Help по ADSL - атаки на порт 2048?!

SDT · 16.03.2012

Help по ADSL - атаки на порт 2048?!

Всем доброго времени суток!
Обнаружил поток запросов ICMP, поступающих на порт 2048 каждые 10-15 сек. с адреса... моего ADSL-роутера! Мой Agnitum Outpost их благополучно блокирует, но непонятная ситуация раздражает.
Дальше - больше. Оказалось, что стандартный IP роутера странным образом совпадает с IP домена

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

. В последнее время Outpost уже так и пишет "lct-company.ru" - вместо цифрового адреса роутера. При указании этого домена в командной строке открывается сам модем.
Причем такая история повторяется при использовании двух разных
компов.
Позвонил в Укртелеком. Там парни проверили и подтвердили: да, IP роутера и

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

, действительно, совпадают, но точно установить, что же происходит, пока не смогли.
Кто-нибудь с таким сталкивался?

myxa_aka_fly · 16.03.2012

бг, ну у доменного имени lct-company.ru действительно прописан фэйковый айпи 192.168.1.1, но тогда эта проблема должно быть не только у вас, могу посоветовать сменить вашу домашнюю подсеть на 172.16.16.0 вместо 192.168.1.0 в настройках роутера-модема

какой-то горе-админ прописал доменному имени три айпи адреса, два фейковых и один реальный)))))

C:\Users\Myxa>nslookup lct-company.ru
google-public-dns-a.google.com
Address: 8.8.8.8

Не заслуживающий доверия ответ:
╚ь*: lct-company.ru
Addresses: 192.168.1.12
192.168.1.1
195.189.108.116

SDT · 16.03.2012

Спасибо Вам! Отозвались сразу же и дали точные и полезные рекомендации.Поставил Вам плюс в репу.
Уже написал админам сайта lct-company.ru, изложив ситуацию и добавив Ваши соображения. Им и самим, наверное, не хотелось бы, чтобы миллионы пользователей ADSL по адресу их сайта попадали в собственный модем и яро матерились. Популярности ресурсу это не добавит.
Посмотрим, ответят ли они и что ответят.

myxa_aka_fly сказав(ла):
могу посоветовать сменить вашу домашнюю подсеть на 172.16.16.0 вместо 192.168.1.0 в настройках роутера-модема

Пробовал по-всякому... Не хочет упрямый ADSL-модем менять свой родной, исконный IP.

Prince · 16.03.2012

myxa_aka_fly · 16.03.2012

SDT сказав(ла):
Пробовал по-всякому... Не хочет упрямый ADSL-модем менять свой родной, исконный IP.

фактори рэсэт ему и настройте заново, а зачем вам на компе фаервол если сам модем по сути является фаерволом

SDT · 17.03.2012

Практика показала, что аппаратный и программный файерволлы неплохо дополняют друг друга. Мой Agnitum Outpost неоднократно перехватывал мелкие атаки, которые пропускал роутер.
Ресет с модемом не поможет. Как я понимаю, IP 192.168.1.1 у всех ADSL-модемов прописан в прошивке. У меня их 2 - D-Link и Westell (привезенный в подарок из США). Причем Westell я перепрошивал фирменной прошивкой под наши стандарты. Однако IP 192.168.1.1 стоял у обоих во всех вариантах.
Хлопцы с lct-company.ru пока ничего не ответили. Похоже, и не ответят, поскольку последние новости на сайте - от 2007 г.

myxa_aka_fly · 17.03.2012

по умолчанию 192.168.1.1 но без проблем меняется на любой другой, так-что не пишите ерунды

какие же атаки мог пропустить роутер модема если вы сидите за NATом? опять сказка какая-то)))

Prince · 17.03.2012

Да не ответят "хлопцы с сайта". Видел когда-то домен, который указывал на 127.0.0.1

SDT · 17.03.2012

myxa_aka_fly сказав(ла):
какие же атаки мог пропустить роутер модема если вы сидите за NATом? опять сказка какая-то)))

Да, малопонятно. Однако Agnitum Outpost блокирует эти ICMP как "подозрительные пакеты". Вот я и пытаюсь понять, что же происходит.
Возможно, это не внешние атаки, а работа вируса, который я еще не выловил. Но тогда непонятно, почему на втором модеме (D-Link, без Wi-Fi) этот эффект не наблюдается. Не знаю, может ли вирус осесть во флэше модема...
Кстати, при работе с торрентами мой Agnitum Outpost достаточно систематически блокирует RST-атаки и попытки сканирования портов, которые роутер не отражает.

romal333 · 17.03.2012

myxa_aka_fly сказав(ла):
по умолчанию 192.168.1.1 но без проблем меняется на любой другой, так-что не пишите ерунды

какие же атаки мог пропустить роутер модема если вы сидите за NATом? опять сказка какая-то)))

Согласен.

myxa_aka_fly · 18.03.2012

удалить нафиг аутпост и проблема будет решена, сидя за натом он совсем не нужен, а ICMP пакеты это обычный ping, какие тут могут быть взломы и атаки)))) при работе торрента все фаерволы пишут всякую ерунду, т.к. торрент не закреплён к определённому TCP UDP порту и коннектны постоянно происходят с разных портов

SDT · 19.03.2012

Спасибо, почитал, поразмыслил, соглашаюсь: вряд ли это внешняя атака. Но вопрос, что это именно, пока остается открытым.
На днях проведу ряд экспериментов и доложу о результатах.

myxa_aka_fly · 19.03.2012

повторюсь, сбрасываем в заводские настройки, прошиваем последней прошивкой, снова сбрасываем, меняем внутреннюю подсеть на 172.17.17.1 255.255.255.0 если надо переносим руками порты, либо удаляем нафиг аутпост и пользуемся дальше)

SDT · 21.03.2012

Prince сказав(ла):
Да не ответят "хлопцы с сайта".

На удивление - ответили! Сегодня получил:

Здравствуйте!
Вроде поправили, проверьте, пожалуйста, и если не сложно отпишите о результате...

Отписал, что результаты проверки пока неудовлетворительные:

Проверка на

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

показала:

-----------------------------------------------------------
DNS Watch — Просмотр DNS-записей

Записи DNS для домена LCT-COMPANY.RU

Resource records
lct-company.ru. SOA. lct.lct-company.ru. hostmaster.lct-company.ru. 2038. 900. 600.
86400. 3600. IN. 3600.
lct-company.ru. A. 195.189.108.116. IN. 600.
lct-company.ru. A. 192.168.1.1. IN. 600.
lct-company.ru. A. 192.168.1.12. IN. 600.
lct-company.ru. NS. server.lct-company.ru. IN. 3600.
lct-company.ru. NS. lct.lct-company.ru. IN. 3600.

Authoritative Name Servers
lct-company.ru. NS. lct.lct-company.ru. IN. 3600.
lct-company.ru. NS. server.lct-company.ru. IN. 3600.

Additional Records
server.lct-company.ru. A. 192.168.1.12. IN. 3600.
-----------------------------------------------------------
Как я понимаю, на DNS-серверах все еще остаются адреса:
192.168.1.1.
192.168.1.12.
Почему - честно говоря, не знаю...

myxa_aka_fly · 21.03.2012

чего вы пристебались к ихнему домену, пусть делают чего захотят, завтра я на своих доменах пропишу 192.168.1.1 и вы меня дербанить начнёте? это ничего не даст, просто в дальнейшем аутпост вам будет показывает вместо ихнего доменного имени айпи, вам станет легче? меняйте внутреннюю подсеть! только опять же думаю аутпост всё-равно не успокоится и начнёт писать новый присвоенный модему айпи)

SDT · 21.03.2012

myxa_aka_fly сказав(ла):
чего вы пристебались к ихнему домену, пусть делают чего захотят, завтра я на своих доменах пропишу 192.168.1.1

Вообще говоря, такие IP зарезервированы, и прописывать их своим доменам не есть нормально. Это либо ошибка, либо сетевое хулиганство. Екатеринбуржцы все поняли правильно, без всякого раздражения, и меня поблагодарили.
У них есть правильный IP - 195.189.108.116, по нему можно зайти на их сайт. Вполне приличная фирма по сервису ноутбуков. кто им вдобавок воткнул дополнительно пару левых IP и зачем - остается загадкой.

myxa_aka_fly · 23.03.2012

SDT сказав(ла):
прописывать их своим доменам не есть нормально. Это либо ошибка, либо сетевое хулиганство.

пасиба поржал)))) хулиганство))))) эти айпи каждый использует как ему угодно, нищие локальные сети активно их используют, где написано, что прикручивать их к доменным именам для локальных ресурсов хулиганство? )))))

Prince · 23.03.2012

myxa_aka_fly сказав(ла):
пасиба поржал)))) хулиганство))))) эти айпи каждый использует как ему угодно, нищие локальные сети активно их используют, где написано, что прикручивать их к доменным именам для локальных ресурсов хулиганство? )))))

+100500
Я уже писал про домен с пришитым ИП 127.0.0.1

myxa_aka_fly · 23.03.2012

Prince сказав(ла):
Я уже писал про домен с пришитым ИП 127.0.0.1

ну это просто народ у себя на компе web сервер поднял чтобы сайты лепить и тестить, наверное файл host править лень было или антивирус потом ругается на левую инфу в нём

Prince · 23.03.2012

myxa_aka_fly сказав(ла):
ну это просто народ у себя на компе web сервер поднял чтобы сайты лепить и тестить, наверное файл host править лень было или антивирус потом ругается на левую инфу в нём

Нет, там и домен стёбный был, судя по всему чел зарегал домен и вбил туда петлю, просто чтобы приколоться. Название прикольное было, жаль запамятовал...