ΒΟΗΘΕΙΑ ΘΑ ΤΡΕΛΑΘΩ

[MariosGRFS]

Εδώ και τρεις μέρες μου κάνουν smurf attacks και floods την γραμμή και δεν μπόρεσε να με βοηθήσει ούτε ο ΟΤΕ ούτε με βοήθησε ρισετ του ρούτερ και αλλαγή των ip. Έχω δοκιμάσει τα πάντα. Νομίζω πως προσπαθούν να με χακαρουν.
Τα χθεσινά logs μου:

https://ibb.co/7Q6hBxQ

[griniaris]

Εμεις πως μπορουμε να σε βοηθησουμε?

Δεν εχεις καποιο ερωτημα ή απορια. Απλα το αναφερεις?

[Dark-Side]

Εδώ και τρεις μέρες μου κάνουν smurf attacks και floods την γραμμή και δεν μπόρεσε να με βοηθήσει ούτε ο ΟΤΕ ούτε με βοήθησε ρισετ του ρούτερ και αλλαγή των ip. Έχω δοκιμάσει τα πάντα. Νομίζω πως προσπαθούν να με χακαρουν.
Τα χθεσινά logs μου:

https://ibb.co/7Q6hBxQ

Η αλήθεια είναι πως δεν καταλαβαίνω και τα logs αλλά στην θέση σου θα άλλαζα κωδικούς στο userinterface του router και θα άλλαζα και κωδικό wifi. Αν συνέχιζα να έχω πρόβλημα θα σκάναρα και τις συσκευές μου με Malwarebytes αφου έκανα και ολα τα updates λειτουργικού.

[ZaNteR]

Για αρχη στη θεση σου θα αλλαζα διαδυκτιακες συνηθειες.

[xaris2335]

χρησιμοποίησε τον opera που έχει ενσωματωμένο vpn έτσι δεν θα μπορούν να εντοπίσουν την ip και να κάνουν DDoS attack.
Αντιικό έχεις αν όχι βάλε το bitdefender είναι ελαφρύ και αρκετά καλό. Επίσης σκάναρε το pc με το αντιικό και το malwarebytes. Ίσως έχεις κολλήσει ιό.
Το Firewall είναι καλά σεταρισμένο στο ρούτερ;
Επίσης απενεργοποίησε το UPnP στο ρούτερ, είναι για να ανοίγει αυτόματα πόρτες και αυτό είναι ένα μείον στην ασφάλεια.

- - - Updated - - -

Για να ανοίγεις πόρτες όπως για πχ μtorrent θα το κάνεις χειροκίνητα και όχι μέσω του UPnP.

[gcf]

Επίσης για τα smurf attacks μια γάτα θα ήταν πολύ αποτελεσματική.

[xaris2335]

Επίσης για τα smurf attacks μια γάτα θα ήταν πολύ αποτελεσματική.

[MyISLM]

Για αρχη στη θεση σου θα αλλαζα διαδυκτιακες συνηθειες.

Θεωρητικά αυτή η συμβουλή θα έπρεπε να κρατά τον Μάριο ασφαλή. Βλέποντας το log επαληθεύτηκε η αρχική μου σκέψη.

Η επίθεση χάκεμα που αναφερει ο Μάριος είναι η λεγόμενη επίθεση άρνησης υπηρεσιών. Κοινώς πλημμυρίζουν με πακέτα που στέλνουν στην δημόσια ip της συσκευής και την αναγκάζουν να καταρεύσει και να σταματήσει να δουλεύει κάποιοι με τελικό σκόπό η υπηρεσία (σύνδεση του internet, στην περίπτωσή σου να πέσει).

Αυτό είναι μια επίθεση που μπορεί να συμβεί στον καθένα. Όμως πρέπει να είσαι στόχος με κάποιο τρόπο. Αυτοί οι επιτήδιοι που κάνουν αυτή την επίθεση με κάποιο τρόπο σε εντοπίζουν και σε στοχοποιούν.

Πάμε στο άλλο κομμάτι του σκεπτικού. Οτι το λογισμικό που τρέχει η συσκευή αυτή έχει κάποια αδυναμία (κοινώς κακογραμμένο λογισμικό) το οποίο επιτρέπει αυτή την επίθεση να συμβεί επιτυχώς (κοινώς να καταρευσει το λογισμικό που τρέχει στη συσκευή). Αν δεν είχε αδυναμία το λογισμικό που τρέχει στην συσκευή σου, τότε το λογισμικό που τρέχει σε αυτή θα απέρριπτε αυτά τα πακέτα σκουπίδια και δεν θα κατέρεε.

Οι επιτήδιοι αυτοί αναζητούν (με αυτοματοποιημένο τρόπο) υποψήφιους στόχους (χρήστες) οι οποίοι έχουν εγκατεστημένες συσκευές που τρέχουν αυτό το αδύναμο λογισμικό, για να είναι σίγουροι οτι επιθέσεις που θα κάνουν θα είναι επιτυχείς.

Αναζητώντας το internet βρήκα ήδη δυο αρθρα που αναφέρονται σε αδυναμίες συσκευών Huawei. Μάλιστα η ίδια η Huawei έβγαλε advisory οτι κάποια μοντέλα της έχουν αδυναμίες.

βλέπε και δω

Τί πιθανότητες έχει να έχει χρησιμοποιήσει η Huwaei κώδικα(τμήμα λογισμικού) που έχει αδυναμία σε επίθεση άρνησης υπηρεσιών ; Προσωπικά το θεωρώ αρκετά πιθανό.

Το να αποδείξεις οτι η συσκευή σου έχει αδυναμία είναι κάτι που δεν ειναι εύκολο. Αλλά με ότι κυκλοφορεί (άρθρα) στο internet μάλλον κάποια αδυναμία θα έχει και πιθανώς αμα πας και το πεις ετσι το πιθανότερο είναι να μην το παραδεχτουν και να σε στειλουν σπίτι. Άλλα αμα πας και τους πεις οτι εχω προβλημα και αυτή η συσκευή δεν μου κάνει και δεν με βολευει νομίζω πως λογικά πρέπει να σου δώσουν μια άλλη χωρις πολλά πολλά (πρόεσεξε να μην ίδιο μοντέλο).

Το να κάνεις αναφορά στην δίωξη ηλεκτρονικού εγκλήματος θα έστεκε αν δεν χρησιμοποιούσες συσκευή με αδύναμο λογισμικό και ήσουν κάποιο γνωστό site πχ e-shop.

Δες αν η συσκευή σου είναι με χρησιδάνειο ή με ενοικίαση. Χρησιδάνειο σημαίνει οτι πρεπει να την επιστρέψεις μόλις διακόψεις την σύνδεση, ενώ ενοικιασή σημαινει οτι πληρώνεις ενόίκιο σε καθε λογαριασμό για να την λειτουργείς στο δίκτυο του οτε.

Η συγκεκριμένη συσκευή έχει δύο καρτες δικτύου μια την ενσυρματη γραμμή που πάει στην γραμμή του τηλεφώνου στον τοίχο και άλλη μια που παίρνει κάρτα σιμ και προσφερει δευτερο τρόπο συνδεσης (πχ εφεδρια) μεσω δικτυου κινητης 3G/4G. Αν δεν χρειαζεσαι κατι τέτοιο ζήτα να σε γυρίσουν σε απλό (σκέτο) adsl, ή ψαξε για καλυτερη τιμή ή καλύτερες παροχές αλλού (αν θελεις), που προσωπικά θεωρώ οτι υπάρχουν.

Τώρα αν χρειάζεσαι απαραίτητα και την κάρτα σιμ που σου δινουν για να χρεωνουν μεγαλύτερα πάγια και λογαριασμούς, δεν ξερω τι μοντελο θα μπορουσες να βαλεις.


Ανεξάρτητα εγώ θα κοίταζα να αγοράσω ενα adsl modem του εμπορίου (απο καταστημα) και θα ήμουν πιο σίγουρος. Τώρα αν θελεις πιο σιγουριά με λογισμικό που να ενημερώνεται τακτικά υπάρχουν και κάμποσα μοντέλα adsl συσκευών που δουλεύουν και με εναλλακτικό λογισμικό. Βλέπε openwrt compatible adsl modems, το οποίο λογισμικό ενημέρωνεται πολύ πιο συχνα απο αυτά των παρόχων internet και των κατασκευαστών ακόμη.

[manospcistas]

Εγώ δε βλέπω τίποτα περίεργο στα logs. Δέχεσαι κάποια πακέτα σε known ports - κάτι που γίνεται συχνά σε όλους μας, και το firewall τα απορρίπτει, αυτή είναι η δουλειά του.
Όσο για τα Smurf, έχουν source και destination 127.0.0.1 (localhost - το ίδιο το ρούτερ δηλαδή), άρα επίσης κανένα πρόβλημα. Ακόμα και να δεχόσουν πραγματικά Smurf - ICMP flood, πάλι έχεις firewall.

Είναι γεγονός ότι τις μέρες αυτές έχουν αυξηθεί τα port scans, αλλά όσο δεν κάνουμε port forwards άσκοπα, δεν υπάρχει κανένα πρόβλημα.

[K1m0n]

Θα τρελαθείς επειδή είδες dropped icmp packages στα logs του cpe?
......

Θεωρητικά μιλώντας:
*Αν* είναι όντως ddos flood attack (που δεν έχεις ιδέα αν/τι είναι χωρίς λεπτομερή Logs και traffic capture, πιθανότατα bots/scanners/script kiddies),
ο ΟΤΕ/whatever isp, δεν μπορεί να σου κάνει κάτι (ίσα-ίσα που έχει λόγους να μην σε θέλει για πελάτη).
Άν είναι σε περιορισμένο scope και γεωγραφικά εντοπισμένη η πηγή της θα μπορούσε να κάνει upstream blackhole routing
(όχι ότι θα κάτσει να ασχοληθεί ο isp για οικιακό πελάτη, θεωρητικά μιλάμε).
Αλλά τότε δεν θα ήταν ddos.
Αν είναι πραγματικά Ddos (το πρώτο, κεφαλάιο D για "Distributed") δεν υπάρχει κάποιο firewall/router που να μπορεί να κάνει κάτι,
γιατί έστω ότι κάνεις drop το σχετικό traffic στο router/firewall,
εφόσον το Pipe έχει γεμίσει upstream δεν έχεις υπηρεσία και δεν μπορείς να κάνεις και κάτι για αυτό.
Θα έπρεπε να αυξάνεις το bandwidth ώστε να έχεις περισσότερο από το botnet που κάνει το Ddos (ανέφικτο), ή,
να κόψεις τα sources (που αν είναι Ddos βασικά είναι όλο το internet).
Σε κάθε περίπτωση η επίθεση έχει πετύχει τον σκοπό της (Denial of service),
και εσύ πλέον δεν έχεις πρόσβαση στο internet να κάνεις posts περί τρέλας.
Αν υποθέταμε ότι προσφέρεις κάποια public υπηρεσία,
ο μόνος τρόπος να αντεπεξέλθεις σε μια ddos attack είναι global geographical load-balancing
(όπου θα πλήρωνες ανάλογα τους πόρους που θα καταναλώσεις),
και όχι, δεν μπορείς να έχεις τέτοιο στο σπίτι.

Πρακτικά μιλώντας, θα έλεγα:
Κάνε ένα reconnect να αλλάξεις ip.
Άλλαξε συνήθειες.
Αν το cpe είναι(?) vulnerable βάλε ένα firewall/router της προκοπής.
Να συζητάμε περί ddos στο cpe του isp είναι άτοπο.
Αν έχεις ανησυχίες ασφαλείας, στήσε ένα UTM, για το σπίτι είναι υπέρ-αρκετό.

[griniaris]

Εγώ δε βλέπω τίποτα περίεργο στα logs. Δέχεσαι κάποια πακέτα σε known ports - κάτι που γίνεται συχνά σε όλους μας, και το firewall τα απορρίπτει, αυτή είναι η δουλειά του.
Όσο για τα Smurf, έχουν source και destination 127.0.0.1 (localhost - το ίδιο το ρούτερ δηλαδή), άρα επίσης κανένα πρόβλημα. Ακόμα και να δεχόσουν πραγματικά Smurf - ICMP flood, πάλι έχεις firewall.

Είναι γεγονός ότι τις μέρες αυτές έχουν αυξηθεί τα port scans, αλλά όσο δεν κάνουμε port forwards άσκοπα, δεν υπάρχει κανένα πρόβλημα.

Η πιο λογικη απαντηση που διαβασα.


@MariosGRFS

Ολοι εχουν κλειστει στα σπιτια του και εχουν στησει μηχανημα-τα για αυτους τους σκοπους.

Ειτε για να περασει η ωρα τους , ειτε για χομπι , ειτε σαν επαγγελμα.

Δεν μπορεις να ρυθμισεις τιποτα παραπανω σε ενα modem-router παροχου .

Να μπεις στη διαδικασια να στησεις χωριστο modem και χωριστο router με δικου σου κανονες firewall απαιτει εξειδικευμενες γνωσεις. οποτε το αφηνουμε.

Αν εχεις "ευαισθητα" δεδομενα , ΟΠΩΣΔΗΠΟΤΕ BACKUP , και κατα τα αλλα συνεχιζεις οπως ησουν και πριν.

[macro]

Που να ειχε κανα ΜΤ και να εβλεπε το FW............... εγκεφαλικο θα παθαινε!!!