skodnik (skodnik) wrote in spb_adsl,
skodnik
skodnik
spb_adsl

Avangard-dsl сканирование портов.

Бэн, ай нид хэлп.

Для начала, дано:
Авангард ADSL. тариф "Форсаж" динамичный IP
Модем: ASUS AM604G ADSL2+ 802.11g 4 Lan на LAN1 большой комп с winXP SP2, на WiFi - Asus eeePC winXP SP3, + Mac.

На Win машинах установлен Firewall Outpost 6.0.
Постоянно включен только роутер.

Описание проблемы:
Примерно 1 раз в 10 минут, т.е. с периодичностью в 10 минут, с недавнего времени (примерно 1,5 недели), роутер стал "подвисать" примерно на минуту. Админка не грузится и сеть/интернет не работает. Более того, в момент, когда к роутеру ничего не подключено, т.е. все компы выключены, с тойже периодичностью в 9-10 минут мигает индикатор активности на роутере.


Мои попытки понять причину и устранить ее:
Сначала я решил, что модем перегревается, выключал его на длительное время, затем включал его вновь. Ситуация не изменилась. Потом в админке роутера я включил логирование ошибок, что позволило увидеть следующее:

Nov 7 21:24:51 user crit kernel: eth0 Link DOWN.
Nov 7 21:24:54 user crit kernel: eth0 Link UP.
Nov 7 21:25:25 user crit kernel: eth0 Link DOWN.
Nov 7 21:25:28 user crit kernel: eth0 Link UP.

Nov 7 21:25:43 user alert kernel: Intrusion -> IN=ppp_0_35_1 OUT= MAC= SRC=78.37.161.75 DST=78.37.145.133 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=43173 DF PROTO=TCP SPT=4815 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0

Nov 7 21:25:46 user alert kernel: Intrusion -> IN=ppp_0_35_1 OUT= MAC= SRC=78.37.161.75 DST=78.37.145.133 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=43174 DF PROTO=TCP SPT=4815 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0


Для начала я спросил у Яндекса про crit kernel: eth0 а затем про alert kernel: Intrusion из чего сделал вывод о том, что причина моей проблемы с попытках сканирования портов моего оборудования с IP 78.37.161.75 (IP часто меняется, в логе роутера это видно). Я отключил Firewall на роутере и следил за сообщениями Outpost, но он молчал, о попытках сканирования портов даже не заикался (первая странность) при этом, интернет пропадал но сеть и модем оставались доступны к запросам. Я обратился в 057 после продолжительного ожидания, специалист СЗТ проинформировал меня о том, что на моей машине работает вредоносное ПО под его руководством я отизбавился от воображаемого трояна, ситуация, как можно угадать, не изменилась, описание проблемы я направил на support@avangard-dsl.ru в ответ получил отчет о недоставке сообщения :(.

Еще немного описания проблемы, напомню, IP у меня динамичный, т.е. каждый раз (раз в сессию) разный. Для чистоты эксперимента, чтобы убедиться, что дело не во вредоносном ПО я выключил большой комп и отключил WiFi на роутере, перегрузил роутер. Таким образом, сессию подняла железяка (роутер) с новым, ранее не используемым мной IP. Прошло некоторое время я включил комп и посмотрел лог и, к сожалению, увидел записи (вторая странность) аналогичные этой:

Nov 7 21:25:46 user alert kernel: Intrusion -> IN=ppp_0_35_1 OUT= MAC= SRC=78.37.161.75 DST=78.37.145.133 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=43174 DF PROTO=TCP SPT=4815 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0


Выводы:
Дело не в моих компах, т.е. не во вредоносном ПО на моих компах. Вероятно, проблема в сети avangard, т.к. запросы шли и на новые IP. Однозначно с этой проблемой сталкивались и другие пользователи Авангард С-Пб, т.к. специалист 057 (службы поддержки) достаточно быстро нашел, по его мнению, ответ на мою проблему, пусть и неправильно, но сам факт, значит я не первый обратился.


Вопрос:
Как решить проблему? В чем она заключается? В роутере или сети?
Мне очень не нравится состояние дел на текущий момент.

Прошу вашего совета!

Subscribe
  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 9 comments