Что-то или кто-то качает через роутер трафик. / трафик :: роутер :: интернет :: пидоры помогите (реактор помоги)

Что-то или кто-то качает через роутер трафик.

Собственно имеется роутер keenetic kn 1970. Заметил последние дни что какой-то левый трафик периодически принимает сам роутер но через комп он не проходит(на скрине видно), вайфай отключен, по кабелю только комп подключен. Настройки сбрасывал. Провайдер че-то мутит? За 11ч пока меня не было накачал 200 Гб.

Вопрос как найти заразу эту?

I I mJMCnHC I___LI 1C Ethernet I |идлл1ичсп^ Л 00:13:20 300 Мбит/С 10:10:25 I 10:12:55 Ф 208 Мбит/с î:34 При * 9,01 кбит/с ача,пидоры помогите,реактор помоги,роутер,интернет,трафик

12:21:40 • П Интернет-фильтр Выключен Настроить 12:24:37 vU 197 Мбит/с -T- 5,69 Мбит/с 12:24:49 рием • Передача Диск 4 (С:) SSD Диск 5 (Е:) Сменный Ethernet Wm Ethernet О: 7,3 П: 0,5 Мбит/с Графический процес NVIDIA GeForce RTX 2070 S ^ААЛ 2% (47 °C) / f l : / 1

пидоры помогите,реактор помоги,роутер,интернет,трафик

$Подключение Ethernet Ethernet 200 Мбит/с 12:14:04 Интернет-фильтр Выключен Настроить ПОДКЛЮЧЕНО Диск 3 (D:) SSD ф 190 Мбит/с Ф 15,0 Мбит/с 12:17:13 Прием • Передача \Ц\ Диск 4 (С:) SSD Диск 5 (Е:) Сменный Ethernet Ethernet О: 8,0 П: 0,6 Мбит/с Графический процес NVIDIA GeForce$

Принято Отправлено 209 ГБ 1,06 ТБ,пидоры помогите,реактор помоги,роутер,интернет,трафик

Странно еще что канал 500мб но принимал 900.

КУПОН НА 1 помощь,пидоры помогите,реактор помоги,роутер,интернет,трафик

Подробнее
I I mJMCnHC I___LI 1C Ethernet I |идлл1ичсп^ Л 00:13:20 300 Мбит/С 10:10:25 I 10:12:55 Ф 208 Мбит/с î:34 При * 9,01 кбит/с ача
12:21:40 • П Интернет-фильтр Выключен Настроить 12:24:37 vU 197 Мбит/с -T- 5,69 Мбит/с 12:24:49 рием • Передача Диск 4 (С:) SSD Диск 5 (Е:) Сменный Ethernet Wm Ethernet О: 7,3 П: 0,5 Мбит/с Графический процес NVIDIA GeForce RTX 2070 S ^ААЛ 2% (47 °C) / f l : / 1 jf\j \ ! i \ i \ ! V 60 секунд • Отправка А ! 7,3 Мбит/с Т| IF Получение |р 544 кбит/с

Подключение Ethernet Ethernet 200 Мбит/с 12:14:04 Интернет-фильтр Выключен Настроить ПОДКЛЮЧЕНО Диск 3 (D:) SSD ф 190 Мбит/с Ф 15,0 Мбит/с 12:17:13 Прием • Передача \Ц\ Диск 4 (С:) SSD Диск 5 (Е:) Сменный Ethernet Ethernet О: 8,0 П: 0,6 Мбит/с Графический процес NVIDIA GeForce RTX 2070 S !/U 1% (49 °C) 60 секунд ; Отправка 8,0 Мбит/с Получение 568 кбит/с Адапте Тип по, IPv4-а/: IPv6-ai
Принято Отправлено 209 ГБ 1,06 ТБ
КУПОН НА 1 помощь
пидоры помогите,реактор помоги,роутер,интернет,трафик

Еще на тему

пидоры помогите(7673)

интернет(32806)

Развернуть

Отличный комментарий!

Поздравляю, твой роутер рекрутирован в даркнет.

warrcan17.11.202419:55ссылка

+30.5

Комментарии 2017.11.202419:54ссылка12.5

Поздравляю, твой роутер рекрутирован в даркнет.

warrcan17.11.202419:55ответить ссылка 31.5

Пришло время перепрошить роутер.

Voise From17.11.202420:00ответить ссылка 7.6

Когда опять начнется такая фигня
1. Зайди на [адрес роутера]/controlPanel/traffic-monitor/Top%205 - там показывается внутрисетевой траффик. Удостоверься что тебе никто в WiFi не присосался.
2. Сделай скриншоты и дрочи техподдержку провайдера.

У меня была такая же фигня - ВНЕЗАПНО на входящий порт начинало литься 100 мегабит/сек входящего траффика, и он никому не предназначался. Как выяснилось, была какая-то проблема с конфигами у провайдера.
Самое забавное, что у меня тогда тариф был 100 мегабит, но реально никогда скорости выше 80 я не видел. Кроме вот таких стучаев спама.

Phrynohyas17.11.202420:00ответить ссылка 6.9

Как будто pbdufilter на порту провайдера был выключен. А у провайдера, то ли петля была, то ли ещё что, генерировало трафик.

Atamora17.11.202421:05ответить ссылка ↑ 0.3

*Настройки сбрасывал.
отключай его от нета и скачивай через другое устройство новую прошивку. Накатывай прошивку поверх текущей и меняй пароли.
Сбросом на заводские настройки ты нихрена не сделаешь, так как вшивают код в них под видом "патча".

dreammag17.11.202420:03ответить ссылка 7.1

>Вопрос как найти заразу эту?
tcpdump

если не разбираешься, то см. советы остальных кулхацкеров

Ahiru17.11.202420:05ответить ссылка -0.4

поздравляю, твой роутер стал частью ботсети

Pyroksyllin17.11.202420:12ответить ссылка 3.2

Скорей частью туннеля для передачи данных, например, выкачки базы данных очередной гос.конторы.

SanLucifer17.11.202421:48ответить ссылка ↑ -2.4

оба, openwrt

kamae1ka17.11.202420:24ответить ссылка 1.7

если роутер умеет, можно отловть пару сотен пакетов и вайршарком поглянуть что это. может просто широковещательный шторм, может мультикаст у оператора попёр во все щели.

Kfgjnm17.11.202420:51ответить ссылка 1.5

Провайдер по идее должен, защищать себя от шторма. pbduguard или filter если это устройства cisco

Atamora17.11.202421:10ответить ссылка ↑ 0.0

this ^

Очень похоже на бродкаст шторм, может залупилось что-то на стороне ISP. Воткнись напрямую в комп и посмотри вайршарком, какие пакеты падают.

омич17.11.202421:55ответить ссылка ↑ 0.0

Скорее всего unicast шторм. Arp запись все еще есть на роутерах, а mac на свитчах ниже протух. Роутер шлет пакеты на известный ему мак, так как arp все еще жив, а этого мака уже нет на свитчах и свитч начинает слать пакеты на все свои порты кроме того, откуда пришел. Мак же этот не отвечает. Такое бывает в случае криво настроенной виртуализации со стороны клиента или у клиента ебучий виндовый кластер, который в принципе так работает.
Но в думаю все банальнее, у провайдера настрое vrrp на двух роутерах в сторону пользователей и обратный трафик прилетает на slave. ARP запись на slave живет дольше чем mac запись на свитчах, из за чего, когда mac протухает и на читается проблема, ровно до того момента пока не потухнет arp запись на роутере. Потом опять промежуток в время жизни mac таблицы и по новой.

Но ТС все это знать не нужно, как уже сказали выше, нужно делать скрины и писать в ТП.
Если хочет помочь местным сетевикам, то подключает ноут на прямую, если не хватает длины то через бочку. Качает себе wireshark и запускает мониторинг сетевой. Пакеты которые не ему пропустить не возможно, там их будет море, учитывая что на ноуте активности почти не будет. Вот там нужно найти dst mac, или просто сделать скрин где видно это поле. Этот скрин отправить в ТП.

deverdw17.11.202423:02ответить ссылка ↑ 1.8

От части соглашусь, программная часть после ухода из Zyxel у них дырявая, но это лечится переходом на openwrt. Вот аппаратная часть мне в последних моделях неожиданно понравилась. Хотелось бы более подробно узнать об их косяках и достойных альтернативах из того же ценового сегмента (tp-link не предлагать)

@ltmaster17.11.202422:22ответить ссылка ↑ -0.2

53 порт udp попробуй закрыть на отдачу и посмотри что из этого выйдет

@ltmaster17.11.202422:08ответить ссылка 0.0

Это может быть флуд. Роутер и клиенты в этом случае и при чём. Нужно ловить с какого адреса и писать провайдеру.

sambaynu17.11.202422:23ответить ссылка 0.0

Такая же херня, тоже на кинетике. Сделав tcpdump выяснил что каким-то раком на порт сыпятся с разных IP пакеты (TCP и UDP), предназначенные для чужого айпишника (из той же подсети что и мой) и мака. Причем даже если порт на роутере погасить - трафик не останавливается. Подозреваю что это косяк настройки провайдерского оборудования, пров - wifire в москве. Проблема то возникает то исчезает. Файрволлом у меня все входящие соединения зарезаны, так что это просто какой-то паразитный трафик, на который сам роутер даже не отвечает.

qiwichupa17.11.202422:28ответить ссылка 0.9

>keenetic kn 1970
Ого, какой старый роутер

Immortal35717.11.202423:46ответить ссылка 0.0

Либо ты теперь чей-то впн либо что-то ещё похуже, но ни в коем случае ничего пока не подключай к проклятому проводу провайдера. Лучше всего грузись с лсйва линукса для перепрошивки роутера и меняй имя рута на вообще рандом типо писька3820.
И комп тоже надо чекнуть на заразу, она может тебе картинку рисовать любую!