DDOS ?

  • 20 toukokuu 2020
  • 31 kommenttia
  • 1079 katselukerrat

Käyttäjätaso 3

Tahtoo tuo arris buuttailla vähän väliä, logissa on seuraavaa :

<Source:217.144.175.190,10120 Destination:85.156.64.174,6889
2020-05-20 10:47:00.00 [DOS]UDP Packet - Source:192.168.254.254,722 Destination:192.168.254.253,40431
2020-05-20 10:47:05.00 [DOS]UDP Packet - Source:192.168.254.254,767 Destination:192.168.254.253,111
2020-05-20 10:47:10.00 [DOS]UDP Packet - Source:192.168.254.254,810 Destination:192.168.254.253,40431
2020-05-20 10:47:19.00 [DOS]UDP Packet - Source:192.168.254.254,885 Destination:192.168.254.253,111
2020-05-20 10:47:24.00 [DOS]UDP Packet - Source:192.168.254.254,602 Destination:192.168.254.253,40431
2020-05-20 10:47:24.00 [DOS]UDP Packet - Source:192.168.254.254,927 Destination:192.168.254.253,111>

 

Tarkoittaa tuo [DOS]UDP ddos:ia vai mitä ?


31 kommenttia

Käyttäjätaso 7
Kunniamerkki +3

Ei tuollaisiin paketteihin mitään ihmeellistä tarvita. Jos sinulla on älykaiutin, termostaatti, lamppu, vaaka, tulostin, älytv, digiboksi, verkkolevy tai kännykässä edellä mainittujen laitteiden ohjaamiseen tarkoitettu sovellus, löytääkseen toisensa ne huutelevat kaikenlaista lähiverkkoon.

En muuten edes välttämättä yllättyisi lainkaan jos tuon aiheuttaisi joku samanlainen bugi mitä oli sanomalaitteissa kun kävin kurkkusalaattiin pukeutuneena suorittamassa aikani. Laite 1 kun lähti kutsumaan laitetta N jota ei verkossa ollutkaan, kaikki muut laitteet huutelivat tuota tyhjää kutsua vain eteenpäin. Käytännössä looppasi tyhjää kun laitteissa ei ollut ratkaisua siihen että kutsuttaisiin laitetta jota ei ole. Näitä kutsuja jos lähtee sisäverkossa looppaamaan enemmänkin niin ei välttämättä mikään ihmekään jos modeemi buuttaa itsensä, vastaavaan tapaan muistaakseni piti keskussanomalaite nyppästä verkosta irti että sai noi loopit rikottua

Käyttäjätaso 7

Elisan laiteohjelmistolla se varmaan vastaa sekä 192.168.0.1 että 192.168.254.254 osoitteisiin.

Voi hyvinkin olla.

Itselläni ei Arrista ole , mutta minun TeleWellissäkin on normaalia hallintaa varten oma IP-osoite ja sitten sellainen “hätäosoite” jonka kautta saa yhteyden elvytyssoftan lataamista varten , jos laitteen softa on korruptoitunut eikä käynnisty.

Joissakin laitteissa on myös erillinen hallintaosoite siltatilaa varten jne….

Onhan näitä erilaisia konsepteja. :blush:

Käyttäjätaso 7
Kunniamerkki +3

niin on niiden yhteyskin mahdollista.

Voisiko joku, jolla yhteydet toimivat, tarkastaa oman Arriksensa lokit, näkyykö sielläkin noita 192.168.254.254-huuteiluita.

PS. Kyllä bugisia puhelinkeskuksia on siviilipuolellakin nähty. Western Electricin 4ESS puhelinkeskuksissa oli bugi, joka sai puolet AT&T:n kaukopuheluverkosta romahtamaan alas 1990.

Keskuksen ohjelmiston kaatuessa se ilmoitti viereisille keskuksille olevansa pois käytöstä. Tämän ilmoituksen vastaanotto taas kaatoi muut kaatuneeseen keskukseen kytketyt 4ESS-keskukset ja kaatumiset levisivät verkossa dominoiden tavoin. Keskukset palautuivat kyllä tilanteesta, mutta niin kauan kun viereistä keskuksista tuli takaisin päin lisää pois käytöstä -ilmoituksia, keskukset kaatuivat yhä uudelleen ja uudelleen.

Käyttäjätaso 7

Ei auttanut neularesetti. Arriksessahan on ping itsessään, sieltä kokeilin pingata 192.168.254.254 ja 253. 

 

Erittäin hitaasti vastas, tuuliin 1000ms, ja 33% packet loss, kunnes buuttas taas modeemi .. 

 

Olisin kyl kiitollinen jos joku ARRIS omistaja tosiaan pystys kattoo omat loginsa :) 


Hmmm….

Jos mahdollista , niin kokeile kytkeä laitteita irti Arriksesta yksitellen , niin mahdollisesti selviää onko alkusyy Arriksessa vai jossakin liitetyssä laitteessa.

Käyttäjätaso 7
Kunniamerkki +3

Erittäin hitaasti vastas, tuuliin 1000ms, ja 33% packet loss, kunnes buuttas taas modeemi ..

Voi laite parkaa. Localhostin pingaamisen pitäisi jäädä alle 1 ms. Tuo kertoo, että modeemi on aivan tukossa liikenteestä.

Tätä vasten virheimoituksessa [DOS]UDP Packet alkaa olla järkeä. Mutta se ei vielä selviä, että minkä ihmeen takia modeemi palvelunestohyökkää itse itsensä kimppuun? Vai onko jonkin lähiverkon laitteista väärentänyt osoitteen 192.168.254.254?

Jos mahdollista , niin kokeile kytkeä laitteita irti Arriksesta yksitellen , niin mahdollisesti selviää onko alkusyy Arriksessa vai jossakin liitetyssä laitteessa.

Ihan hyvä idea. Samoin, jos käytössä on moniporttitoistin, hallittava kytkin tai kahdella verkkokortilla varustettu tietokone, oman lähiverkon ja Arriksen välistä liikennettä voisi tutkia Wiresharkilla.

Huomaa, että vika ei välttämättä ole laitteessa, jonka kytkeminen kaataa Arriksen.

Yksi vanha SMC:n ADSL-modeemimalli kaatui heti, kun siihen kytki VoIP-puhelimen. Vika ei ollut VoIP-puhelimessa, vaan SMC:n bugisessa ALG-toteutuksessa.

 

Tosta AT&T tapauksesta oon muuten lukenutkin joskus, suhteellisen hauska näin jälkikäteen miettiä että miten raju moka tuossakin on ollut ja kuinka pienestä kiinni kuitenkin :sweat_smile:

Jos en väärin muista, syyksi paljastui loppujen lopuksi ohjelmakoodista unohtunut yksi ainoa break; -lause. Eli se todellakin oli pienestä kiinni, peräti kuudesta merkistä.

Käyttäjätaso 3

Kiitos :) Eipä noi mittaustulokset täysin osunu sinne haarukkaan mitä pitäisi :/ Kannattaa tarkistaa että johdotukset on kunnossa, poistella ylimääräiset haaroitukset ja jatkojohdot jos moisia on ja kokeilla miten sitten toimii. Jos ongelmat jatkuu niin tuosta tarvii sitten laittaa vikailmoitusta kentälle asiakaspalvelun kautta jotta saadaan arvot kuntoon :) Jos meet selaimella 192.168.100.1 niin siellä pitäisi aueta Arriksen status sivu. Tuo on vähän alkeellinen näkymä mutta kertoo sen mitä kaivataan eli Downstream kohdassa Power tulisi olla -10 - 10 dBmV välillä ja SNR yli 35 dB. US puoli sulla oli kunnossa ainakin nyt mittauksissa eli kannattaa lähinnä tuon DS:n osalta katsoa onko jotain mitä itse voit tehdä :)

 

Kiitos, nyt tosiaan voisin ottaa tuon pidemmän koaksiaalin pois kun laitoin laitteen siltaavaan tilaan, siitä ei tarvitse sitten kuin vetää yksi rj45 asukselle.. Tätä pitää kokeilla jossain välissä.

Kiitokset vielä. En tiedä mitä noi arvot on aikaisemmin olleet, mutta pätkintää ei ole ollut.

-T

Käyttäjätaso 7

Tahtoo tuo arris buuttailla vähän väliä, logissa on seuraavaa :

<Source:217.144.175.190,10120 Destination:85.156.64.174,6889
2020-05-20 10:47:00.00 [dos]UDP Packet - Source:192.168.254.254,722 Destination:192.168.254.253,40431
2020-05-20 10:47:05.00 [dos]UDP Packet - Source:192.168.254.254,767 Destination:192.168.254.253,111
2020-05-20 10:47:10.00 [dos]UDP Packet - Source:192.168.254.254,810 Destination:192.168.254.253,40431
2020-05-20 10:47:19.00 [dos]UDP Packet - Source:192.168.254.254,885 Destination:192.168.254.253,111
2020-05-20 10:47:24.00 [dos]UDP Packet - Source:192.168.254.254,602 Destination:192.168.254.253,40431
2020-05-20 10:47:24.00 [dos]UDP Packet - Source:192.168.254.254,927 Destination:192.168.254.253,111>

 

Tarkoittaa tuo [dos]UDP ddos:ia vai mitä ?


Eiköhän se DOS tässä yhteydessä ole Denial Of Service eli palvelunestohyökkäys. Ilmeisesti modeemi tunnistaa sellaisia paketteja ja blokkaa niitä. Ei sen kyllä pitäisi kaatuilua aiheuttaa ellei niitä UDP-paketteja tule satoja sekunnissa. No mene ja tiedä.

PS. Palvelunestohyökkäyksistä käytetään sekä nimikettä DOS että DDOS. Jälkimmäinen on distributed denial-of-service .

Käyttäjätaso 7
Kunniamerkki +1

Tahtoo tuo arris buuttailla vähän väliä, logissa on seuraavaa :


2020-05-20 10:47:24.00 [DOS]UDP Packet - Source:192.168.254.254,927 Destination:192.168.254.253,111>

 

Tarkoittaa tuo [DOS]UDP ddos:ia vai mitä ?

Ei tarkoita ddosiia (ainakaan tässä tapauksessa), koska sekä lähde että kohde osoite näyttää olevan privaatissa verkossa. Osoitteet jotka alkavat 192.168.x.x ova ns. privaatteja osoitteita joita ei reititetä Internetissä. En tiedä mitä tuo DOS- termi kyseisellä laitteella tarkoitaa, mutta jos se tarkkoittaa DDOS- hyökkäystä, niin tässä tapauksessa “hyökkäys” on jokin looppi sisäverkossa ??


T: Tuokki 

 

Privaatit verkot

Käyttäjätaso 3

Tähän minäkin päädyin, että olisi sisäverkossa olevaa, mutta miten.. Tätä tuntuu tapahtuvan kovasti päivisin. 

Käyttäjätaso 7

Tahtoo tuo arris buuttailla vähän väliä, logissa on seuraavaa :


2020-05-20 10:47:24.00 [DOS]UDP Packet - Source:192.168.254.254,927 Destination:192.168.254.253,111>

 

Tarkoittaa tuo [DOS]UDP ddos:ia vai mitä ?

Ei tarkoita ddosiia (ainakaan tässä tapauksessa), koska sekä lähde että kohde osoite näyttää olevan privaatissa verkossa. Osoitteet jotka alkavat 192.168.x.x ova ns. privaatteja osoitteita joita ei reititetä Internetissä. En tiedä mitä tuo DOS- termi kyseisellä laitteella tarkoitaa, mutta jos se tarkkoittaa DDOS- hyökkäystä, niin tässä tapauksessa “hyökkäys” on jokin looppi sisäverkossa ??


T: Tuokki 

 

Privaatit verkot


No hupsista. Enpä katsonut ollenkaan noita ip-osoitteita. Taitaa olla jokin sen Arriksen ikioma ongelma , kun muutkin ovat sellaista kohdanneet.

https://www.reddit.com/r/Network/comments/be60up/internet_intermittently_maybe_the_modem_is_the/

Käyttäjätaso 7
Kunniamerkki +3

Ei tuollaisiin paketteihin mitään ihmeellistä tarvita. Jos sinulla on älykaiutin, termostaatti, lamppu, vaaka, tulostin, älytv, digiboksi, verkkolevy tai kännykässä edellä mainittujen laitteiden ohjaamiseen tarkoitettu sovellus, löytääkseen toisensa ne huutelevat kaikenlaista lähiverkkoon.

Modeemistakin voi löytyä dnla- ja smb-palvelimet. Naurettavimmassa tapauksessa Arris saattaa luokitella jopa omat pakettinsa palvelunestohyökkäykseksi.

Ddos on hajautettu palvelunestohyökkäys, mitä tämä ei missään tapauksessa ole. Ddos tilanteessa sinulle tulisi paketteja sadoista paikoista ympäri maailmaa. Nyt kaikki tulevat omasta verkostasi.

Käyttäjätaso 7

Naurettavimmassa tapauksessa Arris saattaa luokitella jopa omat pakettinsa palvelunestohyökkäykseksi.

Niinpä.

Alkaa enemmänkin vaikuttaa joltakin Arriksen bugilta , jos kerran laite tuppaa vielä kaatuilemaankin.

Auttaisikohan resetointi?

Käyttäjätaso 3

Ei tuollaisiin paketteihin mitään ihmeellistä tarvita. Jos sinulla on älykaiutin, termostaatti, lamppu, vaaka, tulostin, älytv, digiboksi, verkkolevy tai kännykässä edellä mainittujen laitteiden ohjaamiseen tarkoitettu sovellus, löytääkseen toisensa ne huutelevat kaikenlaista lähiverkkoon.

Modeemistakin voi löytyä dnla- ja smb-palvelimet. Naurettavimmassa tapauksessa Arris saattaa luokitella jopa omat pakettinsa palvelunestohyökkäykseksi.

Ddos on hajautettu palvelunestohyökkäys, mitä tämä ei missään tapauksessa ole. Ddos tilanteessa sinulle tulisi paketteja sadoista paikoista ympäri maailmaa. Nyt kaikki tulevat omasta verkostasi.


DOS hyökkäykset voivat myös kohdistua monista sisäverkon saastuneista laitteista keskeiseen ulkomaailmassa yhteydessä olevaan palvelimeen, mutta mun tapauksessa tuskin on tästä kyse :)

 

Tein nuppineularesetin laitteelle, katsotaan nyt auttoiko se.

Käyttäjätaso 7
Kunniamerkki +3

Ja mitä Frontierin ohjeista löytyikään:

Change My Wi-Fi Network Name and Password
Arris NVG443B, NVG448B, NVG448BQ, NVG468MQ
Open your web browser and go to http://192.168.254.254

Eli 192.168.254.254 on yksi Arriksen käyttämistä hallintaosoitteista. Kaapelimodeemi se siellä vain huutelee, todennäköisesti itse itselleen.

DOS hyökkäykset voivat myös kohdistua monista sisäverkon saastuneista laitteista keskeiseen ulkomaailmassa yhteydessä olevaan palvelimeen

192.168.x.x osoitteet eivät reitity internetissä, joten hyvin paikallinen juttu tämä on.

En tiedä, onko Elisan verkossa edes teknisesti mahdolilsta, että naapuri voisi pilailla ja lähettää sulle tuollaisia paketteja?

Mutta missään tapauksessa internetin kanssa noilla paketeilla ei ole mitään tekemistä.

Käyttäjätaso 7

Ja mitä Frontierin ohjeista löytyikään:

Change My Wi-Fi Network Name and Password
Arris NVG443B, NVG448B, NVG448BQ, NVG468MQ
Open your web browser and go to http://192.168.254.254

Eli 192.168.254.254 on yksi Arriksen käyttämistä hallintaosoitteista. Kaapelimodeemi se siellä vain huutelee, todennäköisesti itse itselleen.


Niinpä.

Elisan softassa Arriksen hallinta näyttää olevan osoitteessa http://192.168.0.1 , mutta voihan siellä olla tuo em. osoitekin jäljellä.

No niin tai näin aika tyhmältä vaikuttaa varsinkin jos modeemi kaatuu ja buuttaa noiden kutsujen takia.

Käyttäjätaso 7
Kunniamerkki +3

Elisan softassa Arriksen hallinta näyttää olevan osoitteessa http://192.168.0.1 , mutta voihan siellä olla tuo em. osoitekin jäljellä.

Elisan laiteohjelmistolla se varmaan vastaa sekä 192.168.0.1 että 192.168.254.254 osoitteisiin.

Huomoithan, että jos haluat kokeilla 192.168.254.254-osoitetta, oma kone pitää käsin säätää samaan aliverkkoon.

Ehkäpä 192.168.254.252, niin voisit pingata sekä 192.168.254.254 että 192.168.254.253 osoitteet läpi ja antaa arp tai arp -n komennon, jonka jälkeen näet osoitteisiin liittyvät mac-osoitteet. Mac-osoitteen perusteella voi selvittää laitteen valmistajan.

No niin tai näin aika tyhmältä vaikuttaa varsinkin jos modeemi kaatuu ja buutta noiden kutsujen takia.

Modeemin kaatuilulla ja noilla virheilmoituksilla ei välttämättä ole mitään tekemistä keskenään.

Käyttäjätaso 7

Modeemin kaatuilulla ja noilla virheilmoituksilla ei välttämättä ole mitään tekemistä keskenään.

Juu ei välttämättä. @tontze kertoi resetoineensa modeemin. Jos viestit ja kaatuilu molemmat siihen loppuivat , niin on niiden yhteyskin toisiinsa mahdollista.

Käyttäjätaso 3

Ei auttanut neularesetti. Arriksessahan on ping itsessään, sieltä kokeilin pingata 192.168.254.254 ja 253. 

 

Erittäin hitaasti vastas, tuuliin 1000ms, ja 33% packet loss, kunnes buuttas taas modeemi .. 

 

Olisin kyl kiitollinen jos joku ARRIS omistaja tosiaan pystys kattoo omat loginsa :) 

Käyttäjätaso 7
Kunniamerkki +3

Itellä ei noita vastaavia kutsuja näy, mutta itellä toi Arris ei tossa muuta käytännössä tee kuin ohjaa koaksiaalista RJ45:seen yhteyden ja sisäverkko rakentuu seuraavassa stepissä vasta ja siitä eteenpäin.

 

Tosta AT&T tapauksesta oon muuten lukenutkin joskus, suhteellisen hauska näin jälkikäteen miettiä että miten raju moka tuossakin on ollut ja kuinka pienestä kiinni kuitenkin :sweat_smile:  Voin kuvitella sen hikoilun määrän kun tota on koitettu saada kuriin :see_no_evil:

Käyttäjätaso 3

Jahka Ei auttanut neularesetti. Arriksessahan on ping itsessään, sieltä kokeilin pingata 192.168.254.254 ja 253. 

 

Erittäin hitaasti vastas, tuuliin 1000ms, ja 33% packet loss, kunnes buuttas taas modeemi .. 

 

Olisin kyl kiitollinen jos joku ARRIS omistaja tosiaan pystys kattoo omat loginsa :) 


Hmmm….

Jos mahdollista , niin kokeile kytkeä laitteita irti Arriksesta yksitellen , niin mahdollisesti selviää onko alkusyy Arriksessa vai jossakin liitetyssä laitteessa.

 

Jahka pääsen kotiin, pitää kokeilla sammuttaa wlanit ja kytkeä läppäri piuhalla kiinni. Eiköhän se suodata jo aika monta asiaa pois...

Käyttäjätaso 3

Ei enää jaksa alkaa könyäään modeemia piuhan perään, mutta modeemin oma traceroute kertoo :

 

traceroute to 192.168.254.253 (192.168.254.253), 30 hops max, 38 byte packets
1 193.229.31.184 (193.229.31.184) 10.000 ms 10.000 ms 20.000 ms
2 193.229.31.187 (193.229.31.187) 10.000 ms 10.000 ms 10.000 ms
3 * * *
4 * * *
5 * * *
6 * * *

Eli ei toi pelkästään pyöri arriksessa, kyllä se käy elisan palvelimillakin kääntymässä ?

Ja modeemin mielestä tuo tosiaan on DOS, viestit loppuu kun kääntää DOS suojauksen pois firewallista ..

https://db-ip.com/193.229.31.184

 

Portit on aina 111 tai 40431

https://ddos-guard.net/en/terminology/attacks/server-port-111-rpcbind-vulnerability

Käyttäjätaso 7
Kunniamerkki +3

Eli ei toi pelkästään pyöri arriksessa, kyllä se käy elisan palvelimillakin kääntymässä ?

Normaalistikin modeemi heittää kaiken sellaisen liikenteen, mitä se ei tunnista omakseen, Elisalle, joka sitten loppujen lopuksi heittää yksityisiin osoitteisiin matkalla olevat paketit roskiin.

Voit siis ajaa tracerouten vaikka tietokoneelta 172.16.16.16 ja sen pitäisi loppua samalle Elisan reitittimelle.

Mielenkiintoista tässä vain on, että ylipäätään sait mitään vastauksia pingiin. Ei kai Elisan verkossa ole mitään osoitteessa 192.168.254.254? Vai kaappaako modeemi jotkut protokollat ja vastaa niihin itse, osan mennessä oletusreitityksillä?

Et ole ainoa, joka näitä Arriksen ilmoituksia on ihmetellyt. Tosin tässäkään ei ole muuta ehdotusta kuin ottaa yhteyttä vikapalveluun:

Cox Support Forums | Arris TG1682G F/W: 9.1.103BP BootCode: 4.2.0.45 H/W Version: 11

Käyttäjätaso 3

Eli ei toi pelkästään pyöri arriksessa, kyllä se käy elisan palvelimillakin kääntymässä ?

Normaalistikin modeemi heittää kaiken sellaisen liikenteen, mitä se ei tunnista omakseen, Elisalle, joka sitten loppujen lopuksi heittää yksityisiin osoitteisiin matkalla olevat paketit roskiin.

Voit siis ajaa tracerouten vaikka tietokoneelta 172.16.16.16 ja sen pitäisi loppua samalle Elisan reitittimelle.

Mielenkiintoista tässä vain on, että ylipäätään sait mitään vastauksia pingiin. Ei kai Elisan verkossa ole mitään osoitteessa 192.168.254.254? Vai kaappaako modeemi jotkut protokollat ja vastaa niihin itse, osan mennessä oletusreitityksillä?

Et ole ainoa, joka näitä Arriksen ilmoituksia on ihmetellyt. Tosin tässäkään ei ole muuta ehdotusta kuin ottaa yhteyttä vikapalveluun:

Cox Support Forums | Arris TG1682G F/W: 9.1.103BP BootCode: 4.2.0.45 H/W Version: 11

 

Pingiin vastauksen sain arriksen valikoissa olevalla ping sovelluksella, sisäverkon koneelta vastausta ei saa, joten ainakin täsät voisi päätellä että ongelma sijaitsee arriksessa ? Tosin tracert windows koneeltani antaa kyllä reitin arriksen kautta elisa palvelimelle kun tracerouttaa tuota osoitetta.

Ja ilmeisesti tuo 192.168.254.254 ei ole oman sisäverkkoni ip, koska se routtaa elisan palvelimille. Sisäverkon ip:t eivät kyllä käy ulkona.

Käyttäjätaso 7

Ja ilmeisesti tuo 192.168.254.254 ei ole oman sisäverkkoni ip, koska se routtaa elisan palvelimille. Sisäverkon ip:t eivät kyllä käy ulkona.

Elisan softalla Arriksen sisäverkon gatewayosoite on 192.168.0.1. Jossakin päin maailmaa se on 192,168.254.254 ja siten saattaa olla vain jäänne jostakin Elisan softassa tai sitten ns. varaosoite erikoistilanteita varten.

No oudosti se joka tapauksessa toimii. Jos kytkee kaikki laitteet irti Arriksesta ja odottaa vaikkapa tunnin ja käy sitten katsomassa Arriksen lokia ja jos siellä siltäkin ajalta on noita em. merkintöjä , niin kyse on todennäköisesti Arriksen omasta sekoilusta. Jos ei ole , niin luultavasti sitten jokin sisäverkon laite laukaisee koko ilmiön ja sen varmaan löytää kytkemällä niitä yksitellen Arrikseen.

Käyttäjätaso 3

Laitoin arrikseen läppäriin piuhan päähän, irrotin kaapelin seinästä ja muutin wlan salasanat. Sama homma jatkui, tein neularesetin pariin kertaan ja huraa, pakettien tulo loppui :D

 

Jossain ihme loopissa oli ARRIS itsensä kanssa ? Jätin salasanat muutetuiksi ja lisäilen laitteita pikkuhiljaa takaisin seuraillen… Toivottavasti ei tule uudestaan.

Osallistu keskusteluun