Периодическое сбрасывание ин-та роутером.

Здравствуйте!

Прошу помочь всем кто сможет, так как техническая поддержка Акадо и знакомые специалисты только развели руками.

Проблема состоит в следующем. Опишу по порядку как было.

Имеется роутер Trendnet TEW-632brp. На него приходит кабель ,далее от роутера проводом на ностольный компьютер и беспроводным подключением на нотбук. Изначально статичные айпи не прописывал-в роутере был включен DHCP. Через час/полтора/два работы переставал работать интернет. Сразу же нажимал на диагностику проблемы и через полминуты выдавал сообщение- "Шлюз установленный по умолчанию не обнаружен" После чего интернет опять начинал исправно работать до поры, до времени
И так всегда - час/полтора/два работы и срыв.

Далее меня научили как прописывать статичные айпи адреса на ноуте и настольном компьютере. Прописал айпи(такой же как у роутера,только на конце цифры различные) Маску(тоже 3 раза по 255 и 0) Шлюз и ДНС (Их я посмотрел через подключение/сеть/сведения(когда роутер автоматом еще мне раздавал). Все прописал, все сделал, все замечательно работало,за исключением того,что любая страничка в начале чуть дольше грузилась. Но появилась другая проблема , начал расти пинг, причем доходило до 1000 мс (тестировал через выполнить/cmd/ ping ДНС Акадовского). В итоге интернет не грузился, но сеть при этом работала. Я уже было обрадовался тому,что хоть частично срыв происходит,но не тут то было,через минуту подключение вообще оборвалось. Перезагрузил роутер, но заработал не сразу(как раньше при динамической раздаче и ошибки "шлюз не обнаружен"). И по сей день происходит такой срыв ,то с нарастаующим пингом ,то сразу,причем ВНИМАНИЕ! пишет теперь ошибку совсем другую "DNS сервер не отвечает".

На работе дали голый(не тронутый) роутер Cisco Lynksys (Прошу извинить если неправильно пишу). В нем я прописал ТОЛЬКО настройки своего ин-та(Айпи,маску,шлюз,днс) DHCP стоял включенным по умолчанию. Подключил по проводу только настольный компьютер, проработал более 2 часов, но опять оборвалось соединение...
Решил проверить АКАДО, мол может у них что-то барахлит. Подключил провод на прямую в компьютер, проработал более 8 часов, ни единого срыва , никакого большого пинга,так что АКАДО не виновата.

Вот собственно моя проблема, кто может-посоветуйте что делать. Операционная система Widnows 7 64 , файрола нет, антивирус касперского,программа ЗОНД еще есть. Ну вот ,впринципе, все важные данные.

Заранее спасибо!

Сообщение отредактировал Orando: 24 января 2010 - 01:54

Судя по тому, что косяк всплывает на разных рутерах, и сильно растет задержка на них через некоторое время, но при прямом подключении к компу всех этих проблем НЕТ, то возникает подозрение на классический диагноз для таких домашних "мыльниц" -> они захлёбываются от левого трафика.

Суть в том, что на такие рутеры ставят очень слабенькие процессоры (для того, чтобы хватало пассивного охлаждения), и когда рутер начинает обрабатывать большой поток трафика, то он утилизируется на 100%, отсюда возникают задержки (пинг) и тормоза при работе в сети. Также они могут "тупить" из-за обильного потока маленьких пакетиков или наоборот, слишком жирных (траблы с tcp буфером) из-за чего начинаются потери, и вновь те самые тормоза и тупняк. Ну и подобные технические шняги, результат один - тормоза и тупняк. - ЭТО СЛЕДСТВИЕ.

А теперь о причинах:

в подобных домашних сетях (локалка + интернет), даже в реализации от провайдера, имеют место быть классические проблемы, некоторые из них можно решить, некоторые - нет.

Классические проблемы такие:
1. Много мусорного трафика -> броадкаст и мультикаст, мультискан и т.п. Даже если сетевой пакет не предназначен для вашего IP, но он доходит до рутера, то он все равно обрабатывается сетевухой. Более того, кроме L3+ пакетов, есть ещё огромная куча пакетов L2 уровня, которые не зависимо от вашего желания, все равно обрабатываются сетевой картой. А это - затраты ресурсов рутера. Если компа с куча гиговыми процами это легко проглатывают, то мелкие процы в рутерах при определенных условиях начинают "захлебываться".

2. Домохозяйки и школота. Эта категория людей, далеких от базовой ИТ грамотности, любителей порносайтов и т.п... Эта категория чаще всех ловит на свой бедный комп огромный зоопарк троянов, вирусов, червей и т.п. Этот зоопарк левого софта потом очень активно поносит в сеть...

3. Юные пиАнЭры. С этими уже сложнее. В домашней сети, как правило, есть как минимум один (а по факту больше) детишек (даже если ето взрослые люди - в голове у них до сих пор манная кашка и погремушки) которые прям не могут жить спокойно, и им в кайф дрючить сеть и пытаться "всех взламать". Осознанно или нет, но в такой сети, устроить DDoS можно любому пользователю, который юзает "рутер-мыльницу", причем сделать это очень просто. Достаточно пару экземпляров утилиты ping под GNU/linux подобной системой с пару ключиками запустить...


Таблэтка:

С вредителями по пункту 1 и 2 можно частично бороться следующими способами -> закрыть на рутере откровенно все пакеты, кроме явно разрешенных (135 и 445 закрывать однозначно, ибо NetBIOS и прочие "дружелюбные" протоколы от MS очень тяжелые). Мне такого вариант хватило, теперь инет работает норма, пинги не прыгают до небес.

С пунктом 3 уже сложнее, особенно если пиАнЭры балуются атакими типа man-in-middle... В таком случае есть только один вариант (и то не факт, что он поддерживается "мыльницей") -> заморозить ARP-таблицу, добавить в неё только статику ARP шлюза и DNS-ов (при условии, что DNS-ы с вами в одном сегменте), НО, в при такой реализации, вы потеряете связь с домашней локалкой, останется только Интернет... с другой стороны - а она вам нужна, эта помойка?

Диагностика:

Чтобы глянуть, что за паразитный трафик мучает ваш рутер, подключите кабель напрямую к компу, и используйте любой снифер. Вероятно, не нужно будет радикальных мер, а достаточно будет переблочить на рутере IP некоторых домохозяек и школоты.

AnalyzeIt (Jan 26 2010, 17:09) писал:

по п 3:
ARP-спуфинг никто не отменял.
тут вариант один:АКТИВНО БОРОТЬСЯ !!
причем не дожидаясь жалоб пользователей или заяв в "органы"(а иск могут подать и ISP-у), выявлять и отключать таковых !

Сообщение отредактировал WadeWalker: 26 января 2010 - 17:42

WadeWalker (Jan 26 2010, 17:41) писал:

ARP-спуфинг при замороженной ARP-таблице на рутере/компе не работает.
Если ARP-спуффинг направлен на ARP-буферы магистральных коммутаторов, то при удачном спуффинге эти коммутаторы станут по сути хабами, в любом случае, пользователь с замороженной ARP-таблицей от этого не пострадает.

Бороться... дело конечно правое, но делать это должны сотрудники Акадо, а не рядовые клиенты.

Сообщение отредактировал AnalyzeIt: 27 января 2010 - 11:22

AnalyzeIt (Jan 27 2010, 11:19) писал:

нуда, нуда, как вы собрались "морозить" ARP-таблицы на ...свичах?(кои в массе своей это не поддерживают). про роутеры/компы, конечно интересно, но ПРАКТИЧЕСКИ малоценно, по этой причине.

ну если бы вы ПРОЧИТАЛИ мною написаное, то поняли, что именно об этом речь и шла.
(что не отменяет гражданскую позицию)

WadeWalker (Jan 27 2010, 11:53) писал:

А я разве писал, что есть вариант с заморозкой ARP'а у коммутаторов? Я такого - не писал.

Я писал о заморозке ARP таблицы на домашнем рутере, к которому подключена сеть Акадо и прописана статика в ARP (для шлюза +- DNS'ов), и предлагал делать это только для того, чтобы рутер "видел" и обменивался пакетами только с шлюзом Акадо, который дальше обеспечивает NAT в Интернет.

Такое решение позволяет:
1. Защитится от атак вида man-in-middle.
2. Снять левую нагрузку с рутера, обеспечив максимальное КПД и скорость доступа в Интернет.
3. Минусы я озвучил, это полное ограждения себя от локальных пользовательских ресурсов (но тут вопрос - а нужны ли они? мне лично - нет, мне нужен только Интернет).

Такое решение будет нечто сильно упрощенным вариантом private vlan'ов.

p.s. Я внимательно ПРОЧИТАЛ, что вы написали, но с технической точки зрения, ваше умозаключение не имеет никакой корреляции с предложенным мною решением.

Сообщение отредактировал AnalyzeIt: 27 января 2010 - 13:30

AnalyzeIt (Jan 27 2010, 13:28) писал:

его нету и тут можно хоть обписаться об обратном.
я это заметил и какбы намекнул Вам, что не будь применено подобное решение ВСЮДУ на линии от Вас до нужных Вам ресурсах , ARP\-спуфинг, будет оставаться серьезной угрозой.
роутер который обменивается с [какбы]шлюзом Акадо, делает это ...Как ? как идентифицирует шлюз и как, напротив, шлюз делает это ?
будь Ваш домашний роутер воткнут прямо в младшую сиську(1xxx) с другого конца, c возможностью явственно привязать МАС-адресса к физическим портам роутера - это одно.
а когда до узловых маршрутизаторов, Вас отделяет N свичей(где N - не всегда==1)... возможности злоумышленников, безграничны.


таким образом такое "решение":
1. позволяет его "внедрившему" пребывать в блаженном успокоении относительно собственной безопасности.
2. делать все заблагорассудившееся с его траффиком, третьим лицам.

p.s.
с технической ТЗ ваше "решение", не имеет никакого смысла.

Сообщение отредактировал WadeWalker: 28 января 2010 - 15:50

WadeWalker (Jan 28 2010, 15:46) писал:

1. Разумеется, его нету, поэтому я об этом и не писал. Это вы выдвинули предположение о том, что я высказал такую глупость, и теперь заявляете - что такое действительно глупость. К чему это было - мне не понятно

2. Не совсем так, вы выдрали фразу из предложения, потеряв всю смысловую нагрузку моего поста, ушли от изначальной темы в более узкую предметную область и пытаетесь дискредитировать мои решения. Мои решения не являются абсолютной панацеей от всех проблем, но они однозначно решают множество проблем в неконтролируемых сетях-помойках, и эти основные проблемы я изначально описал. ARP протокол - это, к сожалению (или к счастью?) относится к семейству stateless, поэтому говорить об абсолютной безопасности в L1-L2 сегментах сети не приходится.

По крайней мере, мои решения, позволяют хосту "стать невидимым" для других (кроме пограничного рутера ISP), снизить утилизацию сетевушки от броадкастов и сканирований, а также защититься от 90% атак и попыток перехвата трафика.
Вы с этим согласны? (прежде чем ответить, дочитайте до конца).

3. Я более, чем уверен, что детали алгоритма ARP handshake вы сможете узнать самостоятельно, в интернете полно информации об этом, если интересуют абсолютные детали, то можете поковырять if_arp.c (идет практически со всеми дистрибутивами GNU/linux систем).

4. Для такого существует более лаконичное решение и называется оно private vlan (интересно, АКАДО предоставляет такое или нет?)

5. Ошибаетесь (почему, см. п.6). Исключения, если злоумышленник получит управление коммутатором. Опять же, напомню вам о изначальном смысле треда (см. п.2). Речь изначально шла не о параноидальной безопасности.

6. Ошибаетесь. Вы строите свои вывод на голой теории, я же все это проверял на практике, ещё в 2005 году, когда работал ведущим инженером группы проектирования сетей связи в ISP.

Был собран стенд из нескольких управляемых коммутаторов, нескольких рутеров, двух серверов, и трех рабочих станций. Проводили очень много стресс-тестов и изучение влияния различных вирусов, червей, снифферов, броадкастов, мультикастов и т.п. Также основная проблема была - найти защиту и систему обнаружения атак man-in-middle (использовали софт Cain&Abel). Дак вот, было найдено два решения:
1. Переписать модуль ARP и сделать из него stateful протокол, или как минимум внедрить систему тайм-аутов... В лабораторных условиях это прокатило, но в промышленную эксплуатацию это внедрить было нельзя по ряду причин.
2. Заморозка ARP-таблицы на рабочих станциях. В этом случае, при попытке использовать man-in-middle происходил обрыв связи, так как подменить ARP рутера cain&abel не смог на клиентской машине, а вот на рутере подменял, то есть "посредник" смог получать входящий к клиенту трафик, исходящий не мог, но в такой схеме нарушался ARP маршрут.
Таким образом можно было защититься от перехвата отправляемой security sensitive инфы, но легко можно было схватить DoS, в любом случае, лучше словить DoS, чем поделиться чем то ценным со злоумышленником. Но по итогу, в промышленную эксплуатацию такое внедрять не стали.... пришлось признать, что ARP stateless протокол есть и о безопасности можно говорить только при активных системах обнаружения (IDS + snmp traps на свитчах).

Важное замечание, в этом тестировании MAC-и нам были известны изначально! То есть злоумышленник знал цели, в том же случае, если сразу заморозить ARP и прописать только легитимные (рутер, DNS-ы), то есть "стать невидимым" для других пользователей той же сети, риски стать "целью" для злоумышленников резко снижают, а уж стать одной из "целей" для червей/вирусняков/сканеров и т.п. шансы становятся равны нулю.

Теперь про arp-spoofing свитчей... в современных сетях вы сможете заспуфить только тот свитч, к которому подключены. И опять же, не надолго и не факт, что удачно (зависит от модели свитча и конфигурации). При правильной конфигурации (базовая защита), шторм левых ARP-ов свитч посчитает за "аномалию" и заблочит ваш порт на несколько минут. Ещё есть такой ньюанс, что современные свитчи поддерживают очень большой размер ARP-таблицы, соот-но, для успешного спуффинга вам потребуется поддерживать немаленький сетевой поток и задействовать немало процессорных ресурсов, что в свою очередь сильно затруднит сам процесс дальнейшей выемки нужной информации.

7. Улыбнули комментить это не буду, дабы не переходить на личности.

p.s. Если уж речь зашла о безопасности, то в таких сетях это уже давно не актуально, ибо профи этим заниматься не будут (порножипеги с рабочих станций тырить? - это не интересно, аттрибуты для платежных систем Интернет - это палево в таких сетях и уголовно/физически наказуемо ) Сейчас проще все что нужно, найти в соц.сетях +/- применить социальную инженерию, благо люди добровольно выкладывают всю свою реальную жизнь в интернет.

Сообщение отредактировал AnalyzeIt: 29 января 2010 - 14:34

Спасибо большое за советы, но кажется проблема в другом. Только что не работал интернет, был большой пинг. Но! работал стронгдиси и много чего в нем скачивалось . Как только отключил его-интернет в момент заработал. Это значит ,что с роутеорм либо инет либо скачивание? ))) Или есть роутеры помощней?

Варианта остается два:
1. Вы используете всю свою полосу Интернета (strongDC), разумеется, при этом вырастают пинги и падает скорость доступа к сети Интернет.
2. Ваш рутер не справляется даже с таким потоком.

Решения:
1. Умерить аппетиты или подписаться на тариф пожирнее (хотя если DC качает с локалки, то это новый тариф не поможет). - как бы все и сразу не бывает
2. Подключить второй канал, первый использовать для DC, второй только для Интернета.
3. Рутеры "мыльницы" по-мощнее не бывают, связано с температурным режимом процессоров. Поэтому, или придется покупать серьезный агрегат (ахтунг! ценник!) или сварганить в качестве рутера какой-нить компьютер с GNU/linux системой.

Огромное спасибо за информацию.
Теперь , если Вас не затруднит, поясните пожалуйста на счет двух каналов.
Дело же ведь в том, что в львиной доли случаев работает только 1 компьютер(настольный), который подключен к роутеру проводным способом. В Стронг диси, у меня бывает с максимальной скоростью качает (более 10 МБ/сек) . Скорость интернета тоже максимально возмножная (50 Мбит/сек). Единственно ,что я сейчас сделал-это ограничил скорость отдачи в стронге. Хотя раньше, когда подлючение осуществлялось напрямую к компьютеру, то мне было все равно где,что у меня качается, пинга не было никогда
И еще, может быть Вам о чем это скажет. Ссылку к сожалению не дам, но попадалась раза 2 тема о том,что стронг диси сильно нагружает роутер , а емул -нет(вне зависимости от скорости). Но еще раз повторюсь, может быть не связано это с моей проблемой, может быть у людей совсем другое было.

Сообщение отредактировал Orando: 06 февраля 2010 - 13:34

Два канала -> это заключить второй контракт с провайдером и подключить второй рутер на него Разумеется, это должен быть физически второй канал (доп. провод от провайдера)

Про диси и емул и загрузку рутера явно басни складывают. Грузить они могут процессов и память компа по разному, но рутер тут не причем.

С ваших слов (10 мегабит), то рутер используется на полную катушку. То, что там порт 100мегабит, это не означает, что он может через себя пропустить такой поток. Поэтому, варианта всего два: 1. подключить второй канал, 2. заменить рутер на более мощный.

Вы уж извините, не стал подробно читать всю тему. Просто скажу, что проблема с ЗОНДом при использовании роутера имелась и у меня.
Возможно, в данном случае проблема и в другом, но все же упомяну о ней, так как с ней сталкиваются АБСОЛЮТНО ВСЕ, кто использует авторизацию через ЗОНД и роутер.

Дело в том, что обычно народ ставит ЗОНД на все компы за роутером, что вполне логично. Включился один из компов -> посыл запроса на авторизацию -> интернет включен. Вроде бы проблем возникнуть не должно... А они будут. Ведь ЗОНД не только посылает запрос на авторизацию при своем включении, но и наоборот - шлет запрос на закрытие авторизации при выключении.

Отсюда вытекает логичная проблема, что, если в сети за роутером работают несколько компов, то при выключении одного из них авторизация отрубается и для все остальных из-за того, что ЗОНД закрыл подключение. Длится это коло минуты-двух, пока копия ЗОНДа на другом компе не восстановит авторизацию.

Решить данную проблему можно костылями. Я личного для этого заменил ЗОНД на Python-скрипт, который так же запрашивает авторизацию каждые две минуты, но не закрывает ее при своем выключении. Поделиться не могу, так как Python учил один день и вшил свои данные авторизации прямо проге в код. Но, если кому интересно, то чтобы поддерживать авторизацию достаточно периодически, обращаться вот на этот адрес:

https://ЛОГИН:ПАРОЛЬ...php?action=tick

Сообщение отредактировал exvel: 08 февраля 2010 - 15:14

Будете смеяться,но у меня тоже возникла мысль плюнуть на все, провести еще один кабель-один на ноут , другой на ностольный , и ни о чем не думать
Но хочу поддержать exvel'a касательно ЗОНДа. У меня тоже такая идея возникла,что мол из-за него такие проблемы. Но полностью не уверен, так как связь сбоит даже при однов включенном компьютере(ноут вообще не трогаю) и прописаны у меня статичные айпи на комп и ноут, так что подключаться больше никто не может.
Поеду в Акадо, напишу заявление на отключения ЗОНДа, может это действительно поможет.
А на счет мощности- вот не понимаю я .
На работе дали роутер CISCO , дорогой, тысяч за 7. У них рабоает без сбоев, держит несколько компов на динамичном подключении. А у меня 1 выдержать не может. Значит не в мощности дело-поправьте пожалуйса, если ход мыслей неверный.

Всем доброго времени суток!
Отключил наконец то ЗОНД и действительно при включении ноута-нет больше сбоев. Одну проблему устранил. Но сбой все же был. У меня качал стронг ( не очень быстро) , на ноуте смотрели видеотрансляцию. Но есть один положительный момент, если раньше был сбой и надо было обязательно ,через центр управления, отключать/включать соеднинение либо перезагружать роутер вообще, то теперь он буквально за 10 секунда сам связь восстановил(наверно раньше тоже пытался, но ЗОНД не давал). Так что получается- если не хочешь сбоев-ничего не качай ,не смотри, просто по инету броди .
Спасибо всем откликнувшимся , если есть еще какие то предположения-буду рад услышать.

AnalyzeIt (Jan 26 2010, 17:09) писал:

Добрый день!
Подскажите, как это сделать? как закрыть пакеты?

Сообщение отредактировал Oleg_Ч: 01 марта 2010 - 10:16