Netgear WNDR4300 si arresta in modo anomalo quando viene eseguita la scansione della porta

3

Non ho idea di cosa sta succedendo qui, mi sto orientando verso un errore nel firmware o qualche tipo di protezione che non ti lasceranno spegnere.

Il mio router ha 2 reti: una rete da 2,4 ghz e una da 5 ghz.

Lo vedo nei log: [DoS Attack: ACK Scan] from source: 143.127.93.123, port 80, Tuesday, October 27, 2015 18:11:07

Questo indirizzo IP appartiene a Symantec. Posso solo supporre che si tratta di un tentativo di sonda per vedere se il mio router è vulnerabile a qualche tipo di talk di amministratore remoto.

Quando succede nei miei registri, la mia rete 2.4ghz muore silenziosamente. L'interfaccia web del router dice che tutto va bene e la rete 5ghz rimane attiva.

Qualcuno ha qualche idea sul perché questo accade? Ho esaminato tutte le impostazioni che posso eventualmente sintonizzare, ma niente. Ciò accade 1-4 volte al giorno e l'unico modo per risolverlo è riavviare

Grazie!

    
posta Patrick Hennessy 28.10.2015 - 03:43
fonte

1 risposta

1

Ho un chiaro sospetto su quale potrebbe essere la causa del tuo semi-incidente. Se è così, è gentile di cattive notizie :

SEC Consult Vulnerability Lab has discovered the flaw, which Ars Techinca refers to as “amateurish,” in a driver referred to as NetUSB. The driver, as its name suggests, is installed on routers to allow computers to access USB devices over a network.

Sadly, the driver contains an error known as a buffer overflow, which can occur when a device sends its name to the router and it’s longer than 64 bytes. The researchers claim that the simple overflow can be used to crash the router, using denial of service of attacks, and even execute code remotely.

Secondo Ars Technica & i tester di vulnerabilità che hanno rilevato il bug, è presente sia in WNDR v1 & WNDR v2. (L'elenco completo dei router che si ritiene siano interessati si trova in questo articolo di Gizmodo.)

Ora, per essere chiari, questo è solo un sospetto; è possibile che il traffico di attacco insolito (inusuale per il router, almeno) potrebbe essere arrivato per coincidenza all'incirca nel momento in cui la rete 2.4 ha avuto il suo evento simile ad un incidente. Senza ulteriori dettagli di registro di ciò che era effettivamente nei pacchetti del traffico sospetto, dettagli che non saranno nei log di un router di livello consumer, è forse impossibile dirlo con certezza. Se il traffico sospetto si ripresenta e il tuo router subisce immediatamente problemi successivi, ovviamente la causa potrebbe quindi essere conosciuta con maggiore certezza. (O se dovessi catturare parte di quel traffico futuro con uno sniffer di pacchetti come Wireshark .)

Puoi provare la funzionalità di controllo degli aggiornamenti ovunque sia presente nell'interfaccia utente e vedere se Netgear ha rilasciato un aggiornamento del firmware che corregge i difetti / i. A volte i produttori di router di livello consumer agiscono in modo responsabile e lo fanno. Qualche volta.

Sul lato positivo, immagino, se si tratta di un attacco, la persona o il programma che mette a dura prova il router ha un leggero senso dell'umorismo, spoofing un indirizzo IP di Symantec come fonte di attacco.

Modifica:

Ars ha alcuni dettagli tecnici sulla vulnerabilità. È davvero, davvero stupido:

This router-side driver listens to connections on TCP port 20005, and it's this driver that contains a major security flaw. SEC Consult Vulnerability Lab, which publicized the problem, discovered that the Linux driver contains a simple buffer overflow. As part of the communication between client and server, the client sends the name of the client computer; if this name is longer than 64 bytes, the buffer overflows. The company says that this overflow can be exploited to enable both denial of service (crashing the router) and remote code execution.

Ugh.

Se questa situazione è uno di questi attacchi DoS, c'è qualcosa che puoi effettivamente fare su questo? Bene, le cose ovvie per me da dirti sono di provare (1) disabilitare la funzionalità della porta USB nell'interfaccia utente del router e (2) provare a far sì che il router blocchi il traffico WAN sulla porta 20005, che è come il codice remoto che attiva il buffer overflow arriva al tuo router. (In parole povere, in termini non tecnici.) Quale potrebbe essere un buon consiglio, tranne:

Netgear told SEC that even with NetUSB functionality disabled through the router's configuration UI, the driver is still loaded, and there is no ability either to disable it or to block access to port 20005 in the firewall.

Yikes.

Quindi ... sono un po 'fuori dalle idee al momento. Forse qualcun altro ha altri suggerimenti. Se questo è veramente il risultato del metodo di attacco sopra descritto ...

Modifica n. 2: Ho qualificato la mia precedente affermazione che questa situazione è sicuramente / era un esempio di attacco per sfruttare la vulnerabilità descritta nella risposta. Potrebbe anche essere, ma è ancora, come potrebbero dire gli scozzesi, non dimostrato.

    
risposta data 28.10.2015 - 05:22
fonte

Leggi altre domande sui tag