Расшифровка лога Роутера D-Link DIR-320

msart · 28.10.2009, 07:08

Что значит следующая строка из лога роутера?

"Oct 28 02:01:20 ","ATTACK Detected: 001[Xmas] attack from WAN (ip:188.16.252.23) detected. Packet dropped."

Это действительно атака? Таких строк в логе по 10-15 за день бывает, только с разными IP-шниками...

Конфигурация компьютера: AMD Phenom II 810 / ECS GF8200A Black Edition / 2x2Gb DDR-II PC8500 Kingston / RAID 0 (2x640Gb) + 320Gb / ECS nVidia GTS 250 Black Edition / Creative X-Fi Xtreme Music PCI / Creative SB Live! 5.1 PCI / Optiarc 7203S / Chieftec BA-02-B-B-B (BigTower) / Thermaltake BigTyp VP / D-Link DIR-320 / D-Link DWA-510 / All Logitech (Pro2800 + LX5 + Media Remote + G25 + Dual Action GamePad) / Acer 1923tdr + Acer X233H / HP LJ 1005P / Ippon / Windows XP SP3 Ru Corporate (NTFS)

SpaceCow · 28.10.2009, 07:24

http://forum.kgn.ru/index.php?topic=44313.msg636976

msart · 28.10.2009, 07:27

Спасибо за ссылочку. Т.е. это роутер ругается на torrent? Проброс порта у меня давно сделан!

ZedAlert · 28.10.2009, 09:48

Роутер еще неправильные пакеты отбрасывает.

msart · 28.10.2009, 18:55

Это как понять?

SpaceCow · 28.10.2009, 19:17

Цитата (msart;1721372) »

Т.е. это роутер ругается на torrent? Проброс порта у меня давно сделан!

Я не думаю, что он ругается на торрент - скорее, это побочный эффект.

Когда на компьютере используется практически любой P2P-клиент, то к нему постоянно долбятся из интернета другие компьютеры, в теории - на проброшенный порт. На практике же целый дождь пакетов попадает и на другие порты - уж не знаю, с чем это связано, но бывает.

Как следствие, всевозможные файрволы, роутеры и прочие средства сетевой защиты при работающем P2P могут регистрировать самые разнообразные атаки, несанкционированные коннекты и т.п.

msart · 28.10.2009, 19:45

А множество атак не может влиять на работоспособность роутера? А именно теряться связь?

**[BMs] Capt. Loki** · 28.10.2009, 21:07

Цитата (msart;1721599) »

А множество атак не может влиять на работоспособность роутера? А именно теряться связь?

Может. Это и есть суть DDoS-атаки - закидывание пакетами настолько, что не хватает канала или мощности роутера для обработки.

SpaceCow · 28.10.2009, 22:11

Цитата ([BMs] Capt. Loki;1721639) »

Может. Это и есть суть DDoS-атаки - закидывание пакетами настолько, что не хватает канала или мощности роутера для обработки.

Только надо ещё заметить, что их действительно должно быть много в единицу времени - наверное, даже для самого хилого роутера потребуется несколько десятков коннектов в секунду...

А вот обычный торрент или eMule с кривой настройкой может ушатать любой средненький роутер на раз-два без всяких атак

msart · 29.10.2009, 08:47

1) Ну в секунду, у меня в логах, больше одной атаки не замечено.
2) Как сделать не кривую настройку торрент-клиента?
3) DIR-320 относится к средниньким роутерам?

4) А что значит вот это: "Oct 28 23:35:18 ","DHCP: Client receive ACK from 91.90.32.233, IP=10.172.117.211, Lease time=3600."

ZedAlert · 29.10.2009, 13:24

1. Все равно соединений больше чем "атак"
2. Никак
3. Как домашний да
4. Роутер: "Я получил от DHCP сервера 91.90.32.233 адрес 10.172.117.211 сроком на 1 час"

SpaceCow · 29.10.2009, 14:23

Цитата (msart;1721782) »

2) Как сделать не кривую настройку торрент-клиента?

Цитата (ZedAlert;1721861) »

2. Никак

Ну уж прямо никак. Всего-то подобрать не слишком большое количество одновременных соединений и не слишком высокие скорости скачки/отдачи. Скорости оптимально выставить где-то на 80% от реальной пропускной способности канала, а количество соединений понижать до тех пор, пока не перестанет зависать/тормозить коннект.

Хотя, некоторые девайсы (у меня, к примеру, ZTE самый дешевый был) вообще с P2P нормально не работают и со временем зависают как их не настраивай.

msart · 31.10.2009, 23:08

Что означает третья выделенная строка лога?

http://msart.narod.ru/4.png

SpaceCow · 01.11.2009, 00:03

С атаками или ещё какими сбоями никак не связано, это штатная работа DHCP в роутере.

Получение DISCOVER - это один из компьютеров пытается получить/обновить адрес и кричит в сеть: эй, это я, мак-адрес такой-то, дайте мне какой-нибудь ip!

Ответ OFFER - сервер отвечает на призыв клиента и предлагает ему IP.

Получение REQUEST - компьютер отвечает, что адрес ему нравится и он его берёт.

Ответ ACK - сервер подтверждает: хорошо, бери, так и запишем.

Smirnoff · 02.11.2009, 17:08

Цитата (SpaceCow;1722675) »

компьютер отвечает, что адрес ему нравится и он его берёт.

Забавная интерпретация, я запомню; спасибо!..

msart · 06.11.2009, 23:39

Прикольно было бы, если бы лог велся на русском языке сразу...

Smirnoff · 07.11.2009, 13:27

Цитата (msart;1725109) »

если бы лог велся на русском языке сразу...

Неприкольно.
Если есть сомнения, посмотри на листинги т.н. "обработок" для 1С (нормальные люди называют это программами и подпрограммами, но коль скоро там всё на русском...)...
бОльшего уродства в жизни не встречал.

SpaceCow · 07.11.2009, 15:48

msart, Smirnoff ну можно по-человечески сделать

Цитата (msart;1725109) »

Прикольно было бы, если бы лог велся на русском языке сразу...

Можно подумать, для англоязычного неспециалиста этот лог был бы более понятен

Было бы прикольно, если бы лог велся как и сейчас, но ПО (в данном случае - прошивка) автоматически расшифровывало бы его и отображало в человекочитаемом виде на языке интерфейса

msart · 08.11.2009, 22:28

Проблема решена. И как я понял лог этот никакой полезной информации и не дает.

Всем спасибо!

Smirnoff · 09.11.2009, 07:34

Цитата (msart;1725694) »

лог этот никакой полезной информации и не дает

Там полным-полно полезной информации, но чтобы оценить её полезность - нужны знания...

28.10.2009, 07:08	Вверх #1
msart Начинающий Автор темы Регистрация: 15.09.2009 Адрес: 22	Расшифровка лога Роутера D-Link DIR-320 Что значит следующая строка из лога роутера? "Oct 28 02:01:20 ","ATTACK Detected: 001[Xmas] attack from WAN (ip:188.16.252.23) detected. Packet dropped." Это действительно атака? Таких строк в логе по 10-15 за день бывает, только с разными IP-шниками... Конфигурация компьютера: AMD Phenom II 810 / ECS GF8200A Black Edition / 2x2Gb DDR-II PC8500 Kingston / RAID 0 (2x640Gb) + 320Gb / ECS nVidia GTS 250 Black Edition / Creative X-Fi Xtreme Music PCI / Creative SB Live! 5.1 PCI / Optiarc 7203S / Chieftec BA-02-B-B-B (BigTower) / Thermaltake BigTyp VP / D-Link DIR-320 / D-Link DWA-510 / All Logitech (Pro2800 + LX5 + Media Remote + G25 + Dual Action GamePad) / Acer 1923tdr + Acer X233H / HP LJ 1005P / Ippon / Windows XP SP3 Ru Corporate (NTFS) __________________ art service

28.10.2009, 07:24	Вверх #2
SpaceCow Заслуженный Регистрация: 13.09.2006 Адрес: Питер <-> Москва	http://forum.kgn.ru/index.php?topic=44313.msg636976 __________________ Герои должны умирать. Если они выживают, то становятся скучнейшими людьми на свете. /"Тени в раю", Эрих Мария Ремарк/

28.10.2009, 07:27	Вверх #3
msart Начинающий Автор темы Регистрация: 15.09.2009 Адрес: 22	Спасибо за ссылочку. Т.е. это роутер ругается на torrent? Проброс порта у меня давно сделан! __________________ art service

28.10.2009, 18:55	Вверх #5
msart Начинающий Автор темы Регистрация: 15.09.2009 Адрес: 22	Это как понять? __________________ art service

28.10.2009, 19:17	Вверх #6
SpaceCow Заслуженный Регистрация: 13.09.2006 Адрес: Питер <-> Москва	Цитата (msart;1721372) » Т.е. это роутер ругается на torrent? Проброс порта у меня давно сделан! Я не думаю, что он ругается на торрент - скорее, это побочный эффект. Когда на компьютере используется практически любой P2P-клиент, то к нему постоянно долбятся из интернета другие компьютеры, в теории - на проброшенный порт. На практике же целый дождь пакетов попадает и на другие порты - уж не знаю, с чем это связано, но бывает. Как следствие, всевозможные файрволы, роутеры и прочие средства сетевой защиты при работающем P2P могут регистрировать самые разнообразные атаки, несанкционированные коннекты и т.п. __________________ Герои должны умирать. Если они выживают, то становятся скучнейшими людьми на свете. /"Тени в раю", Эрих Мария Ремарк/

28.10.2009, 09:48	Вверх #4
ZedAlert Опытный Регистрация: 25.09.2008	Роутер еще неправильные пакеты отбрасывает.

28.10.2009, 19:45	Вверх #7
msart Начинающий Автор темы Регистрация: 15.09.2009 Адрес: 22	А множество атак не может влиять на работоспособность роутера? А именно теряться связь? __________________ art service

28.10.2009, 21:07	Вверх #8
[BMs] Capt. Loki Модератор Регистрация: 13.02.2003 Адрес: Новосибирск	Цитата (msart;1721599) » А множество атак не может влиять на работоспособность роутера? А именно теряться связь? Может. Это и есть суть DDoS-атаки - закидывание пакетами настолько, что не хватает канала или мощности роутера для обработки. __________________ In a world without walls and fences - who needs windows and gates? I am root! Последний раз редактировалось [BMs] Capt. Loki; 28.10.2009 в 21:10.

28.10.2009, 22:11	Вверх #9
SpaceCow Заслуженный Регистрация: 13.09.2006 Адрес: Питер <-> Москва	Цитата ([BMs] Capt. Loki;1721639) » Может. Это и есть суть DDoS-атаки - закидывание пакетами настолько, что не хватает канала или мощности роутера для обработки. Только надо ещё заметить, что их действительно должно быть много в единицу времени - наверное, даже для самого хилого роутера потребуется несколько десятков коннектов в секунду... А вот обычный торрент или eMule с кривой настройкой может ушатать любой средненький роутер на раз-два без всяких атак __________________ Герои должны умирать. Если они выживают, то становятся скучнейшими людьми на свете. /"Тени в раю", Эрих Мария Ремарк/

29.10.2009, 08:47	Вверх #10
msart Начинающий Автор темы Регистрация: 15.09.2009 Адрес: 22	1) Ну в секунду, у меня в логах, больше одной атаки не замечено. 2) Как сделать не кривую настройку торрент-клиента? 3) DIR-320 относится к средниньким роутерам? 4) А что значит вот это: "Oct 28 23:35:18 ","DHCP: Client receive ACK from 91.90.32.233, IP=10.172.117.211, Lease time=3600." __________________ art service

29.10.2009, 13:24	Вверх #11
ZedAlert Опытный Регистрация: 25.09.2008	1. Все равно соединений больше чем "атак" 2. Никак 3. Как домашний да 4. Роутер: "Я получил от DHCP сервера 91.90.32.233 адрес 10.172.117.211 сроком на 1 час" Последний раз редактировалось ZedAlert; 29.10.2009 в 13:26.

29.10.2009, 14:23	Вверх #12
SpaceCow Заслуженный Регистрация: 13.09.2006 Адрес: Питер <-> Москва	Цитата (msart;1721782) » 2) Как сделать не кривую настройку торрент-клиента? Цитата (ZedAlert;1721861) » 2. Никак Ну уж прямо никак. Всего-то подобрать не слишком большое количество одновременных соединений и не слишком высокие скорости скачки/отдачи. Скорости оптимально выставить где-то на 80% от реальной пропускной способности канала, а количество соединений понижать до тех пор, пока не перестанет зависать/тормозить коннект. Хотя, некоторые девайсы (у меня, к примеру, ZTE самый дешевый был) вообще с P2P нормально не работают и со временем зависают как их не настраивай. __________________ Герои должны умирать. Если они выживают, то становятся скучнейшими людьми на свете. /"Тени в раю", Эрих Мария Ремарк/

31.10.2009, 23:08	Вверх #13
msart Начинающий Автор темы Регистрация: 15.09.2009 Адрес: 22	Что означает третья выделенная строка лога? http://msart.narod.ru/4.png __________________ art service Последний раз редактировалось msart; 31.10.2009 в 23:13.

01.11.2009, 00:03	Вверх #14
SpaceCow Заслуженный Регистрация: 13.09.2006 Адрес: Питер <-> Москва	С атаками или ещё какими сбоями никак не связано, это штатная работа DHCP в роутере. Получение DISCOVER - это один из компьютеров пытается получить/обновить адрес и кричит в сеть: эй, это я, мак-адрес такой-то, дайте мне какой-нибудь ip! Ответ OFFER - сервер отвечает на призыв клиента и предлагает ему IP. Получение REQUEST - компьютер отвечает, что адрес ему нравится и он его берёт. Ответ ACK - сервер подтверждает: хорошо, бери, так и запишем. __________________ Герои должны умирать. Если они выживают, то становятся скучнейшими людьми на свете. /"Тени в раю", Эрих Мария Ремарк/

02.11.2009, 17:08	Вверх #15
Smirnoff 12.12.1959 - 5.11.2025 Регистрация: 30.12.2004 Адрес: Новосибирск	Цитата (SpaceCow;1722675) » компьютер отвечает, что адрес ему нравится и он его берёт. Забавная интерпретация, я запомню; спасибо!.. __________________ С уважением, Олег Р. Смирнов

06.11.2009, 23:39	Вверх #16
msart Начинающий Автор темы Регистрация: 15.09.2009 Адрес: 22	Прикольно было бы, если бы лог велся на русском языке сразу... __________________ art service

07.11.2009, 13:27	Вверх #17
Smirnoff 12.12.1959 - 5.11.2025 Регистрация: 30.12.2004 Адрес: Новосибирск	Цитата (msart;1725109) » если бы лог велся на русском языке сразу... Неприкольно. Если есть сомнения, посмотри на листинги т.н. "обработок" для 1С (нормальные люди называют это программами и подпрограммами, но коль скоро там всё на русском...)... бОльшего уродства в жизни не встречал. __________________ С уважением, Олег Р. Смирнов

07.11.2009, 15:48	Вверх #18
SpaceCow Заслуженный Регистрация: 13.09.2006 Адрес: Питер <-> Москва	msart, Smirnoff ну можно по-человечески сделать Цитата (msart;1725109) » Прикольно было бы, если бы лог велся на русском языке сразу... Можно подумать, для англоязычного неспециалиста этот лог был бы более понятен Было бы прикольно, если бы лог велся как и сейчас, но ПО (в данном случае - прошивка) автоматически расшифровывало бы его и отображало в человекочитаемом виде на языке интерфейса __________________ Герои должны умирать. Если они выживают, то становятся скучнейшими людьми на свете. /"Тени в раю", Эрих Мария Ремарк/

08.11.2009, 22:28	Вверх #19
msart Начинающий Автор темы Регистрация: 15.09.2009 Адрес: 22	Проблема решена. И как я понял лог этот никакой полезной информации и не дает. Всем спасибо! __________________ art service

09.11.2009, 07:34	Вверх #20
Smirnoff 12.12.1959 - 5.11.2025 Регистрация: 30.12.2004 Адрес: Новосибирск	Цитата (msart;1725694) » лог этот никакой полезной информации и не дает Там полным-полно полезной информации, но чтобы оценить её полезность - нужны знания... __________________ С уважением, Олег Р. Смирнов