poskytovatel ma odpaja - vraj som utocnik

[neznamy]

zdravim


mam taky problem, uz druhy den sa mi stalo ze po zapnuti PC ma odpoji od sietoveho prvku poskytovatela t.j. antik a ich router, asi router, ked nie router tak switch. Zablokuje mi port na ktorom som pripojeny - pise ze sietovy kabel odpojeny. Na technickej podpore v antiku mi povedali ze ma tento prvok vyhodnocuje ako utocnika pretoze prichadza odo mna velke mnozstvo poziadaviek co je vyhodnotene ako DDOS alebo podobna sracka. Stava sa mi to vsak len po zapnuti PC, cely den je PC vypnute a ked zapnem tak som zablokovany

Odporucil mi nastavit rychlost sietovej karty na full duplex 100MB/s co som spravil, takisto odporucil preskenovat PC antivirom a antispywarom, to som urobil, nenasiel ziadnu hrozbu.

Napadla ma moznost ci nie som sucastou botnetu, ak hej,ako to zistit ?

pripadne neviete pomost co to moze robit ?

Dakujem

[mucha]

nepíšeš aký máš OS , skús použiť liveCD Ubuntu či sa to bude aj tak opakovať , prípadne ešte zmeniť meno a heslo na modem ...

[pocitujlasku]

stiahni a nainstaluj si wireshark. Nastartuj pc bez sietoveho kabla, spusti wireshark - nastav na ethernet adapter, pripoj kabel. Wireshark ti ukaze komplet komunikaciu cez sietovku. podla mnozstva dotazov zistis, kolko ti toho pc odosiela a na ake ipcky sa pripaja.

[rudko]

Ahoj
Podla toho co popisujes mi to pripada ako keby ta vypinala ARP Poisoning ochrana na switchi. Provider ma pravdepodobne nastavene limity velmi prisne. Skus jednu vec. Ked budes zapinat pc odpoj ho od siete a ked sa ti system stabilizuje po boote tak ho pripoj. nemalo by to spravit. Toto mozu sposobovat rozne aplikacie (instant messengery, IE, rozne rdp klienty...) ktore po starte systemu zacnu generovat velke mnozstvo arp requestov a to port security moze vyhodnotit ako utok.
Nam sa to v praci stava pomerne casto. Zistili sme ze nam to sposobuje Lync (IM od MS) a bolo potrebne navysit limity v port security policy.
edit: pocitujlasku dobre radi s wiresharkom, tam sa da zistit co je v systeme tym zaskodnikom. otazka vsak je ci si schopny to vyhodnotit

[dxr]

Nabootuj nejake LIVE distro linuxu a po par hodinach alebo nejako tak
nepoznam Antik ale kazdy takyto aktivny detektor ma nejake casove limity

ked bootnes cisty OS mozes skusit napriklad Avira Rescue CD je postavene na Ubuntu
(ale odkial ho stiahnes ak nemas net ma to 500mb)

Tam ti bude chodit siet aj prehliadac a mozes ho updatnut a prescanovat (pocitaj tak 1h-1.5h)

potom daj vediet pripadne browsuj z toho Live distra/PC ktore ide do aktivneho prvku ISP
ostatne veci zo siete odpoj (napr WifiRouter mozno mas niekoho na sieti alebo nieco co flooduje)
nemas hacknuty router? nedavno asi 5dni dozadu dostali zase Linksys-y

[neznamy]

mam win7 . nemal som s tym do vcera ziaden problem, nestalo sa mi to ani raz. Router nemam ziadny, no na druhy tyzden by som mal dostat TPlink. Mam pevnu IPcku tak ju planujem ist zrusit.

wireshark som skusal, nedokazem s nim pohnut nakolko nicomu v nom nerozumiem

[rudko]

vyskusaj to ako som ti pisal, spustit bez kabla a pockat, po par minutach pripojit. ked sa ti to takto rozbehne mozem ti pomoct s wiresharkom zdebugovat problem

[neznamy]

dobre, vyskusam to ale zajtra, teraz mam robotu a nechce sa mi dnes uz volat ze mi to zase nejde

[rudko]

okej, chapem

[dxr]

drotoveho zraloka som tiez zvazoval ale ak je OS napadnuty tym liveDistrom sa to eliminuje
lebo sam o sebe Win ma hromadu broadcastov )

Ozaj right stiahni si HiJackThis a posli nam vypis je to malicke ale velmi uzitocne posli to SS rudkovi alebo mne tam bude vidiet ci mas nejake processy ktore robia neplechu

[rudko]

osobne pochybujem ze tam ma virus alebo inu pliagu. tento problem, pokial je to to co si myslim sposobuje bezne aj IE a ine "legitimne" softy.
edit: ja uz to mam z drotovym zralokom ako s matrixom, vidim uz len blondinu, brunetu ...

[dxr]

Moze byt alebo zle nastaveny l7 filter ze ano nepoznam Antik ale necudoval by som sa
vylepsuju kadeco som niekde cital ze aj SMTP userom blokuju ze treba ist relay

[neznamy]

odpojil som kabel, restartol, pockal kym vsetko nabehne (qip skype avast) a pripojil kabel a neodpojilo ma

[dxr]

ja tipujem ze pakety Skype sa mu mozno nepacia on skype robi dost divnu komunikaciu
QIP mas stary jedine ze by Antik upravoval tie ich filtre ktore vyhodnocuju prevazku

[rudko]

Ja by som prve skusil tieto softy nastavit aby sa nespustali so systemom. A myslim ze to tvoj problem odstrani. Ono ak to sposobuje skype or qip tak mozes skusit jedine reinstal. Viac sa s tym velmi neda. Potom jedine poziadat providera nech zvysi threshold na arp poisoning. Pokial poskytnes rozumny dovod mal by vyhoviet. Ak nie tak im podpal kancel

[dxr]

ja len doplnim rudka existuje program ktory robi "delayed startup services"
pouziva sa to na zrychlenie nabehu OS do GUI/plocha ale da sa to pouzit
presne na toto ze ti spusti tie sluzby s oneskorenim

rudko> otazka preco preave arp poisoning ? aspon ja chapem arppoisonning ako podhazdovanie mac/ip
a zaplnenie arp tabulky. Ma to len zaujima ze ako si to vydedukoval ze je toto prave ten problem

QIP je velmi specificky SW od rusov niekto nevie presne co robi okrem OSCAR/ICQ protocolu
a Skype jeho pakety maju pokial viem nejake dummy pakety ktore maju osalit L7filtre (l7mark)
Skype okrem toho robi velke mnozstvo connectov a toto by sa mohlo nepacit Antik technologii
ze pri starte connmark povie ze prilist vela connectov za 60sek napriklad moj odhad

[rudko]

rudko> otazka preco preave arp poisoning ? aspon ja chapem arppoisonning ako podhazdovanie mac/ip
a zaplnenie arp tabulky. Ma to len zaujima ze ako si to vydedukoval ze je toto prave ten problem

switche, aspon teda cisco, maju v port security moznost nastavenia max poctu arp requestov za minutu z jedneho portu. ak tuto hodnotu prekrocis sw to vyhodnoti ako arp poisonign a disabluje port. je to ako ochrana proti tymto praktikam, ale niektore softy tieto prisne limity vedia prekrocit. ja nehovorim ze to je na 100% tento problem, ale podla spravania co right13 popisal mi to najlepsie sedi. v praci sme to casto riesili minule leto ked sme upgradovali niektore softy. nakoniec sme museli pristupit k zmenam hodnot v security nastaveniach

[neznamy]

kupil som tpilnk WR841ND, zatial fungujem, uvidim ako sa to bude spravat casom, ak je tam nejake nastavenie co by sa dalo pouzit aby zabranilo tymto pocetnym requestom z mojej strany, kludne napiste