Что-то или кто-то качает через роутер трафик. / трафик :: роутер :: интернет :: пидоры помогите (реактор помоги)

Что-то или кто-то качает через роутер трафик.

Собственно имеется роутер keenetic kn 1970. Заметил последние дни что какой-то левый трафик периодически принимает сам роутер но через комп он не проходит(на скрине видно), вайфай отключен, по кабелю только комп подключен. Настройки сбрасывал. Провайдер че-то мутит? За 11ч пока меня не было накачал 200 Гб.

Вопрос как найти заразу эту?

I I mJMCnHC I___LI 1C Ethernet I |идлл1ичсп^ Л 00:13:20 300 Мбит/С 10:10:25 I 10:12:55 Ф 208 Мбит/с î:34 При * 9,01 кбит/с ача,пидоры помогите,реактор помоги,роутер,интернет,трафик

12:21:40 • П Интернет-фильтр Выключен Настроить 12:24:37 vU 197 Мбит/с -T- 5,69 Мбит/с 12:24:49 рием • Передача Диск 4 (С:) SSD Диск 5 (Е:) Сменный Ethernet Wm Ethernet О: 7,3 П: 0,5 Мбит/с Графический процес NVIDIA GeForce RTX 2070 S ^ААЛ 2% (47 °C) / f l : / 1

пидоры помогите,реактор помоги,роутер,интернет,трафик

$Подключение Ethernet Ethernet 200 Мбит/с 12:14:04 Интернет-фильтр Выключен Настроить ПОДКЛЮЧЕНО Диск 3 (D:) SSD ф 190 Мбит/с Ф 15,0 Мбит/с 12:17:13 Прием • Передача \Ц\ Диск 4 (С:) SSD Диск 5 (Е:) Сменный Ethernet Ethernet О: 8,0 П: 0,6 Мбит/с Графический процес NVIDIA GeForce$

Принято Отправлено 209 ГБ 1,06 ТБ,пидоры помогите,реактор помоги,роутер,интернет,трафик

Странно еще что канал 500мб но принимал 900.

КУПОН НА 1 помощь,пидоры помогите,реактор помоги,роутер,интернет,трафик

Подробнее
I I mJMCnHC I___LI 1C Ethernet I |идлл1ичсп^ Л 00:13:20 300 Мбит/С 10:10:25 I 10:12:55 Ф 208 Мбит/с î:34 При * 9,01 кбит/с ача
12:21:40 • П Интернет-фильтр Выключен Настроить 12:24:37 vU 197 Мбит/с -T- 5,69 Мбит/с 12:24:49 рием • Передача Диск 4 (С:) SSD Диск 5 (Е:) Сменный Ethernet Wm Ethernet О: 7,3 П: 0,5 Мбит/с Графический процес NVIDIA GeForce RTX 2070 S ^ААЛ 2% (47 °C) / f l : / 1 jf\j \ ! i \ i \ ! V 60 секунд • Отправка А ! 7,3 Мбит/с Т| IF Получение |р 544 кбит/с

Подключение Ethernet Ethernet 200 Мбит/с 12:14:04 Интернет-фильтр Выключен Настроить ПОДКЛЮЧЕНО Диск 3 (D:) SSD ф 190 Мбит/с Ф 15,0 Мбит/с 12:17:13 Прием • Передача \Ц\ Диск 4 (С:) SSD Диск 5 (Е:) Сменный Ethernet Ethernet О: 8,0 П: 0,6 Мбит/с Графический процес NVIDIA GeForce RTX 2070 S !/U 1% (49 °C) 60 секунд ; Отправка 8,0 Мбит/с Получение 568 кбит/с Адапте Тип по, IPv4-а/: IPv6-ai
Принято Отправлено 209 ГБ 1,06 ТБ
КУПОН НА 1 помощь
пидоры помогите,реактор помоги,роутер,интернет,трафик

Еще на тему

пидоры помогите(7766)

интернет(32901)

Развернуть

Отличный комментарий!

Поздравляю, твой роутер рекрутирован в даркнет.

warrcan17.11.202419:55ссылка

+50.7

Комментарии 6017.11.202419:54ссылка25.7

Поздравляю, твой роутер рекрутирован в даркнет.

warrcan17.11.202419:55ответить ссылка 50.7

Ждите гостей из соответствующих органов?

Lictor18.11.202405:30ответить ссылка ↑ 0.8

Пришло время перепрошить роутер.

Voise From17.11.202420:00ответить ссылка 16.2

Когда опять начнется такая фигня
1. Зайди на [адрес роутера]/controlPanel/traffic-monitor/Top%205 - там показывается внутрисетевой траффик. Удостоверься что тебе никто в WiFi не присосался.
2. Сделай скриншоты и дрочи техподдержку провайдера.

У меня была такая же фигня - ВНЕЗАПНО на входящий порт начинало литься 100 мегабит/сек входящего траффика, и он никому не предназначался. Как выяснилось, была какая-то проблема с конфигами у провайдера.
Самое забавное, что у меня тогда тариф был 100 мегабит, но реально никогда скорости выше 80 я не видел. Кроме вот таких стучаев спама.

Phrynohyas17.11.202420:00ответить ссылка 14.7

Как будто pbdufilter на порту провайдера был выключен. А у провайдера, то ли петля была, то ли ещё что, генерировало трафик.

Atamora17.11.202421:05ответить ссылка ↑ 1.1

*Настройки сбрасывал.
отключай его от нета и скачивай через другое устройство новую прошивку. Накатывай прошивку поверх текущей и меняй пароли.
Сбросом на заводские настройки ты нихрена не сделаешь, так как вшивают код в них под видом "патча".

dreammag17.11.202420:03ответить ссылка 12.7

>Вопрос как найти заразу эту?
tcpdump

если не разбираешься, то см. советы остальных кулхацкеров

Ahiru17.11.202420:05ответить ссылка 1.2

поздравляю, твой роутер стал частью ботсети

Pyroksyllin17.11.202420:12ответить ссылка 7.7

Скорей частью туннеля для передачи данных, например, выкачки базы данных очередной гос.конторы.

SanLucifer17.11.202421:48ответить ссылка ↑ -2.3

В чем смысл? Трафик только принимает но не отдает. Все что отдано это торрент.

Predator25618.11.202411:40ответить ссылка ↑ 1.8

атака на днс например

твой роутер генерит некоторое количество запросов в атакуемый днс (или кто-то прикидываясь твоим адресом это делает), а тот валит тебя ответами. но может быть просто косяк у провайдера и петля какая-нибудь, как другие написали. проверяй

Pyroksyllin18.11.202411:49ответить ссылка ↑ 0.1

оба, openwrt

kamae1ka17.11.202420:24ответить ссылка 1.8

если роутер умеет, можно отловть пару сотен пакетов и вайршарком поглянуть что это. может просто широковещательный шторм, может мультикаст у оператора попёр во все щели.

Kfgjnm17.11.202420:51ответить ссылка 5.6

Провайдер по идее должен, защищать себя от шторма. pbduguard или filter если это устройства cisco

Atamora17.11.202421:10ответить ссылка ↑ 0.2

this ^

Очень похоже на бродкаст шторм, может залупилось что-то на стороне ISP. Воткнись напрямую в комп и посмотри вайршарком, какие пакеты падают.

омич17.11.202421:55ответить ссылка ↑ 2.1

Скорее всего unicast шторм. Arp запись все еще есть на роутерах, а mac на свитчах ниже протух. Роутер шлет пакеты на известный ему мак, так как arp все еще жив, а этого мака уже нет на свитчах и свитч начинает слать пакеты на все свои порты кроме того, откуда пришел. Мак же этот не отвечает. Такое бывает в случае криво настроенной виртуализации со стороны клиента или у клиента ебучий виндовый кластер, который в принципе так работает.
Но в думаю все банальнее, у провайдера настрое vrrp на двух роутерах в сторону пользователей и обратный трафик прилетает на slave. ARP запись на slave живет дольше чем mac запись на свитчах, из за чего, когда mac протухает и на читается проблема, ровно до того момента пока не потухнет arp запись на роутере. Потом опять промежуток в время жизни mac таблицы и по новой.

Но ТС все это знать не нужно, как уже сказали выше, нужно делать скрины и писать в ТП.
Если хочет помочь местным сетевикам, то подключает ноут на прямую, если не хватает длины то через бочку. Качает себе wireshark и запускает мониторинг сетевой. Пакеты которые не ему пропустить не возможно, там их будет море, учитывая что на ноуте активности почти не будет. Вот там нужно найти dst mac, или просто сделать скрин где видно это поле. Этот скрин отправить в ТП.

deverdw17.11.202423:02ответить ссылка ↑ 3.4

От части соглашусь, программная часть после ухода из Zyxel у них дырявая, но это лечится переходом на openwrt. Вот аппаратная часть мне в последних моделях неожиданно понравилась. Хотелось бы более подробно узнать об их косяках и достойных альтернативах из того же ценового сегмента (tp-link не предлагать)

@ltmaster17.11.202422:22ответить ссылка ↑ 0.0

mikrotik

trimka18.11.202403:16ответить ссылка ↑ 1.6

В профессиональной деятельности это хорошая штука, вот нормальной бюджетной модели под wi-fi 6 нет

@ltmaster18.11.202416:55ответить ссылка ↑ 0.0

asus

nesefor18.11.202406:23ответить ссылка ↑ -1.0

Да, асусы умеют делать простые и надёжные роутеры, но без перехода на альтернативные прошивки их потенциал не раскроешь.

@ltmaster18.11.202416:58ответить ссылка ↑ 0.5

Все зависит от задачи. Дома альтернативные прошивки не нужны. И главное много ума не надо - можно все настроить из коробки.

nesefor18.11.202417:10ответить ссылка ↑ 1.4

Так-то самое необходимое у роутеров Asus есть, это правда. Но вот штатными средствами маркировать пакеты или поднять впн AmneziaWG уже не получится.

@ltmaster18.11.202418:11ответить ссылка ↑ 0.0

и опять же - зачем это все нужно дома?

nesefor18.11.202418:15ответить ссылка ↑ 1.3

Банально ютуб на телевизор вывести, ну или задача посложнее - централизованно на всех домашних устройствах часть траффика пускать маршрутом через впн, а часть напрямую

@ltmaster18.11.202420:42ответить ссылка ↑ 0.0

С такими простыми задачами справится любой асус сейчас...во всех встроенный VPN клиент/сервер. Но таки - а зачем такой гемор с трафиком? Муть какая то. Про ютуб я не понял зачем на ТВ ютуб если в телеке он и так есть и работать будет в разы лучше чем через костыль? Не ну это конеш уже каждый сам решает.

nesefor18.11.202420:55ответить ссылка ↑ -0.1

Сяоми

Arcket18.11.202409:10ответить ссылка ↑ 2.2

@ltmaster18.11.202417:02ответить ссылка ↑ 1.1

(tp-link не предлагать). Почему? Я не шарю от слова совсем в этой теме. Но у меня всю жизнь были tp-link разных моделей. Я не жаловался. Ещё я часто читал что взломать вай фай на них сложно.

ihhh18.11.202413:27ответить ссылка ↑ 0.6

Да почти все модели их перепробовал, особых нареканий нет, но и нового про них уже не узнаешь. Из косяков TP-Link в первую очередь вспоминается модель на базе Intel, которая троттлила со страшной силой.

@ltmaster18.11.202417:01ответить ссылка ↑ 0.0

53 порт udp попробуй закрыть на отдачу и посмотри что из этого выйдет

@ltmaster17.11.202422:08ответить ссылка 0.8

Межсетевой экран © Чтобы добавить правило межсетевого экрана, выберите из списка интерфейс, на котором будет отслеживаться входящий трафик, и нажмите «Добавить правило». Правила применяются в том порядке, в каком они расположены в списке. Чтобы изменить порядок правил, перетащите строки в

Правило межсетевого экрана х щ включить правило -Описание------------------------------1 порт 53 Действие Запретить т — 1Р-адрес источника------------------- Любой т 1Р-адрес назначения Любой Номер порта источника Равен — Значение 53 Протокол ТСР Номер порта назначения Любой —

Так?

Predator25618.11.202411:58ответить ссылка ↑ 0.0

UPD поставил. Скрин не тот.

Predator25618.11.202411:59ответить ссылка ↑ 0.1

На отдачу? С отдачей вопросов нет, это торрент.

Predator25618.11.202412:03ответить ссылка ↑ 0.0

Это не торрент. 53 порт udp отвечает за DNS-запросы. Если его не прикрыть, то ботнет будет использовать роутер как dns-сервер. После закрытия порта ситуация изменилась?

@ltmaster18.11.202416:40ответить ссылка ↑ 0.0

Точно пока сказать не могу, нужно понаблюдать. На данный момент 367 Гб принято. Пока не наблюдаю входящего трафика. Завтра сравню.

Predator25618.11.202417:09ответить ссылка ↑ 1.4

300 Мбит/с 22:25:43 п. Ф 197 Мбит/с -t 160 Мбит/с 28:52 , едача

Все также.

Predator25618.11.202418:30ответить ссылка ↑ 1.4

Нужно глубже копать.

Predator25618.11.202418:38ответить ссылка ↑ 1.4

У тебя внеший ip-адрес динамический, статический или серый?

@ltmaster18.11.202420:44ответить ссылка ↑ 0.0

Статический.

Predator25619.11.202407:30ответить ссылка ↑ 1.4

Запроси у провайдера смену адреса

@ltmaster19.11.202407:51ответить ссылка ↑ 0.0

Сменил, поддержка говорит что может сам роутер виноват в приеме трафика. Советует роутер раз в 3 года менять. Продолжаю наблюдение.

Predator25619.11.202412:38ответить ссылка ↑ 1.4

Не помогло.

Predator25619.11.202412:44ответить ссылка ↑ 1.4

3 минуты принимал.

Predator25619.11.202412:46ответить ссылка ↑ 1.4

Здесь уже без вариантов. Попробуй хотя бы временно сменить роутер хотя бы на самый дешманский и посмотреть, что из этого выйдет. Если зловред сидит в кинетике, то с другим роутером проблема должна рассосаться. Считай, варианты воздействия извне закрытием 53 порта и сменой адреса уже отмели. Остаются варианты: зловред в роутере, зловред в домашних устройствах или (что мало вероятно) кто-то из соседей очень круто ломанул вайфай и сделал себя невидимкой (для диагностики вариант временно отключить wi-fi)

@ltmaster19.11.202413:17ответить ссылка ↑ 0.0

Ок, понял. Попробую роутер сменить. Вроде даже глючить стал он. На сайты майлру, вк , гугл почты заходил. А на поиск гугл, джой, рутрекер, стим и остальные не заходил. Помог сброс до заводских. Странно короче. Может дело в прокси nekobox и proxifilter.

Predator25619.11.202413:32ответить ссылка ↑ 1.4

А что сразу не сказал, что на роутере ещё что-то установлено. Neko для своей работы создаёт TUN интерфейс. Отключи неко на роутере и проверь. Или я не правильно понял и прокси, неко на телефоне/компе?
Для того, чтобы прокси знало куда проксировать трафик, а куда не нужно — он должен прослушать его. Возможно, внутренний трафик так отображается на графике, но это только возможно.

ulife19.11.202416:58ответить ссылка ↑ 0.0

Да отключал их все, тоже не то. Еще если отрубаю 53 порт UPD на некоторые сайты не заходит и дискорд не фурычит. Думаю роутер поменять. Что еще остается.

Predator25619.11.202419:09ответить ссылка ↑ 0.0

Если хочешь закрыть 53 порт, то вначале создай правило, разрешающее 53 порт на прописанные ip-адреса DNS серверов в роутере. К примеру 1.1.1.1 или 8.8.8.8, в зависимости, какие используются (надеюсь не провайдерские). Иначе, как твоё устройство узнает по какому ip-адресу обращаться, когда ты вводишь, к примеру joyreactor.cc.
В кинетике хз как обрабатываются правила, обычно чем выше правило, тем оно первее обрабатывается. К примеру, сначала запретил всем доступ и следующим правилом разрешаешь доступ к определённым адресам — такое не будет работать, так как уже обработан запрет всем; нужно поместить разрешающее правило выше, а ниже запрещающее.

ulife19.11.202423:02ответить ссылка ↑ 0.0

Это может быть флуд. Роутер и клиенты в этом случае и при чём. Нужно ловить с какого адреса и писать провайдеру.

sambaynu17.11.202422:23ответить ссылка 0.1

Такая же херня, тоже на кинетике. Сделав tcpdump выяснил что каким-то раком на порт сыпятся с разных IP пакеты (TCP и UDP), предназначенные для чужого айпишника (из той же подсети что и мой) и мака. Причем даже если порт на роутере погасить - трафик не останавливается. Подозреваю что это косяк настройки провайдерского оборудования, пров - wifire в москве. Проблема то возникает то исчезает. Файрволлом у меня все входящие соединения зарезаны, так что это просто какой-то паразитный трафик, на который сам роутер даже не отвечает.

qiwichupa17.11.202422:28ответить ссылка 1.1

Думаю также , принимает но не отдает. Поддержка не але чем помочь.

Predator25618.11.202411:53ответить ссылка ↑ 0.0

>keenetic kn 1970
Ого, какой старый роутер

Immortal35717.11.202423:46ответить ссылка 0.3

Опечатался kn 1910.

Predator25618.11.202411:45ответить ссылка ↑ 0.0

Либо ты теперь чей-то впн либо что-то ещё похуже, но ни в коем случае ничего пока не подключай к проклятому проводу провайдера. Лучше всего грузись с лсйва линукса для перепрошивки роутера и меняй имя рута на вообще рандом типо писька3820.
И комп тоже надо чекнуть на заразу, она может тебе картинку рисовать любую!

MaXM00D17.11.202423:52ответить ссылка -0.5

Пакеты роутер принимает левые, но никуда их не отдает.

Predator25618.11.202411:50ответить ссылка ↑ 0.0

бля,тоже кинетик,надо будет проверить...

DukeFlit18.11.202401:34ответить ссылка 2.7

UPD В поддержку звонил, там ничем помочь не могут. Сибсети.

Predator25618.11.202411:51ответить ссылка 0.0

Было подобное. На входе стоит обычный свич, от него один провод идёт на Кинетик, другой на телеприставку. Когда включаешь телеприставку - появляется дикий трафик на кинетике. Техподдержка разводит руками. Через неделю всё пришло в норму...

tour300018.11.202416:56ответить ссылка 0.0

Только зарегистрированные и активированные пользователи могут добавлять комментарии.

Похожие темы