Добрый день, знатоки!
Вопрос простой. Но ответа на него я не знаю. Есть роутер DLINK DI-824VUP+. Прошивка v1.06b21 Firmware Date: Tue, Jun 10 2008. За ним - ADSL-модем. Проблема в том, что этот роутер порождает шторм пакетов "ICMP redirect" в локальную сеть (снято tcpdump'ом):
Код:
18:11:38.872593 IP 192.168.41.1 > 192.168.41.2: ICMP redirect 192.168.41.4 to host 192.168.41.1, length 36
18:11:38.879572 IP 192.168.41.1 > 192.168.41.2: ICMP redirect 192.168.41.4 to host 192.168.41.1, length 36
18:11:38.882569 IP 192.168.41.1 > 192.168.41.2: ICMP redirect 192.168.41.6 to host 192.168.41.1, length 36
18:11:38.885564 IP 192.168.41.1 > 192.168.41.2: ICMP redirect 192.168.41.6 to host 192.168.41.1, length 36
18:11:45.892929 IP 192.168.41.1 > 192.168.41.2: ICMP redirect 192.168.41.4 to host 192.168.41.1, length 36
18:11:45.899382 IP 192.168.41.1 > 192.168.41.2: ICMP redirect 192.168.41.4 to host 192.168.41.1, length 36
Собственно IP 192.168.41.1 - это сам роутер, 192.168.41.2 - это точка доступа с межсетевым экраном, на котором я, как могу, пытаюсь этот шторм успокоить. Чуть раньше в этой (.41.0) сети было еще несколько хостов (.4, .6), но штормило на них нещадно, пришлось сеть перекомутировать, изолировать временно эти хосты от роутера. Все это очень напоминает DoS атаку... Причем, интрудер сидит именно в DLINK'овском роутере. Я этот роутер от сети физически отключал, перезагружал, пароли админские и юзерские менял. Увы, не помогает. Как будто backdoor какой в роутере сидит и через него идет атака...
Что делать?
С уважением, Евстафьев Алексей
Санкт-Петербург.
======================================
Решено. Собака зарылась в не совсем адекватном поведении правил, добавляемых по ip rule в дополнительные таблицы маршрутизации, на "атакуемом" хосту. Он сам себе порождал эту "атаку" со стороны роутера.
Вход
Регистрация
FAQ
Поиск
