Followers 0

UDP flood

100 posts in this topic

Posted (edited)

9 минут назад, takoe4to сказал:

. Хм.. Ну при смене айпи проблема должна хоть на время, но пропасть. Значит что то даёт знать владельцу ботнета о том, какой актуальный адрес 

Цимес в том, что провайдер не даёт мне таких скоростей, на которых приходят пакеты, то есть там близко к физической возможности кабеля (он у меня ещё старый на 100). Поэтому если бы и была внешняя атака, она бы была слабее (ну это судя по атакам, которые были ранее, они никогда не были похожи ан эту и блочились легко фаерволом).

2 минуты назад, tehnomag сказал:

Ну ведь очевидно же, что зараза у вас в компе засела.

По каким признакам вы это определили?

Edited by dan_
0

Share this post


Link to post
Share on other sites

Posted (edited)

4 минуты назад, dan_ сказал:

 

По каким признакам вы это определили?

А логику включать не пробовали? Или вы думаете что это просто так при смене IP начинается атака? Вы вообще читали, что вам другие люди тут писали?

Edited by tehnomag
1

Share this post


Link to post
Share on other sites

Posted (edited)

6 минут назад, tehnomag сказал:

А логику включать не пробовали? Или вы думаете что это просто так при смене IP начинается атака? Вы вообще читали, что вам другие люди тут писали?

По логике я только ютуб посещаю из сайтов, да пару технических, где никакой вирусни быть не может. Программы вообще не помню когда последний раз устанавливал. Винда лицензия с последними обновлениями. Проверился антивирусами - чисто. Как быть?
Да и что это за зловред такой, который писан специально для меня, чтобы меня же дудосить, странно, не находите? Ему проще было бы просто заблокировать сетевуху. И как он мог попасть ко мне?

Edited by dan_
0

Share this post


Link to post
Share on other sites

Posted (edited)

Вместо тысячи слов

Это как пример, и я не говорю, что это именно ваш случай, но стоит задуматься....

Edited by tehnomag
0

Share this post


Link to post
Share on other sites

Posted (edited)

2011 год. С добрым утром.
А вы за чьё болото топите, кстати? Проще конечно всё на юзера свалить. Но опять же, странный зловред, не находите? Который вместо распространения сам обрубает себе пути для распространения.

Edited by dan_
0

Share this post


Link to post
Share on other sites

Posted (edited)

Б..., вам просто пример привели. :diablo_mini:

Edited by drnet
0

Share this post


Link to post
Share on other sites

Posted (edited)

Вы не поверите, но я был бы счастлив, если бы дело обстояло таким образом. Но в данном случае, при принятии вашего варианта,  мне видится один вариант - направленная атака именно против меня (что подразумевает бесполезность смены айпи), что согласитесь, не делает чести здесь никому. Антивирусы не видят, юзер снова крайний. Не дай бог вам такую беду.

ps: Радует то, что эта хрень ВРОДЕ КАК прекратилась.

Edited by dan_
0

Share this post


Link to post
Share on other sites

Похоже на Dns reflection .

Отключите свой компьютер от сети смените внешний адрес на роутере - и смотрите на свой микротик - есть флуд или нет.

1

Share this post


Link to post
Share on other sites

chain=prerouting action=drop in-interface-list=WAN-LIST dst-port=53 log=no log-prefix="" protocol=udp
Пробовали?

0

Share this post


Link to post
Share on other sites

Posted (edited)

15 минут назад, werke сказал:

Похоже на Dns reflection .

Отключите свой компьютер от сети смените внешний адрес на роутере - и смотрите на свой микротик - есть флуд или нет.

Отличная идея, сейчас сделаем.

Edited by dan_
0

Share this post


Link to post
Share on other sites
6 минут назад, dan_ сказал:

Я сначала обрадовался вашему прекрасному совету, а потом понял, что у меня нет 2-го компа чтобы это проверить :( К микротику я никак не подключусь.

Телефона нет? Вебинтерфейс или приложение. 

1

Share this post


Link to post
Share on other sites

Posted (edited)

To del.

Edited by drnet
0

Share this post


Link to post
Share on other sites

Posted (edited)

Да, да, я уже понял, открыл 80й на роутере, сейчас проверим через вайфай. Кстати снова началось. Попробую проверить по этому способу и напишу результаты.

Edited by dan_
0

Share this post


Link to post
Share on other sites

Да закройте 53 порт снаружи, либо уберите галку в настройках ДНС allow remote requests

0

Share this post


Link to post
Share on other sites

Posted (edited)

Всё закрывал, бестолку. Сейчас сбои такие короткие, что я даже айпи сменить не успеваю с телефона, блин, как они проходят.

Edited by dan_
0

Share this post


Link to post
Share on other sites

Posted (edited)

Увы и АХ. Подключился через телефон к роутеру. На компе отключил интерфейс LAN в роутере через winbox, комп тут же потерял сеть и отвалился. Работал только вайфай на телефоне, больше к роутеру ничего не подключено. В микротике по быстрому сбросил MAC, выдали новый айпи. При чём айпи точно новый, такой я раньше не видел. Сделал скрины нового айпи (старый в предыдущих постах), а также трафик. Ничего не изменилось. Но сегодня рвёт связь конечно реже.

ddos_tel.png

Edited by dan_
0

Share this post


Link to post
Share on other sites

Роутеру память стереть, обновить и настроить заново. Все руками. 
И проверить.

0

Share this post


Link to post
Share on other sites

Posted (edited)

13 минут назад, werke сказал:

Роутеру память стереть, обновить и настроить заново. Все руками. 
И проверить.

Я его уже 20 раз шил, наверное с момента возникновения проблемы, сбрасывал каждый раз, откатывал на старые прошивки, ставил старый, *цензура* роутер, который уже 10 лет работает. Ничего не меняется. Может уже пора заканчивать "с глюпым тупым юзером"?
ps: Сейчас вечер, всё плохо совсем стало. Еле пробился в сеть.

Edited by dan_
0

Share this post


Link to post
Share on other sites
2 минуты назад, dan_ сказал:

Я его уже 20 раз шил, наверное с момента возникновения проблемы, сбрасывал каждый раз, откатывал на старые прошивки, ставил старый, *цензура* роутер, который уже 10 лет работает. Ничего не меняется. Может уже пора заканчивать "с глюпым тупым юзером"?
ps: Сейчас вечер, всё плохо совсем стало. Еле пробился в сеть.

https://www.securitylab.ru/vulnerability/499702.php
точно ?

 

0

Share this post


Link to post
Share on other sites

Posted (edited)

21 минуту назад, werke сказал:

Роутеру память стереть, обновить и настроить заново. Все руками. 
И проверить.

Что вы? Акститесь. Эта проблема точно не в роутере. Текущее предположение что на обоих девайсах посещается некий ресурс и атака начинается после этого, когда устанавливатеся связь между ip и пользователем аккаунта или владельца куков. Или же некое приложение в смарте посылает некую информацию в фоновом режиме.

dan_

Вам нужно провести расследование.

 

Edited by drnet
2

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now
Followers 0