Tentativas de acesso registradas por modem MitraStar

[Eddu Vaz]

Olá pessoal, ao acessar os logs do modem  mitrastar fico vendo constantemente isso:

RemoteMGNT: Action=DROP Unsecured Client Access Deny IN=ppp0 OUT= MAC= SRC=211.248.12.99 DST=188.68.307.129 LEN=40 TOS=0x00 PREC=0x00 TTL=45 ID=12217 PROTO=TCP SPT=5468 DPT=22 WINDOW=16764 RES=0x00 SYN URGP=0

 

 

acontece com vocês também? noto que essa constância de tentativas de acessos remotos, deixa minha conexão muito lenta

[alexandre.mbm]

Procure ver com o seu provedor se não é o caso deles terem uma automação que hoje esteja sendo recusada pelas configurações atuais do modem.

[Eddu Vaz]

ah ligar na vivo pode esquecer, talvez conseguiria algo mais tecnico entrando judicialmente, e ainda seria o talvez, fora a perda de tempo e dinheiro que não tenho. 

Por isso a pergunta se alguém que usa vivo, roteadores modens Mitrastar, notam esse tipo de log também.

[alexandre.mbm]

Em 16/05/2023 às 10:26, Eddu Vaz disse:

talvez [eu] conseguiria algo mais técnico entrando judicialmente

 

Você nem sabe do que se trata...

 

Update

 

@Eddu Vaz, esta mensagem iniciou com uma citação que completa sua semântica.

[Eddu Vaz]

!! realmente Alexandre, não sei, por isso perguntei aqui no fórum, agora se você for especialista e puder me explicar, ficarei muito grato.
e coisas como ip blocking e shadow ban, as operadoras dizem que não existem, você pode ligar e ligar, que vão dizer que está tudo normal, e aí recorre à quem?

[arfneto]

Em 09/05/2023 às 10:25, Eddu Vaz disse:

Olá pessoal, ao acessar os logs do modem  mitrastar fico vendo constantemente isso:

RemoteMGNT: Action=DROP Unsecured Client Access Deny IN=ppp0 OUT= MAC= SRC=211.248.12.99 DST=188.68.307.129 LEN=40 TOS=0x00 PREC=0x00 TTL=45 ID=12217 PROTO=TCP SPT=5468 DPT=22 WINDOW=16764 RES=0x00 SYN URGP=0

 

Acha que deve esquecer isso.

 

Em 09/05/2023 às 10:25, Eddu Vaz disse:

noto que essa constância de tentativas de acessos remotos, deixa minha conexão muito lenta

 

qual é essa constância? Centenas de pacotes por minuto? Como concluiu que isso deixa sua conexão lenta?

 

Em relação à mensagem em si:

• o aparelho está cumprindo uma de suas funções, que é a de tentar fornecer alguma segurança em relação ao acesso de fora pra dentro de sua instalação: desprezou uma tentativa inesperada de conexão
• Não estou certo dessas abreviaturas, mas DPT deve ser Destination Port. 22 é a porta de SSH então provavelmente é um dos milhares de robos rodando na rede procurando por servidores inseguros. O SRC deve ser o endereço de origem e provavelmente é forjado e não vai levar a nada.

Veja quantos tem num período e se são da mesma origem e saberá.

 

De todo modo isso é o comum. Não pode evitar de alguém bater à sua porta ou tocar sua campainha. Na versão digital não pode evitar que mandem pacotes para a sua rede. Quando isso é exagerado você tem uma questão de Flooding ou Denial of service, em que sua rede pode mesmo ficar lenta ou deixar de responder até.

 

Mas teria que ter alguém realmente interessado em sua rede em particular.

 

 

[Eddu Vaz]

sim para todas as perguntas, constância de poucos minutos entre as tentativas.

[alexandre.mbm]

@Eddu Vaz , você sabe quem é 188.68.307.129 dentro da sua rede?

[Eddu Vaz]

não, se eu voltar a tela e for para os dispositivos conectados, são outro, ip, até pensei que fosse o ip real, mas são outros os valores aqui.

[arfneto]

Em 19/05/2023 às 15:13, Eddu Vaz disse:

sim para todas as perguntas, constância de poucos minutos entre as tentativas.

 

minutos? Então é irrelevante. Fossem vários pacotes por segundo poderia se preocupar com algum tipo de perseguição de alguém que conseguiu seu endereço IP ou que está tentando zoar pessoas acessando um bloco de endereços. Note que muitos desses roteadores tem um mecanismo embutido de passar a ignorar pacotes de uma certa origem (ataques flooding ou DOS na literatura), mas o próprio envio dos pacotes vai estar acontecendo de qualquer forma, e por isso os endereços de origem são em geral falsos (spoofing).

 

 

[Eddu Vaz]

Hoje mudou um pouco apareceu o código 280, mas sim suspeito de tentativa de invasão, por vezes a linha telefônica tem chiado, aí do nada para fica cristalino,  a conexão sempre foi boa, mesmo sendo 10mb de down e 1 mb de up ( o real é 450kbs de up ).

como monitoro o tráfego de dados e são poucos os dispositivos conectados, é estranho não ter download de nada pesado, e constantemente do nada, ficar tão lerdo quanto na e'poca da internet discada, acho q a molecada de hoje nem sabe o que é barulhinho do discador.

enfim, acontece que é uma constante, e se ligar na vivo, dirão que não é nada, e se chamar tecnico deles, é pedir pra passar nervoso...
 

[alexandre.mbm]

Esse endereço 188.68.307.129 tem alguma semelhança com os demais da sua rede?

[Eddu Vaz]

nenhuma alexandre, acho que na segunda feira, fui olhar e novamente deixei em desabilitado, aí hoje só notei aquele código 280.


mas esse IP, nem de longe é similar ao IP externo da ISP, foi por isso que fui eliminando as possibilidade aqui.

um pouquinho que ativei olha o log:

[alexandre.mbm]

3 horas atrás, Eddu Vaz disse:

Mas esse IP [188.68.307.129], nem de longe é similar ao IP externo da ISP.

 

Veja que agora a tentativa de acesso destinou-se a 177.9.143.149. Este não era o IP externo do próprio MitraStar naquele momento do registro em log?

 

Update

 

Não encontrei manual completo mas vejo que o seu equipamento é este:

 

MitraStar DSL-100HN-T1-NV

 

Quando o Gerenciamento Remoto está habilitado, ele [talvez]¹ se anuncia na rede externa [a rede do provedor]¹. O firewall está bloqueando as solicitações de conexão entrantes.

 

    [1]: ERRATA

 

Citação

The Remote MGMT rule has highter priority than firewall.

 

Certamente a regra de saída, não a de entrada.

[Eddu Vaz]

eita, esse deu.

[alexandre.mbm]

Em 17/05/2023 às 14:21, arfneto disse:

Não pode evitar de alguém bater à sua porta ou tocar sua campainha.

 

Especialmente se você fixa na fachada um cartaz pedindo para fazerem.

 

1 hora atrás, alexandre.mbm disse:

Quando o Gerenciamento Remoto está habilitado, ele se anuncia na rede externa.

 

Ou ao menos sua porta está visível.

 

PS.: a hipótese da mensagem 2 não está descartada.

 

1 hora atrás, Eddu Vaz disse:

 

Entre uma tentativa e outra durou exatamente 1 minuto.

[arfneto]

1 hora atrás, alexandre.mbm disse:

Quando o Gerenciamento Remoto está habilitado, ele se anuncia na rede externa

 

Não, não se anuncia. Isso é passivo. Anúncio --- broadcast na terminologia TCP/IP --- é outra coisa. E se ele se anunciasse não iria além da LAN mais próxima do roteador, porque roteadores não passam broadcasts adiante.

 

Com o gerenciamento remoto habilitado o roteador passa a aceitar conexões nas portas programadas, eventualmente a partir de endereços programados também. Em geral portas 80,  8080 ou 1080 são muito visadas então muitos usuários criam portas com números distintos. E o efeito é poder acessar a página de configuração do roteador pela WAN a partir da internet. Só o dono pode saber se precisa disso ou não. Muita gente precisa.

 

No caso da VIVO o funcionamento é diferente.

 

Não tenho um desses aparelhos pra testar, mas acessei uma conexão da VIVO usando um AsKey RTF3507VW-N1 e ele por padrão admite acesso via SSH. Mesmo que esse modelo que usa não tenha isso algum programa de monitoramento da rede VIVO --- lícito ou não --- pode usar isso.
 

 

Uns poucos pacotes por minuto não são nada relevantes e deve receber muitos além desses.

 

 

[alexandre.mbm]

A respeito de "anunciação". Não seria de dentro para fora, um repasse, mas de si para fora.

 

Talvez seu provedor precise configurar IGMP Snooping como proteção ou restrição. Se for o caso, nesta citação você tem um argumento de otimização:

 

Citação

Um switch pode não saber quais dispositivos de rede fazem parte dos grupos multicast e quais não são. Ele pode acabar encaminhando o tráfego multicast para dispositivos que não precisam dele, o que ocupa a largura de banda da rede e o poder de processamento do dispositivo, deixando toda a rede lenta.

 

Fonte: CloudFare

 

Confira mais material que pode interessar, como forma de se embasar. Se você acertar o alvo, até os agradará.

[Eddu Vaz]

curioso, depois de ter brevemente habilitado e desabilitado a função, vim olhar o log pelo painel avançado, e tá hora hora os computadores emitindo alerta de sem conexão e conexão, e olhando o log, dá pra ver que desconectam e conectam.

[arfneto]

6 minutos atrás, Eddu Vaz disse:

depois de ter brevemente habilitado e desabilitado a função, vim olhar o log pelo painel avançado, e tá hora hora os computadores emitindo alerta de sem conexão e conexão, e olhando o log, dá pra ver que desconectam e conectam

parece normal, a depender do tempo do lease de dhcp. .2 se conectou as 18:07 e as 18:38. Se o lease for da ordem de 1800 é o normal. Ligou alguma coisa as 18:55 e recebeu .8 imediatamente. 

[arfneto]

18 minutos atrás, alexandre.mbm disse:

A respeito de "anunciação". Não seria de dentro para fora, um repasse, mas de si para fora.

 

Qual seria o sentido disso? Um broadcast para gerenciamento remoto do roteador só pode ser para a WAN. Na LAN não seria remoto, já que a rede local é... local.

 

E de todo modo não há qualquer saída. Apenas passa a aceitar conexões.

 

Veja ao lado uma tela dessas de um roteador antigo comum.
O dono marca qual porta quer usar e habilita o serviço se for o caso

 

 

[alexandre.mbm]

36 minutos atrás, arfneto disse:

E de todo modo não há qualquer saída.

 

Dependeria do firmware.

 

45 minutos atrás, Eddu Vaz disse:

 

18:07

    relata conectados

 

(transcorre suposto tempo de leasing; 30 min ~ 1800 s)

 

18:38

    relata conectados

 

(aleatoriamente, após 17 min)

 

18:55

    recebe reconhecimento

    relata conectados

    responde com atribuição

    relata conectados

[arfneto]

8 minutos atrás, alexandre.mbm disse:

27 minutos atrás, arfneto disse:

E de todo modo não há qualquer saída.

 

Dependeria do firmware.

Pra que? Apenas habilita uma conexão por uma certa porta. Uma saída iria pela WAN para o próximo segmento da rede da VIVO. De nada serviria

 

Sobre os logs de nada adianta ficar especulando sobre isso. O simples é ver qual o intervalo em uso no servidor DHCP. E o dono pode ter feito alguma mudança no caminho...

 

50 minutos atrás, Eddu Vaz disse:

depois de ter brevemente habilitado e desabilitado a função, vim olhar o log pelo painel avançado

 

e reiniciado algo que não aparece nesse log.
 

 

1 hora atrás, alexandre.mbm disse:

Ou ao menos sua porta está visível.

 

PS.: a hipótese da mensagem 2 não está descartada.

 

Sim, esse é o efeito de ter aquilo habilitado. Pode ser algum processo da VIVO, já que outros aparelhos, como esse que vi hoje, aceitam acesso via SSH e deixam habilitado por padrão. E ao enviar um comando para eles pela rede a VIVO pode não saber se o host de destino é Askey ou MitraStar ou qualquer coisa e aí mandam o pacote e ele é recusado por alguns modelos

[alexandre.mbm]

26 minutos atrás, arfneto disse:

Pra que [a tal "anunciação"]?

 

Otimizaria o seguinte sub-cenário:

 

26 minutos atrás, arfneto disse:

[atores da VIVO] mandam o pacote e ele é recusado, por alguns modelos

 

Pode ter faltado tolerância na otimização. Ou o firewall está recusando devidamente.

[arfneto]

38 minutos atrás, alexandre.mbm disse:

 

1 hora atrás, arfneto disse:

[atores da VIVO] mandam o pacote e ele é recusado, por alguns modelos

 

Pode ter faltado tolerância na otimização. Ou o firewall está recusando devidamente.

 

Como mostrei, ao menos um modelo em largo uso na VIVO, esse AsKey, tem um servidor SSH (porta 22) habilitado por padrão do lado da WAN. E esse outro em uso por @Eddu Vaz da MitraStar não tem. Então a VIVO ou alguém sabendo disso pode rodar um programa e tentar acessar esses aparelhos pela WAN. E assim faz total sentido o aparelho rejeitar essa conexão. Pode ser exatamente o que você imaginou no #2, ou pode ser simples vandalismo digital mesmo