The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Зафиксирована атака по подмене DNS на уязвимых потребительских маршрутизаторах

05.04.2019 11:09

Исследователи из компании Bad Packets выявили продолжающуюся с декабря волну автоматизированных атак, нацеленных на подмену настроек DNS на домашних и офисных маршрутизаторах. В случае успешной атаки на устройстве прописываются DNS-серверы злоумышленников, которые для некоторых доменов возвращают фиктивные IP-адреса, что приводит к перенаправлению на подставные варианты сайтов, созданные для фишинга и захвата параметров аутентификации.

Атака нацелена на поражения маршрутизаторов, работающих под управлением необновлённых прошивок, содержащих известные уязвимости. Например, для атаки на устройства D-Link используется выявленная ещё в 2015 году уязвимость, позволяющая изменить настройки DNS без прохождения аутентификации. Для сканирования сети используются взломанные окружения в сервисе Google Cloud.

В ходе атаки поражаются маршрутизаторы D-Link (DSL-2640B, DSL-2740R, DSL-2780B и DSL-526B), ARG-W4 ADSL, DSLink (260E), Secutech и TOTOLINK. Наибольшее число скомпрометированных систем приходится на устройства D-Link DSL-2640B (14327 уязвимых устройств) и TOTOLINK (2265 уязвимых устройств). После успешной атаки на устройства прописывается один из подконтрольных злоумышленникам DNS-серверов: 144.217.191.145, 66.70.173.48, 195.128.124.131 и 195.128.126.165.



  1. Главная ссылка к новости (https://arstechnica.com/inform...)
  2. OpenNews: D-Link по ошибке опубликовал ключи для формирования цифровых подписей
  3. OpenNews: Атака на маршрутизаторы D-Link способна привести к подмене параметров DNS
  4. OpenNews: В маршрутизаторах D-Link обнаружен бэкдор
  5. OpenNews: В прошивках ряда устройств D-Link обнаружен бэкдор
  6. OpenNews: Уязвимости в устройствах D-Link, позволяющие удалённо выполнить произвольную команду
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: d-link, router, dns
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (94) Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, ryoken (ok), 11:28, 05/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +18 +/
    Дырколинк каквсигда.
    Всё, что не шьётся в OpenWRT - фпечь.
     
     
  • 2.2, Аноним (2), 11:48, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В драйверах OpenWrt тоже дыр полно
     
     
  • 3.5, пох (?), 13:03, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    так дырка-то не в драйверах, а в уеб-интерфейсе слушающем что ни попадя и "поменять настройки без аутентификации" умеющим - все для удовольствия наших дорогих клиентов, пользователей с кривыми руками (с)ms.

    теоретически, уж такого уровня дыр в openwrt не бывает - любой васян разберется в таких незамысловатых скриптах, и спалит всю малину (а у китайца обратная сторона той же медали - вот любого васяна за чашку риса в неделю они и нанимают "для этой ерунды", не парясь качеством)

     
     
  • 4.13, Аноним (13), 13:29, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >дыра-то не в main(), а в printf()

    ну это совсем другое дело, я спокоен

     
     
  • 5.40, Аноним3 (?), 17:11, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    а то что через printf() он легко выведет данные аутентификации и прослушает всю передачу это ничто. так мелочь))
     
  • 3.22, Аноним (22), 15:25, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    >В драйверах OpenWrt тоже дыр полно

    Опенврт обновляется, известные уязвимости исправляют. А плохие драйверы можно просто выгрузить из памяти.
    На нормальных платформах вроде mt7621 нет плохих драйверов.

     
     
  • 4.28, commiethebeastie (ok), 16:01, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >mt7621

    Эта нормальная платформа нормально работает только на васянских форках.

     
     
  • 5.32, Аноним (32), 16:28, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А что поделать, если васянские форки работают лучше, чем поделки горе пограммистов?
     
     
  • 6.47, Аноним (47), 17:43, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Просто Васян не брезгует залить в сборку китайские блобы без исходников, вотона и работает на MTK. А на действительно нормальном железе что OpenWRT, что LibreCMC без проблем пашут.
     
     
  • 7.50, Аноним (50), 17:58, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Просто Васян не брезгует залить в сборку китайские блобы без исходников, вотона и работает на MTK

    Очень интересно узнать какие-такие блобы нужны для работы самого задокументированного и открытого soc для роутеров?
    Просто аппаратный NAT работает без закрытых прошивок и драйверов, аппаратное тегирование вланов так же работает без сторонних драйверов. Весь код в гите опенврт. Теоретически, даже вся документация на криптомодуль есть, нужно только драйвер написать. Единственное, что сейчас не работает в mt7621 это аппаратная криптография.

     
     
  • 8.61, Аноним (61), 23:19, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Просто аппаратный NAT работает без закрытых прошивок и драйверов, аппаратное тегирование вланов так же работает без сторонних драйверов.

    Просто прошивку тебе не показали, а она там, унутре. «Аппаратный NAT», сказанул блин…

     
     
  • 9.77, Аноним (50), 18:22, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Что ты несешь, болезный? Вот тебе аппаратный нат
    https://github.com/openwrt/openwrt/commit/424a9ae128bd2045cd4bfd6e3229f2529d15
     
  • 5.42, J.L. (?), 17:28, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >>mt7621
    > Эта нормальная платформа нормально работает только на васянских форках.

    просто любопытствую
    вы OpenWrt назвали васянфорком или в дефолтном OpenWrt работает ненормально?

     
  • 5.49, Аноним (50), 17:49, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Работает абсолютно все на ванильном опенврт без блобов.
     
  • 4.65, Аноним (2), 00:28, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >А плохие драйверы можно просто выгрузить из памяти.

    Такие, как драйвер самого свича? Оригинально =)

     
  • 2.4, Аноним (-), 12:50, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    уже есть adsl модемы с возможностью накатить openwrt? (все что находил - комбайны "модем+роутер", где адсл не работает с вышеназванной прошивкой)
     
     
  • 3.6, Аноним (6), 13:04, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Оно еще не в музее?
     
     
  • 4.8, музейный работник (?), 13:11, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    к сожалению, подобных раритетов у нас не сохранилось
     
  • 4.10, Аноним (10), 13:14, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    У половины просвещенной Европы интернеты через ADSL.
     
     
  • 5.14, анонн (?), 13:33, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > У половины просвещенной Европы интернеты через ADSL.

    У "половины просвещенной Европы" аналоговую телефонную линию уже несколько лет как откючили. VDSL(2), 100 или 250 МБ/c.
    https://www.telekom.de/zuhause/tarife-und-optionen/internet/vdsl-100
    С разморозкой Вас!

     
     
  • 6.19, рра (?), 14:14, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Что самое интересное, одно утверждение другому не противоречит.
     
     
  • 7.27, пох (?), 15:55, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • –5 +/
    да оно примерно так и есть, дикари-с.

    то есть рекомендация не жить в $опе - она и для гейропы правильная. А то будет не только adsl с хреновым качеством, но еще и от одного-единственного провайдера-монополиста, который тебе его подключать (при имеющемся телефоне) будет два месяца.

    зато с wifi'чиком! Причины те же самые.

     
     
  • 8.31, анонн (?), 16:12, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > А то будет не только adsl с хреновым качеством, но
    > еще и от одного-единственного провайдера-монополиста, который тебе его подключать (при имеющемся телефоне) будет два месяца.
    > зато с wifi'чиком! Причины те же самые.

    Опять изящно забыли упомянуть, что сравниваете «мухосранск гейропейский» и благословленный внутриМКАД.
    Вот этот вот VDSL на 100MB/s и выше доступен в сельской местности с тыщей населения. Попутно там еще есть канализация и вся проводка электричества, телефона, воды газа по умолчанию под землей, а не на соплях. С повсеместным асфальиком с брусчаточкой и нормативом прибытия скорой помощи в 8 минут.
    Кстати да, оптику тоже уже много где вне крупных населенных пунктов подвели, а уж кабельное телевиденье начали переделывать под 100 МБитный интернет еще 10 лет назад.


     
     
  • 9.38, shpinog (?), 17:07, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Только:
    1) Назови цену за эти 100МБ, и сравним с нашими за 500 рублей.
    2) Газ, Вода  и каналюга у нас и так под землёй. Назови мне там регион, где половину года больше -10 и где трассы электрические все под землёй ?
    3) Слушай, рассказывай эти сказки другим, там не мало мест в "деревнях" похуже наших. Я уже молчу про поселения которые даже полиция не контролирует.
    4) Ага 8 минут, платная скорая, без страховки откинешься. Ещё кстати если там будет очередь пожарников, к тебе по 911 могут они приехать, они проходили курсы первой помощи)
    5) 10 лет назад он и в РФ переделывался и работал.
     
     
  • 10.44, анонн (?), 17:31, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Утешайся дешевым интернетом, ожидая завтрашнюю скорую, че Подводка газа к селу,... текст скрыт, показать
     
     
  • 11.46, анонн (?), 17:42, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> 4) Ага 8 минут, платная скорая, без страховки откинешься.
    > Платная она только при ложном вызове. Еще, для простых смертных с совершенно
    > нормальной страховкой в случае надобности и вертолет подогнать могут.
    > Хотя да, вам там виднее, как оно на самом деле.

    Кстати, дополню - сама скорая приедет в любом случае и в любом случае поможет, страховые данные никто по телефону не диктует.
    А остаться без обязательной медстраховки нужно очень сильно умудриться, но даже такие граждане просто выплачивают страховые взносы за пропущенное время (или же государство делает это за них, если они не платежеспособны).

     
  • 11.78, пох (?), 18:27, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    про пожарников он, кстати, вероятно не наврал - их, скорее всего, учили не СЛР, ... текст скрыт, показать
     
     
  • 12.82, Аноним (-), 19:39, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не соврал, только номер 911 по немного другим географическим координатам распрос... текст скрыт, показать
     
  • 10.54, Аноним (54), 19:39, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Уважамемый Разоблачитель, можно я тоже расскажу четыре сказочки Сказочка первая... текст скрыт, показать
     
  • 9.41, пох (?), 17:28, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вот этот вот VDSL на 100MB/s и выше доступен в сельской местности с тыщей населения.

    более того, именно там он и доступен - в большом городе как раз и может оказаться только adsl по гнилой меди от единственного оператора, приближенного к кормушкам. Дорого и геморно в застройке копать :-(

    Я и говорю - не живи в ж...- обитатели этих "мухосрансков" именно так и думают о вынужденных проживать в крупном городе.

    Просто у этих геев все не как у людей, даже МКАД наизнанку вывернута, то что у нас внутри, у них снаружи.

     
     
  • 10.48, анонн (?), 17:46, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> Вот этот вот VDSL на 100MB/s и выше доступен в сельской местности с тыщей населения.
    > более того, именно там он и доступен - в большом городе как
    > раз и может оказаться только adsl по гнилой меди от единственного  оператора, приближенного к кормушкам. Дорого и геморно в застройке копать :-(

    1. этот VDSL на 100MB/s у меня как раз по этой самой "гнилой меди" конца 50тых прошлого века.
    2. А можно конкретный список этих больших городов?

     
     
  • 11.88, пох (?), 10:58, 09/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ну клиент,который мне плакался на единственный недосервис в исполнении дойчтелекома - вроде в Мюнхене обитает. Зачем он там живет, я не стал спрашивать, еще обвинят в принуждении к суициду...

     
     
  • 12.90, анонн (?), 12:08, 09/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > ну клиент,который мне плакался на единственный недосервис в исполнении дойчтелекома - вроде в Мюнхене обитает. Зачем он там живет, я не стал спрашивать, еще обвинят в принуждении к суициду...

    У меня брат там живет. Приезжая в гости, острил на тему медленного "деревенского" интернета в 50МБ/c. Теперь я знаю, что на самом деле он просто завидовал.
    Mюнхен, он хоть и в заМКАДовом захолустье, но все же по слухам довольно большой город, да еще и с кучей памятников культуры, куды тебе не то что оптику, новый водопровод или канализацию без кучи согласовывания и специалистов нельзя проложить будет. А так нате вам локального провайдера:
    https://www.m-net.de/glasfaser-erleben/glasfaser-in-muenchen/
    А нелокальных там с полдюжины точно наберется.

     
  • 6.58, Онаним (?), 20:40, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ошибочка. 50-100 - VDSL2. 250 - это оптика, GPON.
     
     
  • 7.63, Аноним (-), 23:26, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Ошибочка. 50-100 - VDSL2. 250 - это оптика, GPON.

    Вам виднее.
    https://www.telekom.de/is-bin/intershop.static/WFS/EKI-PK-Site/EKI-PK/de_DE/do
    [code]
    Maximal
    250 Mbit/s bei VDSL-Technologie
    250 Mbit/s bei Fiber-Technologie
    40 Mbit/s bei VDSL-Technologie
    100 Mbit/s bei Fiber-Technologie
    Normalerweise zur Verfügung stehend
    200 Mbit/s bei VDSL-Technologie
    225 Mbit/s bei Fiber-Technologie
    35 Mbit/s bei VDSL-Technologie
    90 Mbit/s bei Fiber-Technologie
    Minimal
    175 Mbit/s bei VDSL-Technologie
    200 Mbit/s bei Fiber-Technologie
    20 Mbit/s bei VDSL-Technologie
    80 Mbit/s bei Fiber-Technologie
    [/code]

     
  • 4.71, Аноним (-), 12:16, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    в моем мухосранске только адсл от рт (единственный провайдер, не считая опсосов) и есть... 4мбит/с за почти косарь в месяц. Писали в спортлото, позиция провайдера - "куда вы денетесь с подводной лодки?"
     
  • 3.7, пох (?), 13:10, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    не живи в $опе!

    adsl модемов уже не существует.

    gpon/docics _модемы_ (без встроенных чудо-роутеров и, соответственно, без того что можно было бы поломать или хотя бы минимумом такового) - существуют, но операторами ставятся неохотно - неудобно за такую хрень трясти денег "за аренду", "за установку" и "за обслуживание".

    и техподдержку даром напрягают - поскольу если дать роутер в руки пользователю, он через час уже радостно туда звонит "я настройки нечаянно сбросил, а листочком с ними подтерся, и вообще я этих буков не понимаю, немедленно сделайте мне хорошо, а то буду жаловаться в спортлото!"

    поэтому мы поставим клиенту маршрутизатор+wifi аж с тремя virtual ap (не жалко, за его же деньги) ну и мааааленькой мелочью - отдельной сеточкой с нашим управлением. Чтоб когда он все себе поломает - техподдержка просто одной кнопкой сбросила настройки к дефолтному профилю - "а пароль от своего wifi прочитайте на крышке устройства" Какой такой еще openwrt?!

     
     
  • 4.11, Аноним (11), 13:19, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    как всегда пох умнее всех. хоть в европе был раз? поезжай, посмотри на то, чего "уже не существует" вживую.
     
     
  • 5.17, пох (?), 13:50, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > как всегда пох умнее всех. хоть в европе был раз? поезжай, посмотри

    а зачем вы в эти отсталые страны ездиете-то? Они ж еще и все геи и норкоманы там! Езжайте в Индию, только не туда где духовно-богатые отдыхают (это довольно нецивилизованные по местным меркам места). Или в Малайзию, например...

    > на то, чего "уже не существует" вживую.

    модемов - уже нет даже в этой вашей гейропе. Двадцать лет как никак прошло. Теперь только уродцы со встроенным роутером, и, скорее всего, wifi. Может даже двумя. Или тремя.

     
     
  • 6.45, J.L. (?), 17:34, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    //оффтоп

    > Теперь только уродцы со встроенным роутером, и, скорее всего, wifi

    а кто будет отвечать если этот wifi взломают и теракт совершат? кажется мой модемовайфай мне таки продали за 1 рубль

     
  • 4.12, Аноним (12), 13:26, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    За МКАДом GPON не существует.
     
     
  • 5.16, пох (?), 13:46, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > За МКАДом GPON не существует.

    вы по какую сторону "за" меряете? если наружную - просто отойдите подальше, дальше, еще дальше, там будет деревня Черная Грязь, так вы там тоже не задерживайтесь - и буквально километрах этак в 700...

    А если еще подальше отъехать, ну там через "лужу" одну, там docics вместо него начнется.

    А если внутри - там экспедиции пропадают бесследно, в рацию напоследок слышны какие-то вопли  на  непонятном языке "ссышь, ты, чувак, разговор к тебе есть", хрен его знает, существует ли там gpon, британские ученые вообще считают, что они там в каменном веке в основном, и людей едят... (но кто ж британским верит - да и какие-то хмыри с мешком вон в пункт приема вторцветмета оттуда по ночам бегают - так что бронзовый у них, наверняка)


     
  • 5.18, Ключевский (?), 14:05, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Расскажи это жителям Кёнигсберга, а то им Ростелеком понаставил и они не знают, что он не существует.
     
  • 5.25, Аноним (22), 15:42, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Живу в мохосране на 50тысяч человек в алтайском крае. В квартирах адсл заменили на GPON даже людям без интернета, для работы городского телефона. Менять начали ещё в 2012 году.

    Сечас gpon со скоростью больше 100мбит можно подключить даже в частном секторе, но придётся заплатить около 12тыс рублей за подключение.
    Интернета через медный Ethernet у нас никогда не было, от ADSL сразу к gpon.

     
  • 5.29, Аноним (29), 16:04, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Хабаровск - это за МКАДом, а GPON тут вполне себе есть.
     
     
  • 6.43, пох (?), 17:29, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    прекратите возбуждать ненависть у жителей Черной Грязи!
     
     
  • 7.69, Johnny (??), 09:08, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В черной грязи лежит оптоволокно от примерно 5-6 разных операторов. Сам тут живу рядом и работаю в телекоме
     
  • 4.59, Онаним (?), 20:41, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Существуют. В Европе VDSL/VDSL2/GPON далеко не везде. Да и в этой вашей стране ещё остался местами.
     
  • 3.9, Аноним (9), 13:13, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, есть. Варианты можно взять на вики openwrt и выбрать нужный вам протокол (ADSL2, скорее всего).
    https://openwrt.org/toh/views/toh_modem_supported
     
  • 3.23, Аноним (22), 15:31, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Переводите ADSL модем в режим бриджа, подключение устанавливаете на роутере с опенврт. В такой схеме страдает только ваше чувство прекрасного. Безопасность только повышается, ибо фирмварь адсл модема закрыта в любом случае, даже если он интегрирован в роутер с врт.

    Сейчас ADSL заменил модный GPON, на который даже спецификаций нет, дела обстаят хуже чем с ADSL. Схема с двумя устройствами это единственный выход на практике. Хотя встречаются способы прошивки gpon модуля от некротика.

     
  • 2.26, Аноним (26), 15:44, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А всем, кто не может 15км в темпе 4.30-5мин/км, рубим ноги.
    Dlink трудится на dd-wrt лет наверное 10, если что.
     
  • 1.3, Аноним (3), 12:20, 05/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Dlink стабилен. Зато всегда знаешь, что покупаешь ;)
     
     
  • 2.52, Planc (?), 18:43, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    У меня кстати dlink dir320 умер дома 3 месяца назад, проработал 12 лет 24/7
    Сейчас можно mikrotik за 1500 руб взять на который будут всегда апдейты
     
     
  • 3.66, НяшМяш (ok), 02:23, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > mikrotik за 1500 руб

    За эти бабки он будет хуже длинка-тплинка. Я себе домой купил микротик за 3.5к (причём без встроенного вайфая), чтобы мог тянуть л2тп туннель на 100мбитах.

     
     
  • 4.67, Hed (?), 03:04, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    hex S?
     
  • 4.84, Аноним (84), 23:28, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Охохо, в микротик тут вообще недавно эпичные дыры находили. Ну хоть обновляется, да...
     
  • 1.15, commiethebeastie (ok), 13:39, 05/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Купить доступ к 20 млн прокси-серверов.
     
  • 1.20, Аноним (20), 14:37, 05/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Стоп. Никогда не видел "потребительских" маршрутизаторов с белыми IP адресами. Поясните.
     
     
  • 2.24, Аноним (22), 15:37, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Пользуюсь интернетом долгие годы, сменил много провайдеров и мест жительства. Всегда видел только белый, динамический IP на WAN интерфейсе.
    Серые IP только у мобильных операторов. Слышал страшные истории, что какие-то провайдеры в Москве сажают клиентов за NAT целыми домами и кварталами.

    На практике Ростелеком всем клиентам выдаёт белые, ттк выдаёт белые, эртелеком выдаёт белые. Гаражными провайдерами пользоваться не довелось.

     
     
  • 3.62, Аноним (61), 23:23, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Гаражными провайдерами пользоваться не довелось.

    Принципиально пользуюсь только гаражными провайдерами. Почти на всех тарифах белый IPv4 бесплатно, но по запросу, а по умолчанию — серый.

     
  • 1.21, microcoder (ok), 15:08, 05/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Всё делают для того, чтобы включить DoH ))
     
  • 1.30, Аноним (-), 16:10, 05/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А что если на устройствах прописан свой DNS ? )))
     
  • 1.33, sfstudio (ok), 16:46, 05/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Тут представитель тотолинка российского у меня в ФБ:
    1) решил проверить и "в понедельник дать ответ"
    2) а так же забавно недувусмысленно намекнул что задача фильтровать дыры их железа это зона отвественности провайдера

    Кому интересно можно последить тут https://www.facebook.com/WirelessCatLLC?__tn__=%2CdC-R-R&eid=ARDmEYzoc5ow

    Ибо я фиг знает, но человек настойчиво мне желает отписываться зачем-то, вместо того что бы связаться с авторами исследования и предоставить доп информацию. Ну или хотя бы тут написать. Потому ссылка выше для интересующихся.

     
  • 1.34, Ivan_83 (ok), 16:55, 05/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Любой провайдер может за 5 минут всё пофиксить, достаточно отнатить запросы к прописанным днс на свои днс сервера.
     
     
  • 2.35, sfstudio (ok), 17:01, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вы считаете провайдеру больше заняться не чем? Более того. Он предоставим хвост и дырку. Может вам нужны эти DNS?

    Ну и вопрос не в том для чего дырки юзают (подмена DNS в данном случае), а в том, что дырки существуют и могут быть заюзаны для любых иных целей.

    В случае с длинк дырка == тупо раздоблайство. В случае с TOTOLINK бережно впилен демн stk который по пакету с eth1 (WAN IF) открывает доступ в UI со стороны WAN.

    Поверьте у провайдеров своих забот хватает как и ресурс железа тоже не безграничный.

     
     
  • 3.37, sfstudio (ok), 17:05, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Тьфу оператор предоставил хвост и дырку в мир. Заботиться что бы через дырку благодаря раздолбайству и членовредительству вендоров вашего железа вашу домашнюю сеть не превратили в прокси или ботов не его задача.
     
  • 3.55, Ivan_83 (ok), 19:44, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Женя, ты же со мной не общаешься, передумал?)

    5 минут копания в конфиге решает проблему на всей сети. После этого не нужно ни монтажников слать для настройки роутера ни клиенту три часа по телефону обьяснять что произошло и как исправить.

    Нат или маршрут для днс с хакнутых роутеров - это вообще смешная нагрузка, не надо путать свои недороутеры на медиатеках и всякие х86 или железные роутеры которые wirespeed выдают.

     
     
  • 4.60, SfMobile (?), 21:34, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ой какрй толстенький...
    Ваня. Может это любовь?

    А по делу. Это не я на наге жалился что фильтрануть 3 порта зело накладно с пол года назад. А именно ваша братия. Вы там уж как-то между собой определитесь уже. Накладно вам или нет.

    Мне с моими медиатеками как бы пофигу абсолютно.

    Я не герои выше и не нуждаюсь в костылях со стороны операторов.

     
     
  • 5.74, Ivan_83 (ok), 17:13, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Любовь - это не ко мне, я не по этой части :)

    Я тоже не жаловался что мне 3 порта накладно.

     
     
  • 6.75, sfstudio (ok), 17:30, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Любовь - это не ко мне, я не по этой части :)

    Ну вот видишь как хорошо. Если отвечаю, значит считаю что нужно ответить и только.

    > Я тоже не жаловался что мне 3 порта накладно.

    Рад за тебя. Что это меняет и причём тут "мои медиатэки" для меня большая загадка. А на жалобы можешь сам на наге посмотреть.


    И проблема тут как уже говорил не в том что DNS подменяют, а в том что дыры и бэкдоры, а как их юзать уже дело 99е.

    Что бы временно заткнуть вышеозвученную траблу в случае с d-link кроме прочего, 80 порт нужно фильтрануть TCPшный, в случае с тотолинк 80TCP и 5555 UDP (если склероз не замучал). Ну кроме игрищь с DNS.

    Но это всё недорешения ибо ладно уязвимости, а бэкдоры не просто так встраиваются. И никто тебе о них не расскажет, так и будешь постоянно крутить тонны фильтров под говножелезо.

    Пинать надо вендоров проштрафихшихся. Больно и регулярно. Что бы не приходилось костылить на своей стороне. Причём независимо накладно это или нет. Это их зона отвественности.

    А то получается как мыши плакали, колололись, но продолжали жрать кактус.

    И уж железа со встроенными бэкдорами вот точно быть не должно, независимо от того можно это заткнуть на стороне ISP или нет.

     
     
  • 7.76, sfstudio (ok), 17:33, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • +/

    > Что бы временно заткнуть

    В дополнение к твоему костылю.

    А 80й порт фильтровать всем это ещё та веселуха будет. У меня вот, ну например, вполне себе web сервера висят домашние, и я не одинок.

    Так что можно ещё и огрести.

     
  • 7.79, Ivan_83 (ok), 19:31, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я лишь описал как провайдеру минимизировать затраты на суппорт, дыры в клиентских роутерах меня не интересуют, как и безопасность юзеров.
     
     
  • 8.83, SfMobile (?), 19:43, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я хз чего оно минимизирует. Но тут те виднее.

    Однако прикольно слышать, что дыры не интересуют в контексте устранения их последствий в целях минимизации затрат на саппорт.

    Тут либо крестик либо трусы. А уж всех наглухо завернуть на свои dns это тоже еще та прелесть.

    А заворачивать только запросы к "избранным" dns можно и под5677ся.

    Может таки проще лечить проблему пиная вендоров?

     
     
  • 9.86, Ivan_83 (ok), 00:27, 08/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Может таки проще лечить проблему пиная вендоров?

    Вопрос минимазации усилий.
    Завернуть днс запросы к конкретным серверам на свои - просто, и никто не будет звонить с вопросами почему инет не работает.
    Заниматся безопасностью клиентов - сложно, и они за это не платят.
    Заниматся сношениями с вендорами - вообще не проблема провайдера, он даже не покупал часто эти роутеры. Потом даже в случае успешных сношений провайдер получит пофикшеную прошивку и ему опять за свой счёт её ставить?

    Все идейные - патчат опенврт и накатывают его, остальным пофик, они не понимают.

     
     
  • 10.89, пох (?), 11:02, 09/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Заниматся сношениями с вендорами - вообще не проблема провайдера

    ну вот, к частью, не любого.

    проклятый провайдер docics'а просочившийся таки ко мне в квартиру - свой роутер обновляет сам (там отдельная сеть управления с его стороны, помимо моего влана и телевизорно-телефонных). Причем прошивки для него где-то берет, и кто-то их ему патчит.

     
     
  • 11.93, Ivan_83 (ok), 21:54, 09/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что это доксис, они вынуждены обновлять ибо там общая среда, и если начнётся разнос по версиям то сеть тупо ляжет.
    И по сути, как и в гепон, тебе продаставляют услугу интернет по эзернету/вифи, в том плане что модем это всё ещё зона отвественности оператора, вот он им и управляет.

    А эзернет роутер это обрудование юзера, и зона отвественности оператора кончается на входе в этот роутер.

     
     
  • 12.95, пох (?), 22:17, 09/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Потому что это доксис, они вынуждены обновлять ибо там общая среда, и если начнётся разнос
    > по версиям то сеть тупо ляжет.

    клиент с взбесившимся ethernet-роутером тоже может доставить много лулзов оператору, поди, storm control на его порту ты не настраивал. Обновляют, в том числе, и по запросу - то есть можно попросить себе недопиленную бету.

    > И по сути, как и в гепон, тебе продаставляют услугу интернет по эзернету/вифи

    ну, там смешнее, у этих роутеров по сути два контура управления - один видимый юзверю, где всякие wifi и ethernet'ы, другой для оператора - там вланы, апгрейды, возможность сзеркалировать траффик из якобы защищенной сети юзера...ой, зачеркнуто, сбросить настройки к какому-нибудь safe default, когда он доиграется с паролями или адресами и т д.

    Подозреваю у gpon'овских от МГТС такая же фигня, но я с ними не дружу, поэтому копаться неохота.

    Вполне вероятно, что если дать не очень даже и много денег длинку (в виде, скажем, размещения большого заказа для снабжения всех юзверей однотипными коробками) - он вполне запилит тебе "рюйский ethernet-роутер" (кто помнит про рюйский ppoe) с подобным функционалом.
    Но никому не надо, проще переложить ответственность на клиента, а потом "ой, его поимели".

     
  • 10.92, Аноним (-), 14:57, 09/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> Может таки проще лечить проблему пиная вендоров?
    > Заниматся безопасностью клиентов - сложно, и они за это не платят.
    > Заниматся сношениями с вендорами - вообще не проблема провайдера, он даже не
    > покупал часто эти роутеры. Потом даже в случае успешных сношений провайдер
    > получит пофикшеную прошивку и ему опять за свой счёт её ставить?

    Цитирую из вебинтерфейса роутера:
    > Your Speedport will automatically receive necessary firmware updates if EasySupport is enabled (default). This ensures that your Speedport always works optimal in the Telekom network.

    Причем оно уже лет 7 так.
    Вот что законодательный пинок (или несение ответственности деньгой)  животворящий с провайдерами делают!


     
     
  • 11.94, Ivan_83 (ok), 21:56, 09/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    У наших провайдеров нет денег на кастомную прошивку с возможностью удалённого обновления или они ничего не хотят.
     
     
  • 12.96, пох (?), 22:18, 09/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > У наших провайдеров нет денег на кастомную прошивку с возможностью удалённого обновления

    ну вот у докиксовых есть, у етхернетовых - которые больше вложили в инфраструктуру и вроде как собирались предоставлять сервис более высокого уровня - опаньки?
    > или они ничего не хотят.

    скорее именно это.


     
  • 12.97, Аноним (97), 11:51, 10/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > У наших провайдеров нет денег на кастомную прошивку с возможностью удалённого обновления или они ничего не хотят.

    Да ни у кого их нет, пока оно не приносит ощутимых преимуществ.
    Провайдеры птицы гордые, пока не пнешь, летать не хотят.
    Вот когда обяжут по минимуму отвечать за ущерб из-за взлома массы клиентов с их оборудованием или в новостях за массовые взломы будут литься ушаты помоев или можно будет в рекламе принижать конкурентов "они не беспокоятся о Вашей безопасности!", сразу и желание и средства появятся.


     
  • 2.36, Бугурт (?), 17:03, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Причем большинство провайдеров этим и занимаются: заворачивают весь DNS трафик на свои днс-ы, из-за чего DNS-over-https и пилят усиленными темпами. В итоге косяк dlink'а "фиксится" косячными провайдерами, красота.
     
     
  • 3.39, sfstudio (ok), 17:07, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну не правда. Я вот в лоб даже не назову таких. Хотя РТК вроде чем-то подобным страдал. Ну и опять же, сегодня подмена dns, завтра тупо прокси на роутер подгружать будут для своих нужд и т.д.

    Дырки-то универсальные и позволяют полноценно взять под контроль устройство, а не только DNS сменить.

     
  • 3.56, Ivan_83 (ok), 19:45, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не занимаются.
    DNS-over-https - исключительно ради тотального контроля за поголовьем хомяков.
     
  • 3.57, анонн (?), 20:09, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Причем большинство провайдеров этим и занимаются: заворачивают весь DNS трафик на свои
    > днс-ы, из-за чего DNS-over-https и пилят усиленными темпами. В итоге косяк
    > dlink'а "фиксится" косячными провайдерами, красота.

    Я вас удивлю, но у действительно больших и свои корневые сертификаты есть. Им ваш dns-овер-смузи совершенно не проблема.
    Смотрим в "Root certificate bundle from the mozilla project"

    > Deutsche Telekom AG
    > Chunghwa Telecom Co., Ltd.

     
     
  • 4.64, Аноним (61), 23:31, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Они таким заниматься не будут, потому что знают, что их очень скоро спалят и корневые сертификаты из браузеров удалят. Прецеденты были, если ты не в курсе.
     
  • 1.51, Аноним (51), 18:39, 05/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Доброе утро, с разморозкой... 10 лет назад во всякие говнорутеры уже пихали левые ДНС через всякие дыры.. И в рутеры того вендора, что на картинке тоже.. В чем новость то ?
     
     
  • 2.53, Аноним (53), 18:45, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Новость в том, что и спустя 10 лет вендоры плодят дыры и бэкдоры.

    Ну что бы о героях не забывали.

     
  • 1.70, Аноним (70), 10:49, 06/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А есть спецы по Д-линкам ?
    Такое ощущение что этот скрин с ОЧЕНЬ старой прошивки, или сама железка очень старая и ни разу не обновлялась, так как снята давно с поддержки.
     
     
  • 2.73, sfstudio (ok), 13:48, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это рожа AlphaNetworks. Её можно видеть как на современном железе вне РФ,а старый DLink весь шёл с ПО Alpha Networks.

    Сейчас для РФ пилят рязанские товарищи. Посмотреть на садомазахистов всегда можно на форуме d-link в разделе маршрутизатоы. Что не тема то плач Ярославны.

     
  • 2.80, Ivan_83 (ok), 19:33, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не очень старой, всего лет 5-7, до этого были ещё другие интерфейсы :)
    После ораньжевых пошли уродские плиточные.
     
     
  • 3.81, Ivan_83 (ok), 19:34, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Хотя на скрине 2010 год прошивки, те все 9 лет прошло.
     
  • 1.85, Аноним (84), 23:30, 07/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вообще сейчас многие провайдеры перехватывают dns запросы и редиректят их на свои сервера.
     
     
  • 2.91, нах (?), 13:29, 09/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ох уж эти сказочники...

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:


    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру
    Hosting by Ihor