Исследователи из компании Bad Packets выявили (https://badpackets.net/ongoing-dns-hijacking-campaign-target.../) продолжающуюся с декабря волну автоматизированных атак, нацеленных на подмену настроек DNS на домашних и офисных маршрутизаторах. В случае успешной атаки на устройстве прописываются DNS-серверы злоумышленников, которые для некоторых доменов возвращают фиктивные IP-адреса, что приводит к перенаправлению на подставные варианты сайтов, созданные для фишинга и захвата параметров аутентификации.
Атака нацелена на поражения маршрутизаторов, работающих под управлением необновлённых прошивок, содержащих известные уязвимости.
Например, для атаки на устройства D-Link используется выявленная ещё в 2015 году уязвимость (https://www.opennet.ru/opennews/art.shtml?num=41596), позволяющая изменить настройки DNS без прохождения аутентификации. Для сканирования сети используются взломанные окружения в сервисе Google Cloud.В ходе атаки поражаются маршрутизаторы D-Link (DSL-2640B (https://www.exploit-db.com/exploits/42197), DSL-2740R (https://www.exploit-db.com/exploits/35917), DSL-2780B (https://www.exploit-db.com/exploits/37237) и DSL-526B (https://www.exploit-db.com/exploits/37241)),
ARG-W4 ADSL (https://www.exploit-db.com/exploits/40901), DSLink (260E), Secutech (https://www.exploit-db.com/exploits/44393) и TOTOLINK (https://www.exploit-db.com/exploits/37626). Наибольшее число скомпрометированных систем приходится на устройства D-Link DSL-2640B (14327 уязвимых устройств) и
TOTOLINK (2265 уязвимых устройств). После успешной атаки на устройства прописывается один из подконтрольных злоумышленникам DNS-серверов: 144.217.191.145, 66.70.173.48, 195.128.124.131 и 195.128.126.165.URL: https://arstechnica.com/information-technology/2019/04/ongoi.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=50463
Дырколинк каквсигда.
Всё, что не шьётся в OpenWRT - фпечь.
В драйверах OpenWrt тоже дыр полно
так дырка-то не в драйверах, а в уеб-интерфейсе слушающем что ни попадя и "поменять настройки без аутентификации" умеющим - все для удовольствия наших дорогих клиентов, пользователей с кривыми руками (с)ms.теоретически, уж такого уровня дыр в openwrt не бывает - любой васян разберется в таких незамысловатых скриптах, и спалит всю малину (а у китайца обратная сторона той же медали - вот любого васяна за чашку риса в неделю они и нанимают "для этой ерунды", не парясь качеством)
>дыра-то не в main(), а в printf()ну это совсем другое дело, я спокоен
а то что через printf() он легко выведет данные аутентификации и прослушает всю передачу это ничто. так мелочь))
>В драйверах OpenWrt тоже дыр полноОпенврт обновляется, известные уязвимости исправляют. А плохие драйверы можно просто выгрузить из памяти.
На нормальных платформах вроде mt7621 нет плохих драйверов.
>mt7621Эта нормальная платформа нормально работает только на васянских форках.
А что поделать, если васянские форки работают лучше, чем поделки горе пограммистов?
Просто Васян не брезгует залить в сборку китайские блобы без исходников, вотона и работает на MTK. А на действительно нормальном железе что OpenWRT, что LibreCMC без проблем пашут.
>Просто Васян не брезгует залить в сборку китайские блобы без исходников, вотона и работает на MTKОчень интересно узнать какие-такие блобы нужны для работы самого задокументированного и открытого soc для роутеров?
Просто аппаратный NAT работает без закрытых прошивок и драйверов, аппаратное тегирование вланов так же работает без сторонних драйверов. Весь код в гите опенврт. Теоретически, даже вся документация на криптомодуль есть, нужно только драйвер написать. Единственное, что сейчас не работает в mt7621 это аппаратная криптография.
> Просто аппаратный NAT работает без закрытых прошивок и драйверов, аппаратное тегирование вланов так же работает без сторонних драйверов.Просто прошивку тебе не показали, а она там, унутре. «Аппаратный NAT», сказанул блин…
Что ты несешь, болезный? Вот тебе аппаратный нат
https://github.com/openwrt/openwrt/commit/424a9ae128bd2045cd...
>>mt7621
> Эта нормальная платформа нормально работает только на васянских форках.просто любопытствую
вы OpenWrt назвали васянфорком или в дефолтном OpenWrt работает ненормально?
Работает абсолютно все на ванильном опенврт без блобов.
>А плохие драйверы можно просто выгрузить из памяти.Такие, как драйвер самого свича? Оригинально =)
уже есть adsl модемы с возможностью накатить openwrt? (все что находил - комбайны "модем+роутер", где адсл не работает с вышеназванной прошивкой)
Оно еще не в музее?
к сожалению, подобных раритетов у нас не сохранилось
У половины просвещенной Европы интернеты через ADSL.
> У половины просвещенной Европы интернеты через ADSL.У "половины просвещенной Европы" аналоговую телефонную линию уже несколько лет как откючили. VDSL(2), 100 или 250 МБ/c.
https://www.telekom.de/zuhause/tarife-und-optionen/internet/...
С разморозкой Вас!
Что самое интересное, одно утверждение другому не противоречит.
да оно примерно так и есть, дикари-с.то есть рекомендация не жить в $опе - она и для гейропы правильная. А то будет не только adsl с хреновым качеством, но еще и от одного-единственного провайдера-монополиста, который тебе его подключать (при имеющемся телефоне) будет два месяца.
зато с wifi'чиком! Причины те же самые.
> А то будет не только adsl с хреновым качеством, но
> еще и от одного-единственного провайдера-монополиста, который тебе его подключать (при имеющемся телефоне) будет два месяца.
> зато с wifi'чиком! Причины те же самые.Опять изящно забыли упомянуть, что сравниваете «мухосранск гейропейский» и благословленный внутриМКАД.
Вот этот вот VDSL на 100MB/s и выше доступен в сельской местности с тыщей населения. Попутно там еще есть канализация и вся проводка электричества, телефона, воды газа по умолчанию под землей, а не на соплях. С повсеместным асфальиком с брусчаточкой и нормативом прибытия скорой помощи в 8 минут.
Кстати да, оптику тоже уже много где вне крупных населенных пунктов подвели, а уж кабельное телевиденье начали переделывать под 100 МБитный интернет еще 10 лет назад.
Только:
1) Назови цену за эти 100МБ, и сравним с нашими за 500 рублей.
2) Газ, Вода и каналюга у нас и так под землёй. Назови мне там регион, где половину года больше -10 и где трассы электрические все под землёй ?
3) Слушай, рассказывай эти сказки другим, там не мало мест в "деревнях" похуже наших. Я уже молчу про поселения которые даже полиция не контролирует.
4) Ага 8 минут, платная скорая, без страховки откинешься. Ещё кстати если там будет очередь пожарников, к тебе по 911 могут они приехать, они проходили курсы первой помощи)
5) 10 лет назад он и в РФ переделывался и работал.
> Только:
> 1) Назови цену за эти 100МБ, и сравним с нашими за 500 рублей.Утешайся дешевым интернетом, ожидая завтрашнюю скорую, че.
> 2) Газ, Вода и каналюга у нас и так под землёй.
Подводка газа к селу, да, под землей.
Каналюги тоже под землей, верю! Где же удобствам во дворе еще быть?> Назови мне там регион, где половину года больше -10 и где трассы электрические все под землёй ?
Странные условия. Обязательно нужно -10, чтобы прятать электропроводку под землю? А то "воздушку" на деревянных столбах я тут разве что где-то в поле до одиночных домиков видел.
> 3) Слушай, рассказывай эти сказки другим, там не мало мест в "деревнях"
> похуже наших. Я уже молчу про поселения которые даже полиция не контролирует."Там" - это типа направления "все знают" или конкретика будет?
> 4) Ага 8 минут, платная скорая, без страховки откинешься.
Платная она только при ложном вызове. Еще, для простых смертных с совершенно нормальной страховкой в случае надобности и вертолет подогнать могут.
Хотя да, вам там виднее, как оно на самом деле.
> там будет очередь пожарников, к тебе по 911 могут они приехать, они проходили курсы первой помощи)
> по 911
>> "гейропа"Ясно-понятно, можете "разоблачать" и далее.
>> 4) Ага 8 минут, платная скорая, без страховки откинешься.
> Платная она только при ложном вызове. Еще, для простых смертных с совершенно
> нормальной страховкой в случае надобности и вертолет подогнать могут.
> Хотя да, вам там виднее, как оно на самом деле.Кстати, дополню - сама скорая приедет в любом случае и в любом случае поможет, страховые данные никто по телефону не диктует.
А остаться без обязательной медстраховки нужно очень сильно умудриться, но даже такие граждане просто выплачивают страховые взносы за пропущенное время (или же государство делает это за них, если они не платежеспособны).
> Ясно-понятно, можете "разоблачать" и далее.про пожарников он, кстати, вероятно не наврал - их, скорее всего, учили не СЛР, а первую _медицинскую_ помощь оказывать - а остальное тебе и грамотный-преграмотный врач не сможет, пока не доставят тебя в правильную операционную с правильным оборудованием, которое в микроавтобус скорой не влазит никак, так что кто раньше сможет до тебя добраться, тот и повезет в нее.
Мы как-то вынуждены были обращаться (сами, там где слуцилась, никакой спасательный вертолет бы не помог, а когда выбрались, уже проще было самим доехать до места где у них гнездо, чем на плохом английском объяснять так же говорящим местным что нам от них надо и где мы) в местный аналог МЧСа (просто ближайшее место) - было немного ссыкотно, когда они косились на припаркованный рядышком вертолет (в плане, оплатит ли его прекрасная рассейская страховка), но обошлось - фиг его знает, кто там был, то ли пожарник по совместительству фельдшер, то ли прикомандированный к ним доктор с полным образованием, но ящик с медпрепаратами у него нашелся, и проблему он решил вполне эффективно и не в режиме наших травмпунктов "а обезболивающего для вас у нас нет", после чего присоветовал рулить в больничку, но можно уже неспеша. Страховку не спросили, разумеется.
>> Ясно-понятно, можете "разоблачать" и далее.
> про пожарников он, кстати, вероятно не наврал - их, скорее всего, учили
> не СЛР, а первую _медицинскую_ помощь оказыватьНе соврал, только номер 911 по немного другим географическим координатам распространен. Тем что за лужей. И какая-та каша в голове насчет страховки.
Тем более, значительная часть организации первой помощи в той же Неметчине обеспечивается силами церкови и добровольцев (вот ведь лохи!)
У католиков: Помощь Мальтейцев (Malteser Hilfswerk, хрен знает, как его правильно перевести), 50 000 активных добровольцев, 30 000 на зарплате и под миллион зарегистрированных "спонсоров". У них 200 с хвостиком пунктов первой помощи.
У евангеликов: Иоганниты (кажись, Госпитальеры) 34 000 активных добровольца, 30 000 на зарплате, 1.2 миллиона "спонсирующих", тоже где-то 200 пунктов.Филиал Красного Креста, за 300 000 активных добровольцев, 150 000 на зарплате, под 3 миллиона "сочувствующих". Не знаю, сколько у них всего пунктов, но в одной Баварии около 350.
И тут "платная скорая, без страховки откинешься, я точно знаю!" - это такой о*ренительно смачный плевок в лицо всем этим людям, аж слов нет.
ЗЫ:
обычно скорая прибывает отдельно от дежурного врача - у них вообще задача лишь стабилизировать и недопустить дальнейшего ухудшения состояния, до прибытия врача и транспортировки в клинику.
Нормативы в виде 8 минут для 95% проишествий (в сельской местности есть поблажки аж до 12 минут) минут и оборудование взяты из реальной статистики эффективности для самых частых проишествий.
Противошоковое, дефибрилятор, EKG/электрокардиосимулятор, кислородные баллоны с маской и аппарат искусственного дыхания перекрывают основной спектр (инфаркт, инсульт, авария и т.д.), ну а там уже как повезет.
> 3) Слушай, рассказывай эти сказки другим, там не мало мест в "деревнях"
> похуже наших. Я уже молчу про поселения которые даже полиция не
> контролирует.
> 4) Ага 8 минут, платная скорая, без страховки откинешься. Ещё кстати если
> там будет очередь пожарников, к тебе по 911 могут они приехать,
> они проходили курсы первой помощи)
> 5) 10 лет назад он и в РФ переделывался и работал.Уважамемый Разоблачитель, можно я тоже расскажу четыре сказочки?
Сказочка первая, где я, около 23:00 в преддверии праздников, расквасил о душевую ручку дурную голову.
Как долго думал и прикидывал, ехать сейчас или завтра с утра к дежурному. Победило знание о том, что шить все равно придется, поэтому чем раньше, тем лучше.
Как поехал и прибыл через 20 минут, в 00:30 в ближайшую, общую, не частную, городскую больницу, как меня быстренько просортировали 2 дежурные по степени повреждения (пришел сам, объяснялся внятно).
Как вышел из общей, городской больницы через час, с четырехсантиметровым швом, направлением к домашнему врачу на регулярную проверку и обновленной прививкой от столбняка.
Все это обошлось ровно 0 сентов.Сказка вторая, как бабушка возрастом за 80 лет, звонила зимой, часа в 2 ночи, жалуясь на боли в груди. Как параллельно набирали 112 и вызывали ей скорую.
Как через 4 с половиной минуты у нее раздался звонок в дверь и ее увезли из населенного пункта на 5000 человек, в городскую больницу.
Как после обследывания оказалось, что неугомонную бабушку просто сильно просквозило, но ей все равно не пришел ни счет за вызов, ни за обследование.Это в местах «похуже ваших», так что я вам завидую белой завистью.
Сказка третья, о населенном пункте на 15 000 человек. Там, где наверняка «лучше».
Где ранее, во времена СССР, при половине сегодняшнего населения была больница с роддомом, неотложкой, постоянной парой врачей, педиатром. Для всех окрестных деревень и хуторов.
Но где умные дяди и тети из администрации все благополучно «оптимизировали», переведя все службы в райцентр. Так что сутки без электричества, при частом обрыве древней линии времен СССР вполне норма, а та же «скорая» теперь объезжает список больных по вчерашнему вызову, с утра и до «кто доживет».
Не все доживают. Вот дедушка пролежал почти сутки и недожил. Умер в 9 часов утра.Сказочка четвертая, о том как бабушки из того же населенного пункта, неделями ходят с переломами ребер, потому что общий терапевт приезжет по четвергам, с утра по настроению - можно и не застать, а бабушкам довоенных лет рождения ехать куда-то за 30 км в райцентр, в больницу ... Им проще потерпеть и по попросить соседку перетянуть повязкой поплотнее.
Но это все глупые сказки, да.
Главное чтоб интернет дешевый был. Можно смотреть кино и котиков, читать правдивые рассказы умных дядей, тётей и анонимов о том, как «там» все на самом деле хуже, да еще и интернет у них дорогой!
> Вот этот вот VDSL на 100MB/s и выше доступен в сельской местности с тыщей населения.более того, именно там он и доступен - в большом городе как раз и может оказаться только adsl по гнилой меди от единственного оператора, приближенного к кормушкам. Дорого и геморно в застройке копать :-(
Я и говорю - не живи в ж...- обитатели этих "мухосрансков" именно так и думают о вынужденных проживать в крупном городе.
Просто у этих геев все не как у людей, даже МКАД наизнанку вывернута, то что у нас внутри, у них снаружи.
>> Вот этот вот VDSL на 100MB/s и выше доступен в сельской местности с тыщей населения.
> более того, именно там он и доступен - в большом городе как
> раз и может оказаться только adsl по гнилой меди от единственного оператора, приближенного к кормушкам. Дорого и геморно в застройке копать :-(1. этот VDSL на 100MB/s у меня как раз по этой самой "гнилой меди" конца 50тых прошлого века.
2. А можно конкретный список этих больших городов?
ну клиент,который мне плакался на единственный недосервис в исполнении дойчтелекома - вроде в Мюнхене обитает. Зачем он там живет, я не стал спрашивать, еще обвинят в принуждении к суициду...
> ну клиент,который мне плакался на единственный недосервис в исполнении дойчтелекома - вроде в Мюнхене обитает. Зачем он там живет, я не стал спрашивать, еще обвинят в принуждении к суициду...У меня брат там живет. Приезжая в гости, острил на тему медленного "деревенского" интернета в 50МБ/c. Теперь я знаю, что на самом деле он просто завидовал.
Mюнхен, он хоть и в заМКАДовом захолустье, но все же по слухам довольно большой город, да еще и с кучей памятников культуры, куды тебе не то что оптику, новый водопровод или канализацию без кучи согласовывания и специалистов нельзя проложить будет. А так нате вам локального провайдера:
https://www.m-net.de/glasfaser-erleben/glasfaser-in-muenchen/
А нелокальных там с полдюжины точно наберется.
Ошибочка. 50-100 - VDSL2. 250 - это оптика, GPON.
> Ошибочка. 50-100 - VDSL2. 250 - это оптика, GPON.Вам виднее.
https://www.telekom.de/is-bin/intershop.static/WFS/EKI-PK-Si...
Maximal
250 Mbit/s bei VDSL-Technologie
250 Mbit/s bei Fiber-Technologie
40 Mbit/s bei VDSL-Technologie
100 Mbit/s bei Fiber-Technologie
Normalerweise zur Verfügung stehend
200 Mbit/s bei VDSL-Technologie
225 Mbit/s bei Fiber-Technologie
35 Mbit/s bei VDSL-Technologie
90 Mbit/s bei Fiber-Technologie
Minimal
175 Mbit/s bei VDSL-Technologie
200 Mbit/s bei Fiber-Technologie
20 Mbit/s bei VDSL-Technologie
80 Mbit/s bei Fiber-Technologie
в моем мухосранске только адсл от рт (единственный провайдер, не считая опсосов) и есть... 4мбит/с за почти косарь в месяц. Писали в спортлото, позиция провайдера - "куда вы денетесь с подводной лодки?"
не живи в $опе!adsl модемов уже не существует.
gpon/docics _модемы_ (без встроенных чудо-роутеров и, соответственно, без того что можно было бы поломать или хотя бы минимумом такового) - существуют, но операторами ставятся неохотно - неудобно за такую хрень трясти денег "за аренду", "за установку" и "за обслуживание".
и техподдержку даром напрягают - поскольу если дать роутер в руки пользователю, он через час уже радостно туда звонит "я настройки нечаянно сбросил, а листочком с ними подтерся, и вообще я этих буков не понимаю, немедленно сделайте мне хорошо, а то буду жаловаться в спортлото!"
поэтому мы поставим клиенту маршрутизатор+wifi аж с тремя virtual ap (не жалко, за его же деньги) ну и мааааленькой мелочью - отдельной сеточкой с нашим управлением. Чтоб когда он все себе поломает - техподдержка просто одной кнопкой сбросила настройки к дефолтному профилю - "а пароль от своего wifi прочитайте на крышке устройства" Какой такой еще openwrt?!
как всегда пох умнее всех. хоть в европе был раз? поезжай, посмотри на то, чего "уже не существует" вживую.
> как всегда пох умнее всех. хоть в европе был раз? поезжай, посмотриа зачем вы в эти отсталые страны ездиете-то? Они ж еще и все геи и норкоманы там! Езжайте в Индию, только не туда где духовно-богатые отдыхают (это довольно нецивилизованные по местным меркам места). Или в Малайзию, например...
> на то, чего "уже не существует" вживую.
модемов - уже нет даже в этой вашей гейропе. Двадцать лет как никак прошло. Теперь только уродцы со встроенным роутером, и, скорее всего, wifi. Может даже двумя. Или тремя.
//оффтоп> Теперь только уродцы со встроенным роутером, и, скорее всего, wifi
а кто будет отвечать если этот wifi взломают и теракт совершат? кажется мой модемовайфай мне таки продали за 1 рубль
За МКАДом GPON не существует.
> За МКАДом GPON не существует.вы по какую сторону "за" меряете? если наружную - просто отойдите подальше, дальше, еще дальше, там будет деревня Черная Грязь, так вы там тоже не задерживайтесь - и буквально километрах этак в 700...
А если еще подальше отъехать, ну там через "лужу" одну, там docics вместо него начнется.
А если внутри - там экспедиции пропадают бесследно, в рацию напоследок слышны какие-то вопли на непонятном языке "ссышь, ты, чувак, разговор к тебе есть", хрен его знает, существует ли там gpon, британские ученые вообще считают, что они там в каменном веке в основном, и людей едят... (но кто ж британским верит - да и какие-то хмыри с мешком вон в пункт приема вторцветмета оттуда по ночам бегают - так что бронзовый у них, наверняка)
Расскажи это жителям Кёнигсберга, а то им Ростелеком понаставил и они не знают, что он не существует.
Живу в мохосране на 50тысяч человек в алтайском крае. В квартирах адсл заменили на GPON даже людям без интернета, для работы городского телефона. Менять начали ещё в 2012 году.Сечас gpon со скоростью больше 100мбит можно подключить даже в частном секторе, но придётся заплатить около 12тыс рублей за подключение.
Интернета через медный Ethernet у нас никогда не было, от ADSL сразу к gpon.
Хабаровск - это за МКАДом, а GPON тут вполне себе есть.
прекратите возбуждать ненависть у жителей Черной Грязи!
В черной грязи лежит оптоволокно от примерно 5-6 разных операторов. Сам тут живу рядом и работаю в телекоме
Существуют. В Европе VDSL/VDSL2/GPON далеко не везде. Да и в этой вашей стране ещё остался местами.
Да, есть. Варианты можно взять на вики openwrt и выбрать нужный вам протокол (ADSL2, скорее всего).
https://openwrt.org/toh/views/toh_modem_supported
Переводите ADSL модем в режим бриджа, подключение устанавливаете на роутере с опенврт. В такой схеме страдает только ваше чувство прекрасного. Безопасность только повышается, ибо фирмварь адсл модема закрыта в любом случае, даже если он интегрирован в роутер с врт.Сейчас ADSL заменил модный GPON, на который даже спецификаций нет, дела обстаят хуже чем с ADSL. Схема с двумя устройствами это единственный выход на практике. Хотя встречаются способы прошивки gpon модуля от некротика.
А всем, кто не может 15км в темпе 4.30-5мин/км, рубим ноги.
Dlink трудится на dd-wrt лет наверное 10, если что.
Dlink стабилен. Зато всегда знаешь, что покупаешь ;)
У меня кстати dlink dir320 умер дома 3 месяца назад, проработал 12 лет 24/7
Сейчас можно mikrotik за 1500 руб взять на который будут всегда апдейты
> mikrotik за 1500 рубЗа эти бабки он будет хуже длинка-тплинка. Я себе домой купил микротик за 3.5к (причём без встроенного вайфая), чтобы мог тянуть л2тп туннель на 100мбитах.
hex S?
Охохо, в микротик тут вообще недавно эпичные дыры находили. Ну хоть обновляется, да...
Купить доступ к 20 млн прокси-серверов.
Стоп. Никогда не видел "потребительских" маршрутизаторов с белыми IP адресами. Поясните.
Пользуюсь интернетом долгие годы, сменил много провайдеров и мест жительства. Всегда видел только белый, динамический IP на WAN интерфейсе.
Серые IP только у мобильных операторов. Слышал страшные истории, что какие-то провайдеры в Москве сажают клиентов за NAT целыми домами и кварталами.На практике Ростелеком всем клиентам выдаёт белые, ттк выдаёт белые, эртелеком выдаёт белые. Гаражными провайдерами пользоваться не довелось.
> Гаражными провайдерами пользоваться не довелось.Принципиально пользуюсь только гаражными провайдерами. Почти на всех тарифах белый IPv4 бесплатно, но по запросу, а по умолчанию — серый.
Всё делают для того, чтобы включить DoH ))
А что если на устройствах прописан свой DNS ? )))
Тут представитель тотолинка российского у меня в ФБ:
1) решил проверить и "в понедельник дать ответ"
2) а так же забавно недувусмысленно намекнул что задача фильтровать дыры их железа это зона отвественности провайдераКому интересно можно последить тут https://www.facebook.com/WirelessCatLLC?__tn__=%2CdC-R-...
Ибо я фиг знает, но человек настойчиво мне желает отписываться зачем-то, вместо того что бы связаться с авторами исследования и предоставить доп информацию. Ну или хотя бы тут написать. Потому ссылка выше для интересующихся.
Любой провайдер может за 5 минут всё пофиксить, достаточно отнатить запросы к прописанным днс на свои днс сервера.
Вы считаете провайдеру больше заняться не чем? Более того. Он предоставим хвост и дырку. Может вам нужны эти DNS?Ну и вопрос не в том для чего дырки юзают (подмена DNS в данном случае), а в том, что дырки существуют и могут быть заюзаны для любых иных целей.
В случае с длинк дырка == тупо раздоблайство. В случае с TOTOLINK бережно впилен демн stk который по пакету с eth1 (WAN IF) открывает доступ в UI со стороны WAN.
Поверьте у провайдеров своих забот хватает как и ресурс железа тоже не безграничный.
Тьфу оператор предоставил хвост и дырку в мир. Заботиться что бы через дырку благодаря раздолбайству и членовредительству вендоров вашего железа вашу домашнюю сеть не превратили в прокси или ботов не его задача.
Женя, ты же со мной не общаешься, передумал?)5 минут копания в конфиге решает проблему на всей сети. После этого не нужно ни монтажников слать для настройки роутера ни клиенту три часа по телефону обьяснять что произошло и как исправить.
Нат или маршрут для днс с хакнутых роутеров - это вообще смешная нагрузка, не надо путать свои недороутеры на медиатеках и всякие х86 или железные роутеры которые wirespeed выдают.
Ой какрй толстенький...
Ваня. Может это любовь?А по делу. Это не я на наге жалился что фильтрануть 3 порта зело накладно с пол года назад. А именно ваша братия. Вы там уж как-то между собой определитесь уже. Накладно вам или нет.
Мне с моими медиатеками как бы пофигу абсолютно.
Я не герои выше и не нуждаюсь в костылях со стороны операторов.
Любовь - это не ко мне, я не по этой части :)Я тоже не жаловался что мне 3 порта накладно.
> Любовь - это не ко мне, я не по этой части :)Ну вот видишь как хорошо. Если отвечаю, значит считаю что нужно ответить и только.
> Я тоже не жаловался что мне 3 порта накладно.
Рад за тебя. Что это меняет и причём тут "мои медиатэки" для меня большая загадка. А на жалобы можешь сам на наге посмотреть.
И проблема тут как уже говорил не в том что DNS подменяют, а в том что дыры и бэкдоры, а как их юзать уже дело 99е.Что бы временно заткнуть вышеозвученную траблу в случае с d-link кроме прочего, 80 порт нужно фильтрануть TCPшный, в случае с тотолинк 80TCP и 5555 UDP (если склероз не замучал). Ну кроме игрищь с DNS.
Но это всё недорешения ибо ладно уязвимости, а бэкдоры не просто так встраиваются. И никто тебе о них не расскажет, так и будешь постоянно крутить тонны фильтров под говножелезо.
Пинать надо вендоров проштрафихшихся. Больно и регулярно. Что бы не приходилось костылить на своей стороне. Причём независимо накладно это или нет. Это их зона отвественности.
А то получается как мыши плакали, колололись, но продолжали жрать кактус.
И уж железа со встроенными бэкдорами вот точно быть не должно, независимо от того можно это заткнуть на стороне ISP или нет.
> Что бы временно заткнутьВ дополнение к твоему костылю.
А 80й порт фильтровать всем это ещё та веселуха будет. У меня вот, ну например, вполне себе web сервера висят домашние, и я не одинок.
Так что можно ещё и огрести.
Я лишь описал как провайдеру минимизировать затраты на суппорт, дыры в клиентских роутерах меня не интересуют, как и безопасность юзеров.
Я хз чего оно минимизирует. Но тут те виднее.Однако прикольно слышать, что дыры не интересуют в контексте устранения их последствий в целях минимизации затрат на саппорт.
Тут либо крестик либо трусы. А уж всех наглухо завернуть на свои dns это тоже еще та прелесть.
А заворачивать только запросы к "избранным" dns можно и под5677ся.
Может таки проще лечить проблему пиная вендоров?
> Может таки проще лечить проблему пиная вендоров?Вопрос минимазации усилий.
Завернуть днс запросы к конкретным серверам на свои - просто, и никто не будет звонить с вопросами почему инет не работает.
Заниматся безопасностью клиентов - сложно, и они за это не платят.
Заниматся сношениями с вендорами - вообще не проблема провайдера, он даже не покупал часто эти роутеры. Потом даже в случае успешных сношений провайдер получит пофикшеную прошивку и ему опять за свой счёт её ставить?Все идейные - патчат опенврт и накатывают его, остальным пофик, они не понимают.
> Заниматся сношениями с вендорами - вообще не проблема провайдерану вот, к частью, не любого.
проклятый провайдер docics'а просочившийся таки ко мне в квартиру - свой роутер обновляет сам (там отдельная сеть управления с его стороны, помимо моего влана и телевизорно-телефонных). Причем прошивки для него где-то берет, и кто-то их ему патчит.
Потому что это доксис, они вынуждены обновлять ибо там общая среда, и если начнётся разнос по версиям то сеть тупо ляжет.
И по сути, как и в гепон, тебе продаставляют услугу интернет по эзернету/вифи, в том плане что модем это всё ещё зона отвественности оператора, вот он им и управляет.А эзернет роутер это обрудование юзера, и зона отвественности оператора кончается на входе в этот роутер.
> Потому что это доксис, они вынуждены обновлять ибо там общая среда, и если начнётся разнос
> по версиям то сеть тупо ляжет.клиент с взбесившимся ethernet-роутером тоже может доставить много лулзов оператору, поди, storm control на его порту ты не настраивал. Обновляют, в том числе, и по запросу - то есть можно попросить себе недопиленную бету.
> И по сути, как и в гепон, тебе продаставляют услугу интернет по эзернету/вифи
ну, там смешнее, у этих роутеров по сути два контура управления - один видимый юзверю, где всякие wifi и ethernet'ы, другой для оператора - там вланы, апгрейды, возможность сзеркалировать траффик из якобы защищенной сети юзера...ой, зачеркнуто, сбросить настройки к какому-нибудь safe default, когда он доиграется с паролями или адресами и т д.
Подозреваю у gpon'овских от МГТС такая же фигня, но я с ними не дружу, поэтому копаться неохота.
Вполне вероятно, что если дать не очень даже и много денег длинку (в виде, скажем, размещения большого заказа для снабжения всех юзверей однотипными коробками) - он вполне запилит тебе "рюйский ethernet-роутер" (кто помнит про рюйский ppoe) с подобным функционалом.
Но никому не надо, проще переложить ответственность на клиента, а потом "ой, его поимели".
>> Может таки проще лечить проблему пиная вендоров?
> Заниматся безопасностью клиентов - сложно, и они за это не платят.
> Заниматся сношениями с вендорами - вообще не проблема провайдера, он даже не
> покупал часто эти роутеры. Потом даже в случае успешных сношений провайдер
> получит пофикшеную прошивку и ему опять за свой счёт её ставить?Цитирую из вебинтерфейса роутера:
> Your Speedport will automatically receive necessary firmware updates if EasySupport is enabled (default). This ensures that your Speedport always works optimal in the Telekom network.Причем оно уже лет 7 так.
Вот что законодательный пинок (или несение ответственности деньгой) животворящий с провайдерами делают!
У наших провайдеров нет денег на кастомную прошивку с возможностью удалённого обновления или они ничего не хотят.
> У наших провайдеров нет денег на кастомную прошивку с возможностью удалённого обновленияну вот у докиксовых есть, у етхернетовых - которые больше вложили в инфраструктуру и вроде как собирались предоставлять сервис более высокого уровня - опаньки?
> или они ничего не хотят.скорее именно это.
> У наших провайдеров нет денег на кастомную прошивку с возможностью удалённого обновления или они ничего не хотят.Да ни у кого их нет, пока оно не приносит ощутимых преимуществ.
Провайдеры птицы гордые, пока не пнешь, летать не хотят.
Вот когда обяжут по минимуму отвечать за ущерб из-за взлома массы клиентов с их оборудованием или в новостях за массовые взломы будут литься ушаты помоев или можно будет в рекламе принижать конкурентов "они не беспокоятся о Вашей безопасности!", сразу и желание и средства появятся.
Причем большинство провайдеров этим и занимаются: заворачивают весь DNS трафик на свои днс-ы, из-за чего DNS-over-https и пилят усиленными темпами. В итоге косяк dlink'а "фиксится" косячными провайдерами, красота.
Ну не правда. Я вот в лоб даже не назову таких. Хотя РТК вроде чем-то подобным страдал. Ну и опять же, сегодня подмена dns, завтра тупо прокси на роутер подгружать будут для своих нужд и т.д.Дырки-то универсальные и позволяют полноценно взять под контроль устройство, а не только DNS сменить.
Не занимаются.
DNS-over-https - исключительно ради тотального контроля за поголовьем хомяков.
> Причем большинство провайдеров этим и занимаются: заворачивают весь DNS трафик на свои
> днс-ы, из-за чего DNS-over-https и пилят усиленными темпами. В итоге косяк
> dlink'а "фиксится" косячными провайдерами, красота.Я вас удивлю, но у действительно больших и свои корневые сертификаты есть. Им ваш dns-овер-смузи совершенно не проблема.
Смотрим в "Root certificate bundle from the mozilla project"> Deutsche Telekom AG
> Chunghwa Telecom Co., Ltd.
Они таким заниматься не будут, потому что знают, что их очень скоро спалят и корневые сертификаты из браузеров удалят. Прецеденты были, если ты не в курсе.
Доброе утро, с разморозкой... 10 лет назад во всякие говнорутеры уже пихали левые ДНС через всякие дыры.. И в рутеры того вендора, что на картинке тоже.. В чем новость то ?
Новость в том, что и спустя 10 лет вендоры плодят дыры и бэкдоры.Ну что бы о героях не забывали.
А есть спецы по Д-линкам ?
Такое ощущение что этот скрин с ОЧЕНЬ старой прошивки, или сама железка очень старая и ни разу не обновлялась, так как снята давно с поддержки.
Это рожа AlphaNetworks. Её можно видеть как на современном железе вне РФ,а старый DLink весь шёл с ПО Alpha Networks.Сейчас для РФ пилят рязанские товарищи. Посмотреть на садомазахистов всегда можно на форуме d-link в разделе маршрутизатоы. Что не тема то плач Ярославны.
Не очень старой, всего лет 5-7, до этого были ещё другие интерфейсы :)
После ораньжевых пошли уродские плиточные.
Хотя на скрине 2010 год прошивки, те все 9 лет прошло.
Вообще сейчас многие провайдеры перехватывают dns запросы и редиректят их на свои сервера.
ох уж эти сказочники...