Elektroda.pl
Elektroda.pl
X
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

Zrywanie internetu , w logach Large Ping attack , Ping of Death

itheon 24 Nov 2022 16:08 141 6
  • #1
    itheon
    Level 10  
    Witam,
    od kilku dni mamy problem ze zrywaniem polaczenia z siecia.
    kilka razy dziennie tracimy polaczenie na kilka-kilkanascie minut

    w logach routera ( TP-Link tl-R600vpn ) regularnie wystepuja wpisy o wykryciu Large Ping attack , Ping of Death

    Code:
    2022-11-24 09:41:36 firewall[0]: <4> 05111026 Detected Large Ping attack. Dropped 1 packets.
    
    2022-11-24 09:40:35 firewall[0]: <4> 05111026 Detected Large Ping attack. Dropped 1 packets.
    2022-11-24 09:40:35 firewall[0]: <4> 05111025 Detected Ping of Death attack. Dropped 3 packets.
    2022-11-24 09:39:34 firewall[0]: <4> 05111026 Detected Large Ping attack. Dropped 1 packets.
    2022-11-24 09:38:36 firewall[0]: <4> 05111025 Detected Ping of Death attack. Dropped 3 packets.
    2022-11-24 09:38:12 firewall[0]: <4> 05111026 Detected Large Ping attack. Dropped 1 packets.
    2022-11-24 09:37:08 firewall[0]: <4> 05111026 Detected Large Ping attack. Dropped 2 packets.
    2022-11-24 09:37:02 firewall[0]: <4> 05111026 Detected Large Ping attack. Dropped 3 packets.
    2022-11-24 09:36:56 firewall[0]: <4> 05111026 Detected Large Ping attack. Dropped 3 packets.
    2022-11-24 09:36:50 firewall[0]: <4> 05111026 Detected Large Ping attack. Dropped 3 packets.
    2022-11-24 09:36:44 firewall[0]: <4> 05111026 Detected Large Ping attack. Dropped 3 packets.
    2022-11-24 09:36:32 firewall[0]: <4> 05111025 Detected Ping of Death attack. Dropped 3 packets.
    2022-11-24 09:34:38 firewall[0]: <4> 05111026 Detected Large Ping attack. Dropped 1 packets.
    2022-11-24 09:34:38 firewall[0]: <4> 05111025 Detected Ping of Death attack. Dropped 3 packets.
    2022-11-24 09:33:42 firewall[0]: <4> 05111026 Detected Large Ping attack. Dropped 1 packets.
    2022-11-24 09:32:41 firewall[0]: <4> 05111026 Detected Large Ping attack. Dropped 1 packets.
    2022-11-24 09:32:32 firewall[0]: <4> 05111025 Detected Ping of Death attack. Dropped 3 packets.
    2022-11-24 09:30:35 firewall[0]: <4> 05111025 Detected Ping of Death attack. Dropped 3 packets.
    2022-11-24 09:30:18 firewall[0]: <4> 05111026 Detected Large Ping attack. Dropped 3 packets.
    2022-11-24 09:30:12 firewall[0]: <4> 05111026 Detected Large Ping attack. Dropped 3 packets.
    2022-11-24 09:30:06 firewall[0]: <4> 05111026 Detected Large Ping attack. Dropped 3 packets.
    2022-11-24 09:28:44 firewall[0]: <4> 05111026 Detected Large Ping attack. Dropped 3 packets.
    2022-11-24 09:28:38 firewall[0]: <4> 05111026 Detected Large Ping attack. Dropped 3 packets.
    2022-11-24 09:28:32 firewall[0]: <4> 05111026 Detected Large Ping attack. Dropped 3 packets.





    wpisy pojawiaja sie regularnie praktycznie co kilka minut ,
    w czasie gdy nastepuje utrata polaczenie logi wygladaja tak jak wyzej ,
    czyli wpis w Logu o wykryciu ataku co kilka sekund

    Jezeli to ma jakies znaczenie to internet jest od Netii BDI symetryczne 200Mb/s ( wg technika z infolini netii lacze nie jest wykorzystywane w 100% ) z publicznym IP ( potrzebnym m.in. do VPNa)
    Sama netia z poczatku twierdzila ze z ich strony jest wszystko ok,
    dzisiaj przyznali sie ze widoczne jest na ich sprzecie gubienie ramek
    i maja sprobowac po ich stronie dokonac zmian podlaczenia ktore moga nato zaradzic.

    I teraz pytanie jezeli zrywanie internetu i informacje w logach routera nie wynikaja z problemow po stronie Netii
    to co mozemy zrobic aby nie tracic polaczenie z internetem ?

    Jakas zmiana konfiguracji routera ? ( jezeli chodzi o opcje zabezpieczajace przed atakami to sa wszystkie wlaczone )
    dolozenie jakiegos firewalla ? z
    zmiana routera ?

    Netia jako potencjalne rozwiązanie zaproponowała DDoS Protection za 1000zl miesiecznie ... jednoczesnie nie potrafili odpowiedziec na jakiej zasadzia dziala ta usluga .......
  • #2
    KOCUREK1970
    Network and Internet specialist
    itheon wrote:
    z publicznym IP

    Zmiennym, stałym?
  • #3
    itheon
    Level 10  
    adres jest staly ( uzywany do laczenia z RDP,NAS,VPN )
  • #4
    KOCUREK1970
    Network and Internet specialist
    @itheon
    Możecie jedynie prosić operatora o zmianę IP.
    Sami, nie jesteście w stanie się przed tym obronić.
    Zresztą to może nie być atak DDoS, tylko bot z internetu pinguje każdy znaleziony adres.
  • #5
    itheon
    Level 10  
    ale jezeli Netia twierdzi ze przepustowosc lacza nie jest wykorzystywana to co w takim razie powoduje zanik sieci ?
    router jest zaslaby zeby obsluzyc duza ilosc lub duzy rozmiar pingow ?

    Zrywanie internetu , w logach Large Ping attack , Ping of Death

    po lewo uzycie CPU routera siega 100% w tym czasie w logach routera
    "Detected Large Ping attack. Dropped 3 packets."
    co 5-6 sekund wpis z wartosciami od 3 do 7

    tam gdzie uzycie CPU jest nizsze w logach sa wpisy z wartoscia 1-2 rowniez co 5 sekund lub sporo rzadziej


    zmiana IP bedzie problematyczna z uwagi na koniecznosc uaktualnienia na wielu urzadzeniach adresu
    pozatym problem na nowym IP rownie dobrze moze powrocic

    Dodano po 45 [minuty]:

    co ciekawe podczas "attaku" gdy CPU routera jest obciazone w 100% mozna bez problemu zalogowac sie na router
    strona konfiguracji chodzi szybko tak jak by nie byl wogole obciazony
  • #6
    KOCUREK1970
    Network and Internet specialist
    itheon wrote:
    problem na nowym IP rownie dobrze moze powrocic

    Niekoniecznie.
    Adresy zwolnione, albo niewykorzystane operator wrzuca na powrót do swojej zapłaconej puli i rozdaje je dalej - być może na tym adresie działał ktoś inny, kto komuś zalazł za skórę, albo co innego nawywijał.

    Póki ma się adres PUBLICZNY (nie m znaczenia stały/zmienny) - zawsze jest się na coś narażonym.

    Być może nie ma żadnego ataku, tylko firewall ma ustawione zbyt rygorystyczne reguły.
  • #7
    itheon
    Level 10  
    zmiana na stacjach adresów DNS na ręcznie wpisane 8.8.8.8 wydaje sie na ten moment pomagać.
    czy to w pełni rozwiąże problem okaże sie zapewne już jutro

    możliwe ze na routerze przy wzmożonych "atakach" zawiesza sie usługa związana z DNS / DHCP ?