Kernel: Intrusion


Пару дней назад заметил, что на моем домашнем роутере мигает огонек активного подключения даже тогда, когда компьютер отключен. Раньше такого не было и я уже было подумал, что это кто-то из соседей взломал защиту на моем Wi-Fi роутере и пользуется моим подключением, однако это оказалось не так: в статистике подключений с момента последней перезагрузки роутера (22 дня назад) фигурирует только MAC-адрес моего компьютера. Да если уже так разобраться, то у меня и при подключении к Wi-Fi включена проверка по MAC-адресу, препятствующая подключению к моей сети даже в случае взлома пароля, и SSID скрыт. Отключил беспроводную сеть и увидел, что ничего не изменилось. Значит соседи вне подозрения.

Интересные новости меня ожидали в логе модема, в который я заглянул совершенно случайно, перепутав соседние ссылки. На модем-то мой регулярно приходят входящие запросы, отвечая на которые роутер как-раз и приводит в действие огонек на передней панели. Определить это довольно просто: роутер выведет в лог вот такое сообщение:

kernel: Intrusion -> IN=ppp_1_1_40_1 OUT= MAC= SRC=96.228.52.125 DST={Ваш внешний IP} LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=33590 DF PROTO=TCP SPT=55472 DPT=8080 WINDOW=5840 RES=0x00 SYN URGP=0

Запросы приходят с самых разных IP-адресов: и из Америки, и из Китая, и даже из сети самого «Укртелекома». Теперь смотрим параметры: «SRC» ― это адрес, с которого пришел запрос, а «DPT» ― порт на Вашем компьютере, к которому попытался подключится этот кадр.

Короче говоря, в моем случае это просто какой-то ботнет сканирует сети «Укртелекома» на наличие общедоступных прокси-серверов. Чем это нам угрожает? Да ничем, если на Вашем компьютере не установлен прокси-сервер, разве только кражей логина/пароля к DSL-подключению. На модемах «D'Link» довольно просто эту угрозу устранить. Во-первых, заходим на какой-нибудь сайт, где показывают наш IP-адрес (например, 2ip.ru). Копируем этот адрес себе в адресную строчку и смотрим, что будет. Если ничего не происходит ― значит все в порядке и дальше можно не читать, если же возникнет окошко авторизации, то это, конечно, не очень хорошо. Вводим логин и пароль «admin». Вошли? Поздравляю, администрировать Ваш модем может любой желающий, для этого только IP-адрес нужно знать!

Во-первых, меняем пароли от всех учетных записей, а их в D'link'овских модемах три: admin, support и user. В модемах TP-Link можно еще и логин поменять, но это не мой случай. Не мешало бы еще обновить прошивку модема до последней версии, но это уже не столь важно, если все работает нормально (но если же захотите обновить, то в ранних записях моего блога имеются подробные инструкции для DSL-2500U и DSL-2540U). Итак, теперь в администраторскую панель нашего модема уже не сможет войти любой желающий, но как же сделать так, чтобы ему даже вводить пароль не предлагалось, а то ведь узнает перебором? А это, между прочим, еще проще: в том же меню, где Вы меняли пароли к учетным записям, можно изменить и настройки безопасности, среди которых есть фильтр по IP-адресам. Если у Вас один компьютер в сети, то все просто; если же два и больше, то лучше бы привязать к тому компьютеру, с которого будет доступна администраторская панель, статичный внутренний IP-адрес (его можно либо забить в настройках модема, либо запретить модему самостоятельно его кому-либо назначать и забить в настройках подключения к интернету на компьютере). А теперь берем и вводим этот самый внутренний IP-адрес в список разрешенных, после чего включаем фильтрацию. Перед включением советую сделать резервную копию настроек (для этого тоже есть специальное меню), так как если что сделаете не так придется сбросить настройки при помощи специальной кнопочки на задней панели модема. Теперь снова узнаем свой внешний IP-адрес через сайт и вставляем в адресную строку браузера. «Connection refused»? То-то же. Улыбка


30.08.2012, 13:12
  Intrusion, Интернет, Укртелеком, ADSL, DLink.
Просмотров: 5107.
11