP boksia kolkuttaa? Tämä onkin uusi juttu.

2023-06-11 00:42:00 Security Warning Detect UDP port scan attack, scan packet from 195.74.0.47

 

[mikajh]

Mutta miksi ELisan IP boksia kolkuttaa?

Onko Elisan sim Huihaissa? Jos kyllä, niin ehkä Elisan omavalvontaa (ettei sen liittymiä käytetä laittomuuksiin). Jos ei, niin aloitteleva hakkeri asialla

 

[Jaamäävai]

Tässä Elisan selitys:
Vaikea sanoa tarkalleen mitä UDP paketti on sisältänyt, mutta yleisin syy on tämä:

Kun laite verkossasi yrittää käyttää verkkosivustoa tai muuta resurssia Internetissä, sen on muunnettava vastaava verkkotunnus IP-osoitteeksi. Tätä prosessia kutsutaan DNS-tiedonhakuksi. Tyypillisesti reititin toimii DNS-tiedonhakijana verkkosi laitteille. Se vastaanottaa DNS-kyselyjä laitteista ja välittää ne eteenpäin DNS-palvelimille. DNS-palvelin vastaa reitittimelle UDP-paketeissa, jotka sisältävät pyydetyt tiedot, kuten verkkotunnusta vastaavan IP-osoitteen

 

[mikajh]

Miten tuo vastaus liittyy Elisan osoitteesta tehtyyn UDP-porttiskannaukseen sinulle päin?

 

[telcoM]

195.74.0.47 on ns1.sci.fi, eli DNS-nimipalvelin Elisan verkkosegmentissä joka kuului aikaisemmin sci.fi-yhteydentarjoajalle. Jos omassa verkossasi olevat koneet tekevät huomattavan paljon DNS-kyselyjä UDP:llä suoraan tuolle nimipalvelimelle, reititin saattaa luulla saapuvien vastauspakettien ryöppyä porttiskannaukseksi (etenkin jos sen porttiskannauksen tunnistus on turhan herkkä, kuten aika usein on). Toki on mahdollista että Elisa on alkanut käyttämään tuota nimipalvelinta myös omavalvontaan.

Tai sitten... <huokaus> jos tuon ns1.sci.fi (alias ns.sci.fi, alias decker.sci.fi) palvelimen ylläpito on unohdettu ja se on jäänyt konehuoneen nurkkaan pyörimään itsekseen "koska joku sitä kumminkin vielä käyttää nimenselvitykseen", on toki mahdollista että se olisi korkattu ja joku tunkeutuja/haittaohjelma skannailisi portteja uusien uhrien etsimismielessä. Mutta en pitäisi sitä ensimmäisenä mahdollisena selityksenä, koska näyttää siltä että tuota saavat käyttää nimipalvelimena vain Elisan asiakkaat: ulkopuolisille se ei vastaa ollenkaan (tai on palomuuritettu) - näyttää siis siltä että Elisan nimipalvelinten ylläpidolla on ainakin perusasiat kohdallaan.

 

[mikajh]

Jos omassa verkossasi olevat koneet tekevät huomattavan paljon DNS-kyselyjä UDP:llä suoraan tuolle nimipalvelimelle, reititin saattaa luulla saapuvien vastauspakettien ryöppyä porttiskannaukseksi

Jos reititin on tyhmä (ei sisällä cachettavaa DNS resolveria) ja lähiverkossa on tyhmiä asiakkaita (kysyvät vaikka olematonta nimeä sekunnin välein), kannattaa ehdottomasti lisätä joku älykäs DNS-serveri verkkoon suodattamaan tällainen melu tukkimasta sitä sekundareititintä.

E: Eli tuo "uusi" asiakas lähiverkossa (Buffalo NAS) menee hyvin todennäköisesti kategoriaan tyhmä. Se voi vaikka soitella kotipesään, jota ei enää ole.
Myös reititin lienee tyhmä, ja yhdessä nämä ovat niin huono kombo, että "verkko alkaa pätkimään" mot.