Help по ADSL - атаки на порт 2048?!

[SDT]

Help по ADSL - атаки на порт 2048?!

Всем доброго времени суток!
Обнаружил поток запросов ICMP, поступающих на порт 2048 каждые 10-15 сек. с адреса... моего ADSL-роутера! Мой Agnitum Outpost их благополучно блокирует, но непонятная ситуация раздражает.
Дальше - больше. Оказалось, что стандартный IP роутера странным образом совпадает с IP домена

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

. В последнее время Outpost уже так и пишет "lct-company.ru" - вместо цифрового адреса роутера. При указании этого домена в командной строке открывается сам модем.
Причем такая история повторяется при использовании двух разных
компов.
Позвонил в Укртелеком. Там парни проверили и подтвердили: да, IP роутера и

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

, действительно, совпадают, но точно установить, что же происходит, пока не смогли.
Кто-нибудь с таким сталкивался?

 

[myxa_aka_fly]

бг, ну у доменного имени lct-company.ru действительно прописан фэйковый айпи 192.168.1.1, но тогда эта проблема должно быть не только у вас, могу посоветовать сменить вашу домашнюю подсеть на 172.16.16.0 вместо 192.168.1.0 в настройках роутера-модема

какой-то горе-админ прописал доменному имени три айпи адреса, два фейковых и один реальный)))))

C:\Users\Myxa>nslookup lct-company.ru
google-public-dns-a.google.com
Address: 8.8.8.8

Не заслуживающий доверия ответ:
╚ь*: lct-company.ru
Addresses: 192.168.1.12
192.168.1.1
195.189.108.116

 

[SDT]

Спасибо Вам! Отозвались сразу же и дали точные и полезные рекомендации.Поставил Вам плюс в репу.
Уже написал админам сайта lct-company.ru, изложив ситуацию и добавив Ваши соображения. Им и самим, наверное, не хотелось бы, чтобы миллионы пользователей ADSL по адресу их сайта попадали в собственный модем и яро матерились. Популярности ресурсу это не добавит.
Посмотрим, ответят ли они и что ответят.

могу посоветовать сменить вашу домашнюю подсеть на 172.16.16.0 вместо 192.168.1.0 в настройках роутера-модема

Пробовал по-всякому... Не хочет упрямый ADSL-модем менять свой родной, исконный IP.

 

[Prince]

 

[myxa_aka_fly]

Пробовал по-всякому... Не хочет упрямый ADSL-модем менять свой родной, исконный IP.

фактори рэсэт ему и настройте заново, а зачем вам на компе фаервол если сам модем по сути является фаерволом

 

[SDT]

Практика показала, что аппаратный и программный файерволлы неплохо дополняют друг друга. Мой Agnitum Outpost неоднократно перехватывал мелкие атаки, которые пропускал роутер.
Ресет с модемом не поможет. Как я понимаю, IP 192.168.1.1 у всех ADSL-модемов прописан в прошивке. У меня их 2 - D-Link и Westell (привезенный в подарок из США). Причем Westell я перепрошивал фирменной прошивкой под наши стандарты. Однако IP 192.168.1.1 стоял у обоих во всех вариантах.
Хлопцы с lct-company.ru пока ничего не ответили. Похоже, и не ответят, поскольку последние новости на сайте - от 2007 г.

 

[myxa_aka_fly]

по умолчанию 192.168.1.1 но без проблем меняется на любой другой, так-что не пишите ерунды

какие же атаки мог пропустить роутер модема если вы сидите за NATом? опять сказка какая-то)))

 

[Prince]

Да не ответят "хлопцы с сайта". Видел когда-то домен, который указывал на 127.0.0.1

 

[SDT]

какие же атаки мог пропустить роутер модема если вы сидите за NATом? опять сказка какая-то)))

Да, малопонятно. Однако Agnitum Outpost блокирует эти ICMP как "подозрительные пакеты". Вот я и пытаюсь понять, что же происходит.
Возможно, это не внешние атаки, а работа вируса, который я еще не выловил. Но тогда непонятно, почему на втором модеме (D-Link, без Wi-Fi) этот эффект не наблюдается. Не знаю, может ли вирус осесть во флэше модема...
Кстати, при работе с торрентами мой Agnitum Outpost достаточно систематически блокирует RST-атаки и попытки сканирования портов, которые роутер не отражает.

 

[romal333]

по умолчанию 192.168.1.1 но без проблем меняется на любой другой, так-что не пишите ерунды

какие же атаки мог пропустить роутер модема если вы сидите за NATом? опять сказка какая-то)))

Согласен.

 

[myxa_aka_fly]

удалить нафиг аутпост и проблема будет решена, сидя за натом он совсем не нужен, а ICMP пакеты это обычный ping, какие тут могут быть взломы и атаки)))) при работе торрента все фаерволы пишут всякую ерунду, т.к. торрент не закреплён к определённому TCP UDP порту и коннектны постоянно происходят с разных портов

 

[SDT]

Спасибо, почитал, поразмыслил, соглашаюсь: вряд ли это внешняя атака. Но вопрос, что это именно, пока остается открытым.
На днях проведу ряд экспериментов и доложу о результатах.

 

[myxa_aka_fly]

повторюсь, сбрасываем в заводские настройки, прошиваем последней прошивкой, снова сбрасываем, меняем внутреннюю подсеть на 172.17.17.1 255.255.255.0 если надо переносим руками порты, либо удаляем нафиг аутпост и пользуемся дальше)

 

[SDT]

Да не ответят "хлопцы с сайта".

На удивление - ответили! Сегодня получил:

Здравствуйте!
Вроде поправили, проверьте, пожалуйста, и если не сложно отпишите о результате...

Отписал, что результаты проверки пока неудовлетворительные:

Проверка на

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

показала:

-----------------------------------------------------------
DNS Watch — Просмотр DNS-записей

Записи DNS для домена LCT-COMPANY.RU

Resource records
lct-company.ru. SOA. lct.lct-company.ru. hostmaster.lct-company.ru. 2038. 900. 600.
86400. 3600. IN. 3600.
lct-company.ru. A. 195.189.108.116. IN. 600.
lct-company.ru. A. 192.168.1.1. IN. 600.
lct-company.ru. A. 192.168.1.12. IN. 600.
lct-company.ru. NS. server.lct-company.ru. IN. 3600.
lct-company.ru. NS. lct.lct-company.ru. IN. 3600.

Authoritative Name Servers
lct-company.ru. NS. lct.lct-company.ru. IN. 3600.
lct-company.ru. NS. server.lct-company.ru. IN. 3600.

Additional Records
server.lct-company.ru. A. 192.168.1.12. IN. 3600.
-----------------------------------------------------------
Как я понимаю, на DNS-серверах все еще остаются адреса:
192.168.1.1.
192.168.1.12.
Почему - честно говоря, не знаю...

 

[myxa_aka_fly]

чего вы пристебались к ихнему домену, пусть делают чего захотят, завтра я на своих доменах пропишу 192.168.1.1 и вы меня дербанить начнёте? это ничего не даст, просто в дальнейшем аутпост вам будет показывает вместо ихнего доменного имени айпи, вам станет легче? меняйте внутреннюю подсеть! только опять же думаю аутпост всё-равно не успокоится и начнёт писать новый присвоенный модему айпи)

 

[SDT]

чего вы пристебались к ихнему домену, пусть делают чего захотят, завтра я на своих доменах пропишу 192.168.1.1

Вообще говоря, такие IP зарезервированы, и прописывать их своим доменам не есть нормально. Это либо ошибка, либо сетевое хулиганство. Екатеринбуржцы все поняли правильно, без всякого раздражения, и меня поблагодарили.
У них есть правильный IP - 195.189.108.116, по нему можно зайти на их сайт. Вполне приличная фирма по сервису ноутбуков. кто им вдобавок воткнул дополнительно пару левых IP и зачем - остается загадкой.

 

[myxa_aka_fly]

прописывать их своим доменам не есть нормально. Это либо ошибка, либо сетевое хулиганство.

пасиба поржал)))) хулиганство))))) эти айпи каждый использует как ему угодно, нищие локальные сети активно их используют, где написано, что прикручивать их к доменным именам для локальных ресурсов хулиганство? )))))

 

[Prince]

пасиба поржал)))) хулиганство))))) эти айпи каждый использует как ему угодно, нищие локальные сети активно их используют, где написано, что прикручивать их к доменным именам для локальных ресурсов хулиганство? )))))

+100500
Я уже писал про домен с пришитым ИП 127.0.0.1

 

[myxa_aka_fly]

Я уже писал про домен с пришитым ИП 127.0.0.1

ну это просто народ у себя на компе web сервер поднял чтобы сайты лепить и тестить, наверное файл host править лень было или антивирус потом ругается на левую инфу в нём

 

[Prince]

ну это просто народ у себя на компе web сервер поднял чтобы сайты лепить и тестить, наверное файл host править лень было или антивирус потом ругается на левую инфу в нём

Нет, там и домен стёбный был, судя по всему чел зарегал домен и вбил туда петлю, просто чтобы приколоться. Название прикольное было, жаль запамятовал...