Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Сетевое оборудование (http://forum.oszone.net/forumdisplay.php?f=55)
-   -   D-Link DIR-640L флудит DNS-запросами и отвечает на них (http://forum.oszone.net/showthread.php?t=285134)

MR_Andrew 16-07-2014 00:30 2377051
D-Link DIR-640L флудит DNS-запросами и отвечает на них
 
Доброго времени суток!

Есть очень необычная проблема. Есть абонент в сети, есть у него роутер D-Link DIR-640L. И этот чудо-роутер мало того, что флудит, так еще и себя DNS-сервером возомнил.

Допустим, флудить может ПК, который стоит за роутером. Отключали все устройства, оставили 1 ПК через роутер. Флудит. Включаем кабель напрямую в ПК без роутера - флуда нет, на ДНС не отвечает.
Но если даже и флудит какой-то ПК (как-то более вероятно даже), то на ДНС-запросы он ну никак отвечать не может, так как он за НАТом роутера! А порты там никто не прокидывал, то есть запросы просто не попадут на любой из ПК локальной сети. Значит отвечает таки роутер...

Вопрос: как такое может быть? Удаленно перерыл кучу настроек - все стандартно, как у Д-Линка. Пытался гуглить, есть пару идей, но проверить могу только завтра...

Вот примеры. ИП-адреса в целях безопасности затираю. Пускай ИП абонента будет 10.10.10.10 (host-10-10-10-10.myisp.ua), а сервер с ДНС, с которого сканирую трафик и вижу гадость - 20.20.20.20 (isp-dns.myisp.ua)

Вот пример запроса:

Код:
~>dig i.ua @10.10.10.10

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1 <<>> i.ua @10.10.10.10
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21315
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;i.ua.                          IN      A

;; ANSWER SECTION:
i.ua.                  4365    IN      A      91.198.36.14

;; Query time: 1 msec
;; SERVER: 10.10.10.10#53(10.10.10.10)
;; WHEN: Tue Jul 15 22:53:54 2014
;; MSG SIZE  rcvd: 38

]~>dig ukr.net @10.10.10.10

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1 <<>> ukr.net @10.10.10.10
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44285
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;ukr.net.                      IN      A

;; ANSWER SECTION:
ukr.net.                164    IN      A      212.42.76.252
ukr.net.                164    IN      A      212.42.76.253

;; Query time: 2 msec
;; SERVER: 10.10.10.10#53(10.10.10.10)
;; WHEN: Tue Jul 15 23:20:18 2014
;; MSG SIZE  rcvd: 57


C:\Users\Andrew>nslookup ex.ua 10.10.10.10
╤хЁтхЁ:  host-10-10-10-10.myisp.ua
Address:  10.10.10.10

Не заслуживающий доверия ответ:
╚ь*:    ex.ua
Address:  77.120.115.184
Повторюсь, включенный напрямую ПК без роутера на запросы не отвечает.

А вот флуд:

Код:
~>sudo tcpdump host 10.10.10.10 -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
23:10:33.495913 IP host-10-10-10-10.myisp.ua.62034 > isp-dns.myisp.ua.domain: 52594+ A? ycxksqcmngk.www.09445.com. (43)
23:10:34.318578 IP host-10-10-10-10.myisp.ua.33198 > isp-dns.myisp.ua.domain: 31854+ A? geiwjindxcr.www.09445.com. (43)
23:10:35.605895 IP isp-dns.myisp.ua.domain > host-10-10-10-10.myisp.ua.29365: 40862 ServFail 0/0/0 (43)
23:10:35.971253 IP isp-dns.myisp.ua.domain > host-10-10-10-10.myisp.ua.56273: 29870 ServFail 0/0/0 (43)
23:10:37.266369 IP host-10-10-10-10.myisp.ua.10180 > isp-dns.myisp.ua.domain: 11923+ A? cpgof.wushuang.taojiba.com. (44)
23:10:37.266430 IP isp-dns.myisp.ua.domain > host-10-10-10-10.myisp.ua.10180: 11923 NXDomain* 0/1/0 (114)
23:10:37.502156 IP isp-dns.myisp.ua.domain > host-10-10-10-10.myisp.ua.53209: 49399 ServFail 0/0/0 (43)
23:10:38.503402 IP host-10-10-10-10.myisp.ua.55263 > isp-dns.myisp.ua.domain: 34058+ A? mbjcywxrowl.www.525uc.com. (43)
23:10:38.503469 IP isp-dns.myisp.ua.domain > host-10-10-10-10.myisp.ua.55263: 34058 NXDomain* 0/1/0 (113)
23:10:40.090468 IP host-10-10-10-10.myisp.ua.53965 > isp-dns.myisp.ua.domain: 2505+ A? ovwdyiaxydh.www.09445.com. (43)
23:10:43.496225 IP isp-dns.myisp.ua.domain > host-10-10-10-10.myisp.ua.62034: 52594 ServFail 0/0/0 (43)
23:10:44.318836 IP isp-dns.myisp.ua.domain > host-10-10-10-10.myisp.ua.33198: 31854 ServFail 0/0/0 (43)
^C
12 packets captured
375 packets received by filter
316 packets dropped by kernel
Сервер, само собой, ругается на несуществующие адреса (ServFail и NXDomain), кроме этого его это еще и конкретно подгружает (так как сейчас какое-то нашествие, флудит кучу абон железа).

Может кто сталкивался - подскажите, пожалуйста, что делать. Сказать абону "выкинь роутер" - не вариант...

Спасибо!

Tonny_Bennet 25-07-2014 17:24 2381243
Цитата:
Цитата MR_Andrew
Но если даже и флудит какой-то ПК (как-то более вероятно даже), то на ДНС-запросы он ну никак отвечать не может, так как он за НАТом роутера! А порты там никто не прокидывал, то есть запросы просто не попадут на любой из ПК локальной сети. Значит отвечает таки роутер... »
Может в прошивке роутера проброшен порт и завёрнут на локальный интерфейс роутера. Он из внешки кидает запрос сам себе а потом на него отвечает.

Ребут, настройки в дефолт, обновление прошивки делали?

DeeON 03-08-2014 16:17 2384742
У меня когда то dir-100 флудил и вешал сеть на работе. Помогло обновление прошивки.

MR_Andrew 04-08-2014 12:14 2384988
Прошу прощения, что долго не отвечал.

Цитата:
Цитата Tonny_Bennet
Может в прошивке роутера проброшен порт и завёрнут на локальный интерфейс роутера. Он из внешки кидает запрос сам себе а потом на него отвечает. »
все может быть, но это явно баг прошивки....

Цитата:
Цитата Tonny_Bennet
Ребут, настройки в дефолт, обновление прошивки делали? »
ребут неоднократно, в дефолт не скидывали,так как роутер у абонента. Но там вроде бы из коробки, кроме W-Fi, никто ничего не трогал.
С прошивками вообще печаль - их нет. Модель какая-то специфическая, на сайте Д-линка она аж одна: http://support.dlink.com/ProductInfo.aspx?m=DIR-640L
это родная. Больше прошивок нет, в т.ч. альтернативных. Какой-то урод блин, а не роутер.


Проблему решил частично, и как всегда костылем - на коммутаторе зарезал ему source port 53. Теперь на DNS-запросы он не отвечает, не может. Коммутатор рубит все ответы от него.

Цитата:
Цитата DeeON
У меня когда то dir-100 флудил и вешал сеть на работе. Помогло обновление прошивки. »
да все может быть. China Telecommunication иногда творит чудеса....

Tonny_Bennet 04-08-2014 12:39 2385006
MR_Andrew, ещё можно обратиться в региональный офис d-link с описанием проблемы. Они частенько в приватной беседе могут сказать, что железка полное Г или предложить какую-нибудь beta прошивку (на сайте обычно не публикуется).

MR_Andrew 04-08-2014 13:05 2385015
Tonny_Bennet, есть такое, мы с этим столкнулись, когда пришлось работать с коммутаторами Д-Линк. Там половина прошивок достаются именно через тех.поддержку, в свободном доступе их просто не найти. Так что увы, знаком.
В связи с тем, что проблема, хоть и частично, решена, пока так и оставим. На данный момент у меня уже и доступа к тому роутеру нет, не могу проводить эксперименты.
Будет как есть.


Время: 21:23.

Время: 21:23.
© OSzone.net 2001-