Attacchi Denial of Service su Download Station

Discussioni sulle funzioni di: BT (Bit Torrent) download, FTP download, HTTP download, or QGet download e P2P in generale.
angelo.foglietta
Messaggi: 11
Iscritto il: 22 feb 2010, 00:05

Attacchi Denial of Service su Download Station

Messaggio da angelo.foglietta »

Da qualche giorno sto notando che, non appena metto in coda qualcosa da scaricare in Download Station, questo comincia a connettersi alla rete P2P, ma dopo qualche secondo la mia ADSL va giu' inesorabilmente per un paio di minuti...
All'inizio credevo sosse un problema del mio ISP, ma poi ho cominciato a vedere i log del router/modem e mi sono accorto che, poco prima di cadere la rete, compaiono molti messaggi inquietanti che riportano sventati attacchi da parte del Firewall (software) del router... fra i quali: Land Attack, Ping of Death, IP with zero length, Smurf Attack, UDP port loopback, Snork Attack, TCP null scan, and TCP SYN flooding... in modo del tutto casuale.
Alcune volte il modem perde la portante e poi la riprende poco dopo, altre volte invece il router si riavvia da solo... Sintomo che il sovraccarico di connessioni ricevuto dal router lo manda evidentemente in errore.
Oggi ho fatto vari esperimenti, abilitando e disabilitando la Download Station del NAS e in contemporanea utilizzando uTorrent su un PC nella stessa rete locale, entrambe messi scaricare gli stessi torrent.
Il problema si presenta solo con la Download Station del QNAP, con uTorrent non ci sono assolutamente problemi. Io ho un TS-110 con FW 3.3.9.0105T, mentre per uTorrent sto utilizzando l'ultima versione 2.2.
Ho letto in giro sulla rete che in passato (cercando su Google si trovano pagine di 4-5 anni fa) ci sono stati diversi attacchi di hacker alla rete bit torrent e lo stesso uTorrent soffriva di problemi di DoS...
Mi viene il sospetto che nel corso degli anni alcuni dei problemi di sicurezza siano stati risolti, ma alcuni (clients come la Download Station) siano ancora vulnerabili a tali attacchi.
Qualcuno ha notato qualcosa di simile?
Grazie,
Angelo
Avatar utente
luciano
Amministratore
Messaggi: 8707
Iscritto il: 25 apr 2008, 01:45
Località: Roma
Contatta:

Re: Attacchi Denial of Service su Download Station

Messaggio da luciano »

Sinceramente problemi del genere non ne ho mai visti sulla mia ADSL, attacchi si è normale, ma da mettere KO la connessione no davvero... certo è curioso che solo con la DS tu abbia quegli attacchi. Tra poco uscirà la versione stabile del fw 3.4.0, facci sapere se quando la installerai ci saranno ancora gli stessi problemi.

P.S. quali porte hai aperto sul tuo router?
angelo.foglietta
Messaggi: 11
Iscritto il: 22 feb 2010, 00:05

Re: Attacchi Denial of Service su Download Station

Messaggio da angelo.foglietta »

Le porte si aprono tramite UPnP NAT forwarding (abilitato sul router), ho provato anche a cambiare porte ma il risultato non cambia.
Avatar utente
luciano
Amministratore
Messaggi: 8707
Iscritto il: 25 apr 2008, 01:45
Località: Roma
Contatta:

Re: Attacchi Denial of Service su Download Station

Messaggio da luciano »

Cioè anche usando porte non standard hai gli stessi problemi?
angelo.foglietta
Messaggi: 11
Iscritto il: 22 feb 2010, 00:05

Re: Attacchi Denial of Service su Download Station

Messaggio da angelo.foglietta »

Esatto, stessi problemi con qualunque porta imposto!
A mio avviso qualcuno dei peer usa la connessione con il client come cavallo di troia per colpire il router e farlo morire.
Avatar utente
luciano
Amministratore
Messaggi: 8707
Iscritto il: 25 apr 2008, 01:45
Località: Roma
Contatta:

Re: Attacchi Denial of Service su Download Station

Messaggio da luciano »

Non è che hai un virus/trojan su qualche client all'interno della tua LAN?
angelo.foglietta
Messaggi: 11
Iscritto il: 22 feb 2010, 00:05

Re: Attacchi Denial of Service su Download Station

Messaggio da angelo.foglietta »

luciano ha scritto:Non è che hai un virus/trojan su qualche client all'interno della tua LAN?
Sto molto attento a queste cose, non ci sono virus sui miei PC, l'unico problema ce l'ha il NAS la con Download Station... Non credo che un virus si insinui nei meandri della mia rete e infetti proprio il NAS, memmeno si tratti del piu' grande figlio di Trojan... :)
Scherzi a parte, le uniche porte aperte sul router sono l'SSH che uso per l'accesso dall'esterno (ma viene nattata su un'altra porta per evitare che qualche furbetto, in realta' erano molti, provi password alla cieca) e una porta non standard dedicata al web server.
Per cui il mio NAS non e' facile da raggiungere dall'esterno.
Pero' appena attivo DS si aprono anche le porte di Bit Torrent con UpnP e li si scatena l'inferno.
Oggi faccio una prova disabilitando UPnP e forwardando manualmente le porte... ma secondo me non cambiera' nulla. A mio avviso qualche client, magari di qualche casa discografica/cinematografica, nella rete Bit Torrent e' specializzato per cercare vulnerabilita'.
Ho paura che l'ultima risorsa sia l'aggiornamento del firmware, sperando che la nuova DS sia stata resa immune.
Quando e' previsto l'aggiornamento?
Avatar utente
luciano
Amministratore
Messaggi: 8707
Iscritto il: 25 apr 2008, 01:45
Località: Roma
Contatta:

Re: Attacchi Denial of Service su Download Station

Messaggio da luciano »

angelo.foglietta ha scritto: Quando e' previsto l'aggiornamento?
Mi hanno appena annunciato... tra oggi e domani uscirà la 3.4.0 ufficiale (sia per ARM che x86)! : Thumbup : : Yahooo :
angelo.foglietta
Messaggi: 11
Iscritto il: 22 feb 2010, 00:05

Re: Attacchi Denial of Service su Download Station

Messaggio da angelo.foglietta »

Installato il nuovo firmware, la nuova Download Station e' molto bella... ma non e' cambiato nulla.
Sto tenendo il router sotto controllo, indubbiamente se non attivo nessun client BT sulla rete, non viene rilevato nessun attacco.
Appena faccio partire il download con DS o uTorrent il modem comincia a rilevare attacchi del tipo elencato sopra (la cosa strana e' che ogni volta c'e' un tipo di attaco differente).
Lasciando scaricare uTorrent la connessione ADSL non cade, attacchi ci sono, ma non mandano giu' la rete, comunque la navigazione risulta rallentata di molto.
Lasciando scaricare DS (o anche DS2) gli attacchi sono molto piu' frquenti e cade la rete.
In entrambe i casi comunque il download e' molto veloce (ho una 20M) e raggiungo picchi di 1.5 Mb/sec.
Mi sta venendo il sospetto che sia Tiscali che stia facendo casini sulla rete (filtrando i dati per packet inspection), oppure che sia il router che interpreta il regolare passaggio di dati come falsi allarmi.
Posso fare una prova cambiando router/modem (anche se non mi va di perdere tempo a riconfigurare tutto) ma la cosa che mi sembra strana e' che il firewall da un giorno all'altro decida che il traffico P2P sia farlocco e lo intrerpreta come Intrusion...
Ripeto la domanda, perche' ho sempre piu' sospetti che dipenda dal ISP...
Qualcuno sta evidenziando qualcosa di simile? Il mio service provider e' Tiscali.
Grazie a chi mi puo' dare una mano...
Avatar utente
luciano
Amministratore
Messaggi: 8707
Iscritto il: 25 apr 2008, 01:45
Località: Roma
Contatta:

Re: Attacchi Denial of Service su Download Station

Messaggio da luciano »

Prova a far girare questi test, in particolare quello sul bittorrent: http://broadband.mpi-sws.org/transparency/bttest.php
angelo.foglietta
Messaggi: 11
Iscritto il: 22 feb 2010, 00:05

Re: Attacchi Denial of Service su Download Station

Messaggio da angelo.foglietta »

I test hanno girato e hanno detto che l'operatore non fa traffic shaping. Comunque se si basano solo sulla larghezza di banda percepita l'ho detto che scarico molto velocemente.

Ho aggiornato il firmare del router, ho disabilitato UPnP, ho impostato il port forwarding manualmente, ho spento il firewall del router, non ho altro da fare... Forse domani se mi va provo a cambiare router, ma quasi per togliermi uno sfizio... tanto lo so che non cambiera' nulla.
In realta' sono sempre piu' convinto che gli attacchi ci siano veramente... Ho impostato il router per mandarmi una mail ad ogni intrusion detection e DynDNS mi notifica ad ogni cambio dell'IP.
La situazione e' la seguente, almeno 5 o 6 volte al giorno (anche in orari lavorativi) ho dei messaggi di intrusion detection, del tipo:

Message: UDP Flood to Host
Source: 192.168.1.15, 43274
Destination:72.215.191.226, 57093 (from ATM1 Outbound)

Message: Smurf
Source: 197.1.225.255
Destination:192.168.1.2, Type:3, Code:3 (from LAN Outbound)

Message: LAND
Source: 78.13.218.44, 6881
Destination:78.13.218.44, 39781 (from ATM1 Inbound)

Che identificano (a loro avviso) sventati attacchi di malinenzionati a bucare la mia rete... In quei frangenti molto spesso le mie sessioni ssh (che uso per lavorare da remoto) mi cascano, senza che perda la connessione definitivamente.
Se metto un torrent in coda a uTorrent, la situazione rimane identica.
Se metto in coda un torrent nella Download Station di QNAP, si scatena immediatamente il casino... In pratica mi arrivano una decina di email al secondo, come quelle qui sopra, poi si ferma la rete completamente perche' il modem non vede piu' la portante, ma credo che sia un falso problema in quanto il router il piu' delle volte si riavvia da solo, in evidente sintomo di panico.

La domanda che faccio a te, Luciano, e agli altri che mi ascoltano e':

Perche' io?
Possibile che capiti solo a me?
Cosa fa di sbagliato la DS di Qnap? I can switch to English if I need to talk to QNAP support, I can provide plenty of info to track the case.

Ormai e' da dopo le feste di fine anno che sto perdendo tempo con Tiscali per cercare di far sistemare la mia portante (che purtroppo e' perfetta 10dB SR e attenuazione di 8dB in upstream e 18dB downstream), tutte le lamentele per le disconnessioni sono capitate in un buco nero...
Pero' oggi ho trovato un nuovo filone al quale aggrapparmi sperando non sia un ennesimo buco nero.
Facendo whois su uno degli IP segnalati nei messaggi, ho trovato questo messaggio:
remarks: --------------------------------------------------------
remarks:
remarks: Regarding spam and/or abuse complaints please report to:
remarks: abuse@tiscali.it
remarks:
remarks: !! ALL EMAILS REGARDING SPAM AND/OR ABUSE COMPLAINTS !!
remarks: !! SENT TO AN OTHER EMAIL ADDRESS THAN !!
remarks: !! abuse@tiscali.it !!
remarks: !! WILL BE IGNORED AND TREATED AS SPAM BY US ! !!
remarks:
remarks: --------------------------------------------------------

Provo a fare un reclamo, grazie a chi ha avuto la voglia di leggere questo thread, se avete dubbi che stia succedendo anche a voi potete contattarmi...
Grazie
Angelo
Avatar utente
luciano
Amministratore
Messaggi: 8707
Iscritto il: 25 apr 2008, 01:45
Località: Roma
Contatta:

Re: Attacchi Denial of Service su Download Station

Messaggio da luciano »

che router hai (marca/modello)?
angelo.foglietta
Messaggi: 11
Iscritto il: 22 feb 2010, 00:05

Re: Attacchi Denial of Service su Download Station

Messaggio da angelo.foglietta »

In origine un Linksys WAG354G, ma visto che non avevo molti strumenti per diagnosticare problemi, l'ho sostituito con un piu' vecchio e piu' brutto Philips CGA5722, che mi ha permesso di fare un miglior troubleshooting ed individuare che si trattava di attachi. I filtri ADSL li ho cambiati per precauzione, ma tanto non c'entravano niente.
I problemi con i 2 router sono esattamente identici, forse il Linksys non si riavviava (o non me ne sono mai accorto), ma la portante la perdeva di sicuro... ma a quei tempi stavo litigando con Tiscali per farmi rimodulare la portante (completamente fuori strada).
Se qualcuno conosce un Router/Modem ADSL con WiFi che sia piu' affidabile nella gestione delle intrusioni me lo comunichi al piu' presto che lo ordino al volo. In effetti i router hanno entrambe i suoi 5-6 annetti suonati, magari uno piu' nuovo con dell'hardware piu' potente in teoria potrebbe anche fare la differenza.
Avatar utente
luciano
Amministratore
Messaggi: 8707
Iscritto il: 25 apr 2008, 01:45
Località: Roma
Contatta:

Re: Attacchi Denial of Service su Download Station

Messaggio da luciano »

Scusa ma mi manca qualcosa, avevi detto che il problema te lo dava solo con la DS QNAP e non con utorrent, com'è la storia?
angelo.foglietta
Messaggi: 11
Iscritto il: 22 feb 2010, 00:05

Re: Attacchi Denial of Service su Download Station

Messaggio da angelo.foglietta »

E' esattamente quello che pensavo prima... scusa ma in effetti avevo scritto questo, ma poi non l'ho piu' corretto.
Ma poi dall'analisi delle email ricevute dal router noto che ci sono degli attacchi che avvengono anche quando DS non sta scaricando nulla.
La differenza e' che con DS attiva, mi arrivano anche 10 email al secondo, prima che crolli il router... Invece quando DS non sta scaricando ci sono degli attacchi sporadici di tanto in tanto (5 o 6 al giorno in media).
Se attivo uTorrent invece, non succede come con la DS, ma i 5-6 attacchi al giorno capitano.
Alcune volte ho evidenziato tali attacchi in diretta e ho notato che spesso non cade la portante (o il router non si riavvia), ma la navigazione e' molto rallentata, tant'e' vero che tutte le sessioni ssh mi vanno in timeout per l'eccessiva latenza.
Forse lo dovevo premettere, ma lavoro per una ditta americana e mi collego da remoto in diverse parti del mondo con delle sessioni vpn o ssh.
Mi sono accorto di questo problema perche' di colpo vedevo cadere tutte le sessioni remote e dovevo e a volte dovevo ricominciare tutto da capo, in realta il problema di BT mi interessa poco, ma avevo ricondotto l'eventuale soluzione del problema ad un problema del protocollo BT, visto che la situazione precipita completamente utilizzando DS.
Avatar utente
Bello
Messaggi: 18
Iscritto il: 07 mar 2009, 14:19

Re: Attacchi Denial of Service su Download Station

Messaggio da Bello »

Mal comune, mezzo gaudio:

ri, 2011-02-18 13:34:43 - UDP Packet - Source:80.116.197.23,34407 Destination:xx.xx.xx.xx,4672 - [DOS]
Fri, 2011-02-18 13:34:44 - UDP Packet - Source:75.70.177.31,9081 Destination:xx.xx.xx.xx,6882 - [DOS]
Fri, 2011-02-18 13:34:44 - UDP Packet - Source:112.1.133.204,17073 Destination:xx.xx.xx.xx,4672 - [DOS]
Fri, 2011-02-18 13:34:44 - UDP Packet - Source:82.50.45.49,20272 Destination:xx.xx.xx.xx,6881 - [DOS]
Fri, 2011-02-18 13:34:44 - UDP Packet - Source:75.70.177.31,9081 Destination:xx.xx.xx.xx,6882 - [DOS]
Fri, 2011-02-18 13:34:44 - UDP Packet - Source:75.70.177.31,9081 Destination:xx.xx.xx.xx,6883 - [DOS]
Fri, 2011-02-18 13:34:44 - UDP Packet - Source:75.70.177.31,9081 Destination:xx.xx.xx.xx,6882 - [DOS]
Fri, 2011-02-18 13:34:44 - UDP Packet - Source:75.70.177.31,9081 Destination:xx.xx.xx.xx,6883 - [DOS]
Fri, 2011-02-18 13:34:44 - UDP Packet - Source:123.125.113.26,52588 Destination:xx.xx.xx.xx,4672 - [DOS]
Fri, 2011-02-18 13:34:44 - UDP Packet - Source:2.37.108.173,4672 Destination:xx.xx.xx.xx,4672 - [DOS]
Fri, 2011-02-18 13:34:45 - UDP Packet - Source:75.70.177.31,9081 Destination:xx.xx.xx.xx,6882 - [DOS]
Fri, 2011-02-18 13:34:45 - UDP Packet - Source:75.70.177.31,9081 Destination:xx.xx.xx.xx,6883 - [DOS]
Fri, 2011-02-18 13:34:45 - UDP Packet - Source:83.195.169.210,26992 Destination:xx.xx.xx.xx,4672 - [DOS]

e qui taglio, sennò riempio la pagina....

-desktop:~$ whois 75.70.177.31
#
# Query terms are ambiguous. The query is assumed to be:
# "n 75.70.177.31"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=75.70 ... ARIN=false
#

Comcast Cable Communications Holdings, Inc CCCH-3-34 (NET-75-64-0-0-1) 75.64.0.0 - 75.75.191.255
Comcast Cable Communications Holdings, Inc COLORADO-23 (NET-75-70-0-0-1) 75.70.0.0 - 75.71.255.255


#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

mah... ho anch'io il router con l'upnp, ma ultimamente ci sono un sacco di tentativi d'accesso.
angelo.foglietta
Messaggi: 11
Iscritto il: 22 feb 2010, 00:05

Re: Attacchi Denial of Service su Download Station

Messaggio da angelo.foglietta »

Un sacco? Quelli sono 13 attacchi rilevati in 2 secondi...

Una domanda...
Anche a te si blocca il router? A me ne basta 1 per mandarlo nel pallone, quando ne arrivano 2 o 3 al secondo va in panico e si riavvia.
Che router hai?
Riesci ancora a navigare in quelle condizioni? Perche' altrimenti e' semplice, cambio router e chi se ne frega.
Grazie,
Angelo
Avatar utente
Bello
Messaggi: 18
Iscritto il: 07 mar 2009, 14:19

Re: Attacchi Denial of Service su Download Station

Messaggio da Bello »

Il mio router non fa pio... navigo tranquillamente e non si impalla. Nessun problema nemmeno sulla connessione. Ho un modesto Netgear DG834G V4. Ieri sera ho cambiato le porte, vediamo oggi che mi dice il log del router.

Ciao.
angelo.foglietta
Messaggi: 11
Iscritto il: 22 feb 2010, 00:05

Re: Attacchi Denial of Service su Download Station

Messaggio da angelo.foglietta »

Che si siano stufati... Da oggi non lo fa piu' nemmeno a me.
La DS sta scaricando a 1.5Mb/sec da un bel po senza nessun intoppo, nemmeno alle sessioni VPN.
Speriano sia finita.
Avatar utente
Bello
Messaggi: 18
Iscritto il: 07 mar 2009, 14:19

Re: Attacchi Denial of Service su Download Station

Messaggio da Bello »

Mah... cambiando le porte un pochino ho migliorato:

Mon, 2011-02-21 06:42:56 - UDP Packet - Source:183.21.99.47,6957 Destination:xx.xx.xx.xx,1756 - [DOS]
Mon, 2011-02-21 06:51:42 - UDP Packet - Source:116.209.208.4,4675 Destination:xx.xx.xx.xx,1756 - [DOS]
Mon, 2011-02-21 06:51:42 - UDP Packet - Source:96.35.94.90,44194 Destination:xx.xx.xx.xx,6881 - [DOS]
Mon, 2011-02-21 07:14:43 - UDP Packet - Source:183.6.80.18,27861 Destination:xx.xx.xx.xx,3622 - [DOS]
Mon, 2011-02-21 07:54:43 - UDP Packet - Source:218.69.255.186,4175 Destination:xx.xx.xx.xx,1756 - [DOS]
Mon, 2011-02-21 07:55:22 - UDP Packet - Source:219.159.240.88,7568 Destination:xx.xx.xx.xx,1756 - [DOS]
Mon, 2011-02-21 08:22:42 - UDP Packet - Source:219.159.240.88,7568 Destination:xx.xx.xx.xx,1756 - [DOS]
Mon, 2011-02-21 08:22:42 - UDP Packet - Source:27.32.38.184,28807 Destination:xx.xx.xx.xx,8501 - [DOS]
Mon, 2011-02-21 08:38:57 - UDP Packet - Source:124.229.247.107,2036 Destination:xx.xx.xx.xx,1756 - [DOS]
Mon, 2011-02-21 08:38:57 - UDP Packet - Source:109.67.98.30,45771 Destination:xx.xx.xx.xx,8501 - [DOS]
Mon, 2011-02-21 08:39:12 - UDP Packet - Source:211.137.156.198,65418 Destination:xx.xx.xx.xx,1756 - [DOS]
Mon, 2011-02-21 08:40:02 - UDP Packet - Source:99.48.209.96,5627 Destination:xx.xx.xx.xx,1756 - [DOS]
Mon, 2011-02-21 09:56:55 - UDP Packet - Source:115.208.61.239,7120 Destination:xx.xx.xx.xx,1756 - [DOS]
Mon, 2011-02-21 09:58:51 - UDP Packet - Source:219.142.237.72,20494 Destination:xx.xx.xx.xx,1756 - [DOS]
Mon, 2011-02-21 09:58:52 - UDP Packet - Source:123.234.119.123,10199 Destination:xx.xx.xx.xx,1756 - [DOS]
Mon, 2011-02-21 10:02:17 - UDP Packet - Source:115.208.61.239,7120 Destination:xx.xx.xx.xx,1756 - [DOS]
Mon, 2011-02-21 10:07:37 - UDP Packet - Source:115.208.61.239,7120 Destination:xx.xx.xx.xx,1756 - [DOS]
Mon, 2011-02-21 11:16:41 - UDP Packet - Source:117.87.65.196,26984 Destination:xx.xx.xx.xx1756 - [DOS]
Mon, 2011-02-21 11:20:55 - UDP Packet - Source:120.82.78.90,4673 Destination:xx.xx.xx.xx,1756 - [DOS]
Mon, 2011-02-21 11:26:52 - UDP Packet - Source:115.208.173.254,5151 Destination:xx.xx.xx.xx,4672 - [DOS]
Mon, 2011-02-21 11:32:49 - UDP Packet - Source:220.187.91.85,5151 Destination:xx.xx.xx.xx,4672 - [DOS]
Mon, 2011-02-21 11:47:02 - UDP Packet - Source:210.253.84.121,4679 Destination:xx.xx.xx.xx,1756 - [DOS]
Mon, 2011-02-21 12:21:50 - UDP Packet - Source:211.99.64.72,52231 Destination:xx.xx.xx.xx,1756 - [DOS]
Mon, 2011-02-21 12:31:01 - UDP Packet - Source:119.36.38.24,23329 Destinationxx.xx.xx.xx,1756 - [DOS]

Il log del router si è ridotto a circa 1/5.
Rispondi