QNAP Club Italia

Da qualche giorno sto notando che, non appena metto in coda qualcosa da scaricare in Download Station, questo comincia a connettersi alla rete P2P, ma dopo qualche secondo la mia ADSL va giu' inesorabilmente per un paio di minuti...
All'inizio credevo sosse un problema del mio ISP, ma poi ho cominciato a vedere i log del router/modem e mi sono accorto che, poco prima di cadere la rete, compaiono molti messaggi inquietanti che riportano sventati attacchi da parte del Firewall (software) del router... fra i quali: Land Attack, Ping of Death, IP with zero length, Smurf Attack, UDP port loopback, Snork Attack, TCP null scan, and TCP SYN flooding... in modo del tutto casuale.
Alcune volte il modem perde la portante e poi la riprende poco dopo, altre volte invece il router si riavvia da solo... Sintomo che il sovraccarico di connessioni ricevuto dal router lo manda evidentemente in errore.
Oggi ho fatto vari esperimenti, abilitando e disabilitando la Download Station del NAS e in contemporanea utilizzando uTorrent su un PC nella stessa rete locale, entrambe messi scaricare gli stessi torrent.
Il problema si presenta solo con la Download Station del QNAP, con uTorrent non ci sono assolutamente problemi. Io ho un TS-110 con FW 3.3.9.0105T, mentre per uTorrent sto utilizzando l'ultima versione 2.2.
Ho letto in giro sulla rete che in passato (cercando su Google si trovano pagine di 4-5 anni fa) ci sono stati diversi attacchi di hacker alla rete bit torrent e lo stesso uTorrent soffriva di problemi di DoS...
Mi viene il sospetto che nel corso degli anni alcuni dei problemi di sicurezza siano stati risolti, ma alcuni (clients come la Download Station) siano ancora vulnerabili a tali attacchi.
Qualcuno ha notato qualcosa di simile?
Grazie,
Angelo

Sinceramente problemi del genere non ne ho mai visti sulla mia ADSL, attacchi si è normale, ma da mettere KO la connessione no davvero... certo è curioso che solo con la DS tu abbia quegli attacchi. Tra poco uscirà la versione stabile del fw 3.4.0, facci sapere se quando la installerai ci saranno ancora gli stessi problemi.

P.S. quali porte hai aperto sul tuo router?

Le porte si aprono tramite UPnP NAT forwarding (abilitato sul router), ho provato anche a cambiare porte ma il risultato non cambia.

Cioè anche usando porte non standard hai gli stessi problemi?

Esatto, stessi problemi con qualunque porta imposto!
A mio avviso qualcuno dei peer usa la connessione con il client come cavallo di troia per colpire il router e farlo morire.

Non è che hai un virus/trojan su qualche client all'interno della tua LAN?

luciano ha scritto:Non è che hai un virus/trojan su qualche client all'interno della tua LAN?

Sto molto attento a queste cose, non ci sono virus sui miei PC, l'unico problema ce l'ha il NAS la con Download Station... Non credo che un virus si insinui nei meandri della mia rete e infetti proprio il NAS, memmeno si tratti del piu' grande figlio di Trojan... :)
Scherzi a parte, le uniche porte aperte sul router sono l'SSH che uso per l'accesso dall'esterno (ma viene nattata su un'altra porta per evitare che qualche furbetto, in realta' erano molti, provi password alla cieca) e una porta non standard dedicata al web server.
Per cui il mio NAS non e' facile da raggiungere dall'esterno.
Pero' appena attivo DS si aprono anche le porte di Bit Torrent con UpnP e li si scatena l'inferno.
Oggi faccio una prova disabilitando UPnP e forwardando manualmente le porte... ma secondo me non cambiera' nulla. A mio avviso qualche client, magari di qualche casa discografica/cinematografica, nella rete Bit Torrent e' specializzato per cercare vulnerabilita'.
Ho paura che l'ultima risorsa sia l'aggiornamento del firmware, sperando che la nuova DS sia stata resa immune.
Quando e' previsto l'aggiornamento?

angelo.foglietta ha scritto: Quando e' previsto l'aggiornamento?

Mi hanno appena annunciato... tra oggi e domani uscirà la 3.4.0 ufficiale (sia per ARM che x86)!

Installato il nuovo firmware, la nuova Download Station e' molto bella... ma non e' cambiato nulla.
Sto tenendo il router sotto controllo, indubbiamente se non attivo nessun client BT sulla rete, non viene rilevato nessun attacco.
Appena faccio partire il download con DS o uTorrent il modem comincia a rilevare attacchi del tipo elencato sopra (la cosa strana e' che ogni volta c'e' un tipo di attaco differente).
Lasciando scaricare uTorrent la connessione ADSL non cade, attacchi ci sono, ma non mandano giu' la rete, comunque la navigazione risulta rallentata di molto.
Lasciando scaricare DS (o anche DS2) gli attacchi sono molto piu' frquenti e cade la rete.
In entrambe i casi comunque il download e' molto veloce (ho una 20M) e raggiungo picchi di 1.5 Mb/sec.
Mi sta venendo il sospetto che sia Tiscali che stia facendo casini sulla rete (filtrando i dati per packet inspection), oppure che sia il router che interpreta il regolare passaggio di dati come falsi allarmi.
Posso fare una prova cambiando router/modem (anche se non mi va di perdere tempo a riconfigurare tutto) ma la cosa che mi sembra strana e' che il firewall da un giorno all'altro decida che il traffico P2P sia farlocco e lo intrerpreta come Intrusion...
Ripeto la domanda, perche' ho sempre piu' sospetti che dipenda dal ISP...
Qualcuno sta evidenziando qualcosa di simile? Il mio service provider e' Tiscali.
Grazie a chi mi puo' dare una mano...

Prova a far girare questi test, in particolare quello sul bittorrent: http://broadband.mpi-sws.org/transparency/bttest.php

I test hanno girato e hanno detto che l'operatore non fa traffic shaping. Comunque se si basano solo sulla larghezza di banda percepita l'ho detto che scarico molto velocemente.

Ho aggiornato il firmare del router, ho disabilitato UPnP, ho impostato il port forwarding manualmente, ho spento il firewall del router, non ho altro da fare... Forse domani se mi va provo a cambiare router, ma quasi per togliermi uno sfizio... tanto lo so che non cambiera' nulla.
In realta' sono sempre piu' convinto che gli attacchi ci siano veramente... Ho impostato il router per mandarmi una mail ad ogni intrusion detection e DynDNS mi notifica ad ogni cambio dell'IP.
La situazione e' la seguente, almeno 5 o 6 volte al giorno (anche in orari lavorativi) ho dei messaggi di intrusion detection, del tipo:

Message: UDP Flood to Host
Source: 192.168.1.15, 43274
Destination:72.215.191.226, 57093 (from ATM1 Outbound)

Message: Smurf
Source: 197.1.225.255
Destination:192.168.1.2, Type:3, Code:3 (from LAN Outbound)

Message: LAND
Source: 78.13.218.44, 6881
Destination:78.13.218.44, 39781 (from ATM1 Inbound)

Che identificano (a loro avviso) sventati attacchi di malinenzionati a bucare la mia rete... In quei frangenti molto spesso le mie sessioni ssh (che uso per lavorare da remoto) mi cascano, senza che perda la connessione definitivamente.
Se metto un torrent in coda a uTorrent, la situazione rimane identica.
Se metto in coda un torrent nella Download Station di QNAP, si scatena immediatamente il casino... In pratica mi arrivano una decina di email al secondo, come quelle qui sopra, poi si ferma la rete completamente perche' il modem non vede piu' la portante, ma credo che sia un falso problema in quanto il router il piu' delle volte si riavvia da solo, in evidente sintomo di panico.

La domanda che faccio a te, Luciano, e agli altri che mi ascoltano e':

Perche' io?
Possibile che capiti solo a me?
Cosa fa di sbagliato la DS di Qnap? I can switch to English if I need to talk to QNAP support, I can provide plenty of info to track the case.

Ormai e' da dopo le feste di fine anno che sto perdendo tempo con Tiscali per cercare di far sistemare la mia portante (che purtroppo e' perfetta 10dB SR e attenuazione di 8dB in upstream e 18dB downstream), tutte le lamentele per le disconnessioni sono capitate in un buco nero...
Pero' oggi ho trovato un nuovo filone al quale aggrapparmi sperando non sia un ennesimo buco nero.
Facendo whois su uno degli IP segnalati nei messaggi, ho trovato questo messaggio:
remarks: --------------------------------------------------------
remarks:
remarks: Regarding spam and/or abuse complaints please report to:
remarks: abuse@tiscali.it
remarks:
remarks: !! ALL EMAILS REGARDING SPAM AND/OR ABUSE COMPLAINTS !!
remarks: !! SENT TO AN OTHER EMAIL ADDRESS THAN !!
remarks: !! abuse@tiscali.it !!
remarks: !! WILL BE IGNORED AND TREATED AS SPAM BY US ! !!
remarks:
remarks: --------------------------------------------------------

Provo a fare un reclamo, grazie a chi ha avuto la voglia di leggere questo thread, se avete dubbi che stia succedendo anche a voi potete contattarmi...
Grazie
Angelo

che router hai (marca/modello)?

In origine un Linksys WAG354G, ma visto che non avevo molti strumenti per diagnosticare problemi, l'ho sostituito con un piu' vecchio e piu' brutto Philips CGA5722, che mi ha permesso di fare un miglior troubleshooting ed individuare che si trattava di attachi. I filtri ADSL li ho cambiati per precauzione, ma tanto non c'entravano niente.
I problemi con i 2 router sono esattamente identici, forse il Linksys non si riavviava (o non me ne sono mai accorto), ma la portante la perdeva di sicuro... ma a quei tempi stavo litigando con Tiscali per farmi rimodulare la portante (completamente fuori strada).
Se qualcuno conosce un Router/Modem ADSL con WiFi che sia piu' affidabile nella gestione delle intrusioni me lo comunichi al piu' presto che lo ordino al volo. In effetti i router hanno entrambe i suoi 5-6 annetti suonati, magari uno piu' nuovo con dell'hardware piu' potente in teoria potrebbe anche fare la differenza.

Scusa ma mi manca qualcosa, avevi detto che il problema te lo dava solo con la DS QNAP e non con utorrent, com'è la storia?

E' esattamente quello che pensavo prima... scusa ma in effetti avevo scritto questo, ma poi non l'ho piu' corretto.
Ma poi dall'analisi delle email ricevute dal router noto che ci sono degli attacchi che avvengono anche quando DS non sta scaricando nulla.
La differenza e' che con DS attiva, mi arrivano anche 10 email al secondo, prima che crolli il router... Invece quando DS non sta scaricando ci sono degli attacchi sporadici di tanto in tanto (5 o 6 al giorno in media).
Se attivo uTorrent invece, non succede come con la DS, ma i 5-6 attacchi al giorno capitano.
Alcune volte ho evidenziato tali attacchi in diretta e ho notato che spesso non cade la portante (o il router non si riavvia), ma la navigazione e' molto rallentata, tant'e' vero che tutte le sessioni ssh mi vanno in timeout per l'eccessiva latenza.
Forse lo dovevo premettere, ma lavoro per una ditta americana e mi collego da remoto in diverse parti del mondo con delle sessioni vpn o ssh.
Mi sono accorto di questo problema perche' di colpo vedevo cadere tutte le sessioni remote e dovevo e a volte dovevo ricominciare tutto da capo, in realta il problema di BT mi interessa poco, ma avevo ricondotto l'eventuale soluzione del problema ad un problema del protocollo BT, visto che la situazione precipita completamente utilizzando DS.

Mal comune, mezzo gaudio:

ri, 2011-02-18 13:34:43 - UDP Packet - Source:80.116.197.23,34407 Destination:xx.xx.xx.xx,4672 - [DOS]
Fri, 2011-02-18 13:34:44 - UDP Packet - Source:75.70.177.31,9081 Destination:xx.xx.xx.xx,6882 - [DOS]
Fri, 2011-02-18 13:34:44 - UDP Packet - Source:112.1.133.204,17073 Destination:xx.xx.xx.xx,4672 - [DOS]
Fri, 2011-02-18 13:34:44 - UDP Packet - Source:82.50.45.49,20272 Destination:xx.xx.xx.xx,6881 - [DOS]
Fri, 2011-02-18 13:34:44 - UDP Packet - Source:75.70.177.31,9081 Destination:xx.xx.xx.xx,6882 - [DOS]
Fri, 2011-02-18 13:34:44 - UDP Packet - Source:75.70.177.31,9081 Destination:xx.xx.xx.xx,6883 - [DOS]
Fri, 2011-02-18 13:34:44 - UDP Packet - Source:75.70.177.31,9081 Destination:xx.xx.xx.xx,6882 - [DOS]
Fri, 2011-02-18 13:34:44 - UDP Packet - Source:75.70.177.31,9081 Destination:xx.xx.xx.xx,6883 - [DOS]
Fri, 2011-02-18 13:34:44 - UDP Packet - Source:123.125.113.26,52588 Destination:xx.xx.xx.xx,4672 - [DOS]
Fri, 2011-02-18 13:34:44 - UDP Packet - Source:2.37.108.173,4672 Destination:xx.xx.xx.xx,4672 - [DOS]
Fri, 2011-02-18 13:34:45 - UDP Packet - Source:75.70.177.31,9081 Destination:xx.xx.xx.xx,6882 - [DOS]
Fri, 2011-02-18 13:34:45 - UDP Packet - Source:75.70.177.31,9081 Destination:xx.xx.xx.xx,6883 - [DOS]
Fri, 2011-02-18 13:34:45 - UDP Packet - Source:83.195.169.210,26992 Destination:xx.xx.xx.xx,4672 - [DOS]

e qui taglio, sennò riempio la pagina....

-desktop:~$ whois 75.70.177.31
#
# Query terms are ambiguous. The query is assumed to be:
# "n 75.70.177.31"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=75.70 ... ARIN=false
#

Comcast Cable Communications Holdings, Inc CCCH-3-34 (NET-75-64-0-0-1) 75.64.0.0 - 75.75.191.255
Comcast Cable Communications Holdings, Inc COLORADO-23 (NET-75-70-0-0-1) 75.70.0.0 - 75.71.255.255


#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

mah... ho anch'io il router con l'upnp, ma ultimamente ci sono un sacco di tentativi d'accesso.

Un sacco? Quelli sono 13 attacchi rilevati in 2 secondi...

Una domanda...
Anche a te si blocca il router? A me ne basta 1 per mandarlo nel pallone, quando ne arrivano 2 o 3 al secondo va in panico e si riavvia.
Che router hai?
Riesci ancora a navigare in quelle condizioni? Perche' altrimenti e' semplice, cambio router e chi se ne frega.
Grazie,
Angelo

Il mio router non fa pio... navigo tranquillamente e non si impalla. Nessun problema nemmeno sulla connessione. Ho un modesto Netgear DG834G V4. Ieri sera ho cambiato le porte, vediamo oggi che mi dice il log del router.

Ciao.

Che si siano stufati... Da oggi non lo fa piu' nemmeno a me.
La DS sta scaricando a 1.5Mb/sec da un bel po senza nessun intoppo, nemmeno alle sessioni VPN.
Speriano sia finita.

Mah... cambiando le porte un pochino ho migliorato:

Mon, 2011-02-21 06:42:56 - UDP Packet - Source:183.21.99.47,6957 Destination:xx.xx.xx.xx,1756 - [DOS]
Mon, 2011-02-21 06:51:42 - UDP Packet - Source:116.209.208.4,4675 Destination:xx.xx.xx.xx,1756 - [DOS]
Mon, 2011-02-21 06:51:42 - UDP Packet - Source:96.35.94.90,44194 Destination:xx.xx.xx.xx,6881 - [DOS]
Mon, 2011-02-21 07:14:43 - UDP Packet - Source:183.6.80.18,27861 Destination:xx.xx.xx.xx,3622 - [DOS]
Mon, 2011-02-21 07:54:43 - UDP Packet - Source:218.69.255.186,4175 Destination:xx.xx.xx.xx,1756 - [DOS]
Mon, 2011-02-21 07:55:22 - UDP Packet - Source:219.159.240.88,7568 Destination:xx.xx.xx.xx,1756 - [DOS]
Mon, 2011-02-21 08:22:42 - UDP Packet - Source:219.159.240.88,7568 Destination:xx.xx.xx.xx,1756 - [DOS]
Mon, 2011-02-21 08:22:42 - UDP Packet - Source:27.32.38.184,28807 Destination:xx.xx.xx.xx,8501 - [DOS]
Mon, 2011-02-21 08:38:57 - UDP Packet - Source:124.229.247.107,2036 Destination:xx.xx.xx.xx,1756 - [DOS]
Mon, 2011-02-21 08:38:57 - UDP Packet - Source:109.67.98.30,45771 Destination:xx.xx.xx.xx,8501 - [DOS]
Mon, 2011-02-21 08:39:12 - UDP Packet - Source:211.137.156.198,65418 Destination:xx.xx.xx.xx,1756 - [DOS]
Mon, 2011-02-21 08:40:02 - UDP Packet - Source:99.48.209.96,5627 Destination:xx.xx.xx.xx,1756 - [DOS]
Mon, 2011-02-21 09:56:55 - UDP Packet - Source:115.208.61.239,7120 Destination:xx.xx.xx.xx,1756 - [DOS]
Mon, 2011-02-21 09:58:51 - UDP Packet - Source:219.142.237.72,20494 Destination:xx.xx.xx.xx,1756 - [DOS]
Mon, 2011-02-21 09:58:52 - UDP Packet - Source:123.234.119.123,10199 Destination:xx.xx.xx.xx,1756 - [DOS]
Mon, 2011-02-21 10:02:17 - UDP Packet - Source:115.208.61.239,7120 Destination:xx.xx.xx.xx,1756 - [DOS]
Mon, 2011-02-21 10:07:37 - UDP Packet - Source:115.208.61.239,7120 Destination:xx.xx.xx.xx,1756 - [DOS]
Mon, 2011-02-21 11:16:41 - UDP Packet - Source:117.87.65.196,26984 Destination:xx.xx.xx.xx1756 - [DOS]
Mon, 2011-02-21 11:20:55 - UDP Packet - Source:120.82.78.90,4673 Destination:xx.xx.xx.xx,1756 - [DOS]
Mon, 2011-02-21 11:26:52 - UDP Packet - Source:115.208.173.254,5151 Destination:xx.xx.xx.xx,4672 - [DOS]
Mon, 2011-02-21 11:32:49 - UDP Packet - Source:220.187.91.85,5151 Destination:xx.xx.xx.xx,4672 - [DOS]
Mon, 2011-02-21 11:47:02 - UDP Packet - Source:210.253.84.121,4679 Destination:xx.xx.xx.xx,1756 - [DOS]
Mon, 2011-02-21 12:21:50 - UDP Packet - Source:211.99.64.72,52231 Destination:xx.xx.xx.xx,1756 - [DOS]
Mon, 2011-02-21 12:31:01 - UDP Packet - Source:119.36.38.24,23329 Destinationxx.xx.xx.xx,1756 - [DOS]

Il log del router si è ridotto a circa 1/5.