Здравствуйте!
Прошу помощи у специалистов. Пожалуйста помогите решить проблемму.
Модем DSL-2540u мигает всеми светодиодами LAN интерфейсов с жуткой интенсивностью, но трафик не мой!
Исходные данные:
Board ID: D-4P
Software Version: RU_DSL-2540U_3-06-04-3B00.A2pB023g2.d19b
Bootloader (CFE) Version: 1.0.37-6.5
Protocol: PPPoE
WAN IP Address: 92.113.0.126
LAN IP Address: 192.168.1.1
Default Gateway: 195.5.5.202
Primary DNS Server: 195.5.46.12
Secondary DNS Server: 195.5.46.11
NAT: Enable
Firewall: Enable
WAN Service: Enable
Мониторинг пакетов проводил программой CommView, при этом к модему
был подключен только один компьютер с IP: 192.168.1.5, его активность
была нулевой. Привожу фрагмент результата:

И вот так в течение месяца с небольшими перерывами в течение суток, только изменяется IP адресс в диапазоне
от 91.124.х.х до 92.113.х.х, а МАК адресс постоянный. В общем левый МАК и левый трафик.
Документацию и форум перечитал несколько раз - запутался окончательно.
Помогите пожалуйста!!! Заранее благодарю!!!

поставьте фаерволл
135 - Windows DCOM Services
445 - Windows File Services

на эти порты и вирусы лезут и кулхацкеры и все что угодно

МАК может быть и МАКом модема, в таком случае на него внимания обращать не стоит, не информативно.

Спасибо! Да я понимаю, что нужно закрыть 135, 137, 138 и 445-й порты.
Только проблема втом, что я не знаю как это сделать!!!
По поводу МАК адреса модема:



То, что это не вирус, так это точно. На момент написания сего - левого трафика нет, похоже пошел
кофе пить. Минут через 15-20 начнется снова, модем опять разогреется как чайник.
Если можно, пожалуйста поконкретнее, что и где прописать?

uu5jjb
Ситуация во многом типичная для сетей Укртелекома.
Например, у меня в промежутке с Feb 03 18:32:52 по Feb 03 18:39:10 зафиксированы попытки обращения к следующим портам:
port 1433 - 1 раз
port 445 - 32 раз
port 135 - 10 раз
port 139 - 10 раз
port 2967- 2 раз
port 42250 - 8 раз
port 14419 - 2 раз
и это еще затишье, бывает долбятся со значительно большей интенсивностью.
НО долбежка идет на мой IP.

Поэтому, в первую очередь проверь, ходит ли какой-нибудь трафик без установленной PPPoE-сессии (разорви PPPoE-сессию, но при этом ADSL-линк (синхронизацию) оставь поднятым).

Если ДА, то это разгильдяйство на стороне Укртелекома - ошибка в настройках DSLAM, а левые IP и MACи принадлежат твоим соседям по DSLAM`у.

acnevulgaris - Вам еще легко дышится, у меня за ~11 минут к порту 135 было 28452, ак 445-му - 35207 обращений.


Как? Я в сетевой терминологии не силен, предполагаю, что на закладке "HOME" \ опция "WAN"
есть кнопка в столбце "Action". Я ее нажимал, она из состояния "Down" переходит в состояние "Up".
После этой манипуляции чужие пакеты перестают транзититься, но и у меня пропадает Интернет.
Да и те IP из глобальной сети.

uu5jjb

Мне интерфейс в 2540U не знаком.
Если индикатор на корпусе "DSL" горит или в WAN info написано "adsl link UP", значит синхронизация с DSLAM есть.
Интернет после разрыва PPPoE-сессии и должен пропасть.
Не спешы, последи за активностью без PPPoE-сессии хотя бы пол часа.

После разрыва aDSL сессии, пакеты интерфейса с МАК адресом 00:90:1A:42:68:52 в LAN отсутствуют
(наблюдал больше 20 мин.).

Что посоветуют представители от D-Link?

Что пишут логи модема?

Alexander Gorelik -
Привожу фрагмент лога, его настройки по умолчанию(Debugging; Error; Local).



На момент снятия лога ни чужих ни моих пакетов в LAN небыло, а мой IP: 92.113.30.161
Спасибо!

SYN-атака, запросы сыпятся с адресов 92.113.3.89, 92.113.107.88, 92.113.222.34, 92.113.96.81, 92.113.205.239 и т.д. Скорее всего это абоненты Вашей сети, зараженные вирусом. Рекомендация только одна - обратитесь к провайдеру, приведите эти логи. Пусть фильтруют их на вышестоящем оборудовании.

Ok, Александр, спасибо!
Но все-таки, как мне настроить DSL-2540u так, чтобы транзитные пакеты с портов 135-138 и 445 с WAN не попадали в LAN???
И вообще, возможны ли такие настройки у моего модема?

такая же проблема...
Board ID: D-4P
Software Version: RU_DSL-2540U_3-06-04-1800.A2pB021c.d19b
Bootloader (CFE) Version: 1.0.37-6.5
Protocol: PPPoE
Default Gateway: 10.10.0.1
Primary DNS Server: 213.177.96.1

На модеме непонятные ошибки, были дни с сильными скачками трафика.
В логах все сплошняком в красных сообщениях:


между ними иногда встречаются что-нибудь типа такого


На решение через провайдера никакой надежды, они тормоза жуткие.(хотя, попробую все равно).

Очень хочется узнать:
- что за ошибка kernel: Intrusion -> IN=ppp_0_33_1 OUT= MAC= SRC=79.126.1.163 DST=xxxxxxxxxxxx
- что за команды в логе типа: user debug syslog: ethctl vport query 2>/var/vcfgerr
ИЛИ
user debug syslog: iptables -t filter -I OUTPUT -o ppp_0_33_1 -d 239.255.255.250 -j DROP 2>/dev/null
ИЛИ
Jan 1 00:00:33 user debug syslog: iptables -t nat -D PREROUTING -i br0 -d 192.168.1.1 -p udp --dport 53 -j DNAT --to 213.177.96.1 2>/dev/null
ИЛИ
Jan 1 00:00:33 user debug syslog: iptables -t nat -A PREROUTING -i br0 -d 192.168.1.1 -p udp --dport 53 -j DNAT --to 213.177.96.1
- И самое главное опасно ли это и что можно сделать на модеме чтоб закрыть атаки если это атаки (проксю с файерволом уже начал ставить, но интересно что на самом модеме можно сделать.)


PS (на всякий случай) проверка модема, программкой XSpider в уязвимостях показывает вот что:
- 69 / utp - TFTP - С помощью команды "PUT /x/../../../../" существует возможность записывать любые файлы в произвольное место на диске.
- доступна команда PUT - Доступна команда PUT, позволяющая пересылать любые файлы на сервер без авторизации.

Если модем работает в режиме маршрутизатора, то пакеты со стороны WAN будут отбрасываться и не попадут в LAN (если Вы сами не разрешите их).

Модем работает в режиме маршрутизатора.
NAT - Enable
Firewall - Enable
В IP Filter все по умолчанию (т.е. ничего не прописано).
Но пакеты всеравно пролазят. Я в самом начале темы привел журнал программы "CommView",
и там видны пакеты с айпишниками из глобальной сети.
Как и где я им это разрешил? Подскажите пожалуйста, где смотреть и что настраивать?
Спасибо!

d-link! Я так понимаю, подсказать нет возможности?