У меня модем DSL-2500U/BRU/D. H/W: D1. Прошивка 1.0. Четыре дня назад перепрошил на 1.53 beta. Все четыре дня модем работает 24 часа в сутки. Разрывы были только один раз в сутки. Как я понимаю - это биллинговые разрывы. На компьютере запущен uTorrent (24 часа в сутки) и скайп (днем). Проблем с разрывом скайпа нет. Торренты нормально качаются и раздаются. Также с новой прошивкой начали появляться такие вот строчки в логе:
Код:
kernel: net/ipv4/netfilter/./broadcom/ip_nat_ipsec.c:ipsec_nat_help Out of table entries
Смею предположить, что это из-за того, что или значение
/proc/sys/net/ipv4/ip_conntrack_max маленькое (600), или
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_time_wait большое (120).
Думаю, что таблица NAT переполняется из-за активности uTorrent. Когда в настройках uTorrent ограничил максимальное число соединений с 400 до 250, а число полуоткрытых соединений с 50 до 30, тогда эта строчка в логе перестала появляться. С прошивкой 1.0 такого не было. Какое значение
/proc/sys/net/ipv4/ip_conntrack_max было в версии прошивки 1.0 я не знаю, так как в этой прошивке еще не было телнета, но подозреваю, что оно было больше 600. Было бы неплохо задавать самому эти 2 параметра в WEB-интерфейсе модема.
Также хочу обратить внимание на строчки лога:
Код:
kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=95.135.68.44 DST=94.178.153.79 LEN=64 TOS=0x00 PREC=0x00 TTL=46 ID=8243 DF PROTO=TCP SPT=4398 DPT=445 WINDOW=53760 RES=0x00 SYN URGP=0
В этой ветке было мнение по этому поводу:
Цитата:
ИМХО (и по моим наблюдениям) это выглядит примерно так:
1) У клиента с динамическим внешним IP произошел перезапуск PPP-сессии. При этом он, естественно, получает другой WAN-IP, из пула адресов провайдера. Если на этом "новом" IP до того, как он был выдан клинту, сидел торрент-клиент, то пакеты от сидов/пиров предыдущего клиента будут ломиться на этот IP. Поскольку совпадение настроек портов/адресов/контента маловероятно, то роутер считает такие пакеты сетевой атакой.
2) Иногда такие пакеты возникают вроде бы "ниоткуда", то есть прямо во время работающей PPP-сессии. Но это как сказать... Это могут быть и подключившиеся по расписанию торрент-клиента сиды/пиры, продолжающие обмен трафиком по необновленным с трекера адресам (взяв их из собственного кэша). Это и действительно может быть SYN-flood. Это может быть и рескан сетей всякими "любителями", дорвавшимися до NMAP...
Поделюсь своими наблюдениями. У меня лог модема передаются на локальный компьютер, поэтому я могу анализировать лог за несклько дней. Судя по логу
kernel: Intrusion возникает
всегда 5 - 7 раз каждый час (если у кого-то больше или меньше сообщите). Исключения в своем логе я не видел. Если бы это были пиры торента, которые пытаются подключиться к старому владельцу моего IP-адреса, то
kernel: Intrusion возникал бы очень часто в течении первых 30 минут после получения нового IP-адреса, а через несколько часов таких бы логов не было, так как в торент-клиентах есть тайм-аут неактивных пиров. Также обрающаю внимание, что разрывы у меня 1 раз в сутки, и
kernel: Intrusion стабильно 5 - 7 раз в час вплоть до следующего разрыва через 24 часа.
Еще одно наблюдение.
kernel: Intrusion возникает часто с DPT=445, т.е. destination port 445. Как я понимаю - это попытка подключиться на мой 445-й порт. В Windows 445-й порт - это "SMB over IP", и это излюбленный порт для атак хакеров.
Вход
Регистрация
FAQ
Поиск
