Faccialibro mi intasa la linea

[Varg87]

Ho un problema da un po' di tempo. Me n'ero accorto già in passato ma non ero sicuro del tutto che fosse esso il problema.
Premetto che io non ho nemmeno mai creato un profilo ma mio papà sì e lo usa costantemente e guardacaso quando uso la linea pure io.
Tempo fa mi sono accorto in alcune occasioni che la linea rallentava, tanto da arrivare a bloccarsi in alcune occasioni e non riuscivo a spiegarmi il motivo visto che non ho mai avuto grossi problemi, soprattutto dopo aver sistemato l'impianto in casa installando uno splitter a monte ed aver cablato tutto.

Arrivo al dunque: tempo fa mi ero già insospettito perchè in alcuni momenti la linea andava da schifo in alcuni momenti quando un attimo prima era perfetta.
Uscivo dalla mia stanza e...trovavo mio papà su quello stramaledetto sito.
Anche se era solo loggato la linea andava peggio, non piantata ma andava peggio.
Ieri sera ho avuto la prova del 9: in queste sere sta caricando un video diviso in più parti di un concerto al quale è stato e puntualmente io riesco a malapena a navigare.
Di solito riesco a guardarmi i video su Youtube a 1080p senza problemi e mi fa pure il prebuffering ma ieri non riuscivo a guardarli neanche a 360p, non partivano proprio.

Uso da un paio d'anni o più Cfosspeed (che funge da QoS), il quale regola la banda su tutti i pc in base alle richieste e non ho mai e ripeto mai avuto problemi.
Anzi, appena l'avevo acquistato ho fatto delle prove e riuscivo persino a giocare online senza il minimo incremento di ping mentre tenevo aperto utorrent a scaricare (ovviamente non scaricava alla massima velocità).
Ho provato ad impostare la velocità massima in upload per il suo pc togliendo una decina di KB/s in upload, almeno per poter navigare decentemente ma niente, si intasa lo stesso.

è da un po' di mesi che mi ritrovo molti errori sulla linea a momenti.
Probabilmente non c'entrano nulla ma a sto punto non posso far finta di niente e dire che sia un caso.
Come router ho un Netgear DGN3500 col firmware amod e riesco a vedere tutti i parametri della linea.
Generalmente non ho molti errori sulla linea ma ieri sera, mentre caricava i suoi caxxo di video ho avuto un aumento esponenziale di errori.
Avevo riavviato il router nel pomeriggio e fino a sera erano rimasti nella norma (un ottantina in 4-5 ore).
Ha messo a caricare quei video (ci ha messo un paio d'ore circa ad inviarli) ed alla fine mi son trovato 18000 errori (errored seconds) col router intasato anche quando aveva finito di caricarli e dopo aver spento il suo pc.
Come al solito, linea lenta e niente prebuffering su YT.
L'unica soluzione è stata riavviare il router e magia, tutto è tornato a funzionare correttamente.

Qualcuno ha una soluzione, ha avuto problemi simili o ha qualche consiglio da darmi?
Io la soluzione definitiva ce l'avrei (e potete immaginare quale sia) ma mio papà non è d'accordo.

Dopo vari mesi posso affermare con sicurezza che è quel dannato sito che mi impalla tutto.

Odio faccialibro.

[Wolfhwk]

Piazza un firewall a monte, va bene anche quello del Netgear.
I log del router li puoi postare?

[Varg87]

Sì ma il firewall che fa? Se devo bloccare l'accesso tanto vale dirgli di non usarlo.

Non ho mai guardato il log. Ecco cosa mi compare adesso:

Spoiler:

Sun, 2013-06-09 12:49:15 - [admin login] from source 192.168.0.2 Sun, 2013-06-09 11:56:22 - [admin login] from source 192.168.0.2 Sun, 2013-06-09 11:35:35 - [admin login] from source 192.168.0.2 Sun, 2013-06-09 10:41:28 - [admin login] from source 192.168.0.2 Sun, 2013-06-09 10:07:35 - [admin login] from source 192.168.0.2 Sun, 2013-06-09 09:32:11 - TCP Packet - Source:208.98.33.126 Destination:xxx - [PORT SCAN] Sun, 2013-06-09 09:32:11 - TCP Packet - Source:208.98.33.126 Destination:xxx - [PORT SCAN] Sun, 2013-06-09 09:32:11 - TCP Packet - Source:208.98.33.126 Destination:xxx - [PORT SCAN] Sun, 2013-06-09 09:32:11 - TCP Packet - Source:208.98.33.126 Destination:xxx - [PORT SCAN] Sun, 2013-06-09 09:32:11 - TCP Packet - Source:208.98.33.126 Destination:xxx - [PORT SCAN] Sun, 2013-06-09 09:32:11 - TCP Packet - Source:208.98.33.126,50657 Destination:xxx,1180 - [DOS] Sun, 2013-06-09 09:32:11 - TCP Packet - Source:208.98.33.126,39140 Destination:xxx,1081 - [DOS] Sun, 2013-06-09 09:32:11 - TCP Packet - Source:208.98.33.126,40479 Destination:xxx,8081 - [DOS] Sun, 2013-06-09 09:32:11 - TCP Packet - Source:208.98.33.126,50608 Destination:xxx,8128 - [DOS] Sun, 2013-06-09 09:32:11 - TCP Packet - Source:208.98.33.126,35481 Destination:xxx,6588 - [DOS] Sun, 2013-06-09 09:32:05 - TCP Packet - Source:208.98.33.126 Destination:xxx - [PORT SCAN] Sun, 2013-06-09 09:32:05 - TCP Packet - Source:208.98.33.126 Destination:xxx - [PORT SCAN] Sun, 2013-06-09 09:32:05 - TCP Packet - Source:208.98.33.126 Destination:xxx - [PORT SCAN] Sun, 2013-06-09 09:32:05 - TCP Packet - Source:208.98.33.126 Destination:xxx - [PORT SCAN] Sun, 2013-06-09 09:32:05 - TCP Packet - Source:208.98.33.126 Destination:xxx - [PORT SCAN] Sun, 2013-06-09 09:32:05 - TCP Packet - Source:208.98.33.126,50657 Destination:xxx,1180 - [DOS] Sun, 2013-06-09 09:32:05 - TCP Packet - Source:208.98.33.126,39140 Destination:xxx,1081 - [DOS] Sun, 2013-06-09 09:32:05 - TCP Packet - Source:208.98.33.126,40479 Destination:xxx,8081 - [DOS] Sun, 2013-06-09 09:32:05 - TCP Packet - Source:208.98.33.126,50608 Destination:xxx,8128 - [DOS] Sun, 2013-06-09 09:32:05 - TCP Packet - Source:208.98.33.126,38162 Destination:xxx,8081 - [DOS] Sun, 2013-06-09 09:32:02 - TCP Packet - Source:208.98.33.126 Destination:xxx - [PORT SCAN] Sun, 2013-06-09 09:32:02 - TCP Packet - Source:208.98.33.126 Destination:xxx - [PORT SCAN] Sun, 2013-06-09 09:32:02 - TCP Packet - Source:208.98.33.126 Destination:xxx - [PORT SCAN] Sun, 2013-06-09 09:32:02 - TCP Packet - Source:208.98.33.126 Destination:xxx - [PORT SCAN] Sun, 2013-06-09 09:32:02 - TCP Packet - Source:208.98.33.126 Destination:xxx - [PORT SCAN] Sun, 2013-06-09 09:32:02 - TCP Packet - Source:208.98.33.126,50657 Destination:xxx,1180 - [DOS] Sun, 2013-06-09 09:32:02 - TCP Packet - Source:208.98.33.126,39140 Destination:xxx,1081 - [DOS] Sun, 2013-06-09 09:32:02 - TCP Packet - Source:208.98.33.126,38162 Destination:xxx,8081 - [DOS] Sun, 2013-06-09 09:32:02 - TCP Packet - Source:208.98.33.126,50608 Destination:xxx,8128 - [DOS] Sun, 2013-06-09 09:32:02 - TCP Packet - Source:208.98.33.126,35481 Destination:xxx,6588 - [DOS] Sun, 2013-06-09 09:32:00 - [admin login] from source 192.168.0.2 Sun, 2013-06-09 09:19:14 - [admin login] from source 192.168.0.2 Sun, 2013-06-09 09:06:46 - 07 00[DHCP IP: (192.168.0.7)] to MAC address xxx Sun, 2013-06-09 03:56:03 - [admin login] from source 192.168.0.3 Sun, 2013-06-09 00:42:09 - [admin login] from source 192.168.0.3 Sun, 2013-06-09 00:04:01 - [admin login] from source 192.168.0.3 Sat, 2013-06-08 24:47:33 - Router start up Sat, 2013-06-08 23:54:01 - Receive NTP Reply from time-h.netgear.com Sat, 2000-01-01 01:06:27 - Send out NTP request to time-h.netgear.com Sat, 2000-01-01 01:05:05 - Send out NTP request to time-g.netgear.com Sat, 2000-01-01 01:05:01 - PAP authentication success Sat, 2000-01-01 01:05:01 - LCP is allowed to come up. Sat, 2000-01-01 01:05:00 - Initialize LCP. Sat, 2000-01-01 01:00:46 - [admin login] from source 192.168.0.3 Sat, 2000-01-01 01:00:14 - DHCP server started

Port scan? DOS? Qualcuno che ha tempo da perdere?

[Wolfhwk]

Con il firewall imposti le regole in modo restrittivo. Metti in blacklist uscita ed entrata, e poi definisci le regole in base ai servizi richiesti (aka, le porte). In questo modo ti rendi davvero conto di cosa succede.

Dopo con calma mi guardo i log.

[Wolfhwk]

Porta 1180, 1081??

Ma siamo sicuri che non ci siano un po' di virus? Facci un giro.

[Varg87]

Sui miei non penso. Su quello di mio papà, adesso che mi ci fai pensare, una sera della settimana scorsa era uscito un avviso dell'antivirus ma non so cosa dicesse perchè non ero a casa.
Proverò a fare una scansione lì ma dubito sia quello il problema visto che si manifesta solo quando si collega a fb.

[Wolfhwk]

Quote:

Originariamente inviato da Varg87

Proverò a fare una scansione lì ma dubito sia quello il problema visto che si manifesta solo quando si collega a fb.

Sito ovviamente molto sicuro

[Varg87]

Dai che ci siamo! Ho scoperto ora che il suo pc sta inviando l'ultima parte del video (bella grossa) da stamattina alle 9.30 circa (ora dell'attacco ddos, sarà un caso?) e per il momento non ho riscontrato problemi.
Probabilmente il limite in upload non si era impostato subito ieri ma ora sembra essere attivo, dopo aver riavviato il pc.
Terrò d'occhio il log del router per vedere se l'attacco è stato un caso isolato o se si ripeteranno altri episodi.

[malatodihardware]

Quote:

Originariamente inviato da Wolfhwk

Porta 1180, 1081??
Ma siamo sicuri che non ci siano un po' di virus? Facci un giro.

Sono connessioni in ingresso, non in uscita.
E' normale "rumore" di fondo del traffico IP secondo me..

[Wolfhwk]

Quote:

Originariamente inviato da malatodihardware

Sono connessioni in ingresso, non in uscita.
E' normale "rumore" di fondo del traffico IP secondo me..

Ovvio che siano in ingresso.
Poi rumore di fondo???? Sono sessioni TCP/IP con regole e porte aperte in modo dinamico tramite UPnP a partire da una o più applicazioni che hanno originato del traffico.
Dire semplicemente che si tratta di normale rumore di fondo è un azzardo bello e buono.
Potrebbe essere normale oppure segno di malware che apre ovviamente delle porte in locale.

Segnati questa regola d'oro che ho potuto confermare in un decennio di smadonnamenti.

Tratto da Network Warrior

Quote:

Assume Nothing; Prove Everything

When you assume something, it will return to bite you. As soon as you hear someone
(including yourself) say, “It can’t be that because...,” set out to prove that statement
true or false. During outages, there seems to be a tendency for engineers to convince
themselves that something must be true because they think it is. Don’t assume anything
is true unless you’ve proven it.

[malatodihardware]

Scusa ma se vengono bloccate come fai a dire che sono aperte tramite upnp?

Inviato dal mio MB525

[Wolfhwk]

Dicevo in generale, delle sessioni passano, mentre altre sono "riconosciute (parolone)" dal router come port scan o tentativi DOS, il tutto aperto da UPnP tramite applicazione origine. A questo punto se vogliamo essere pignoli, DOS e PORT SCAN sono fuorvianti e non sono quello che sembrano (ovvero veri attacchi come ha aggiunto l'utente).

[Wolfhwk]

Quote:

Originariamente inviato da Varg87

Dai che ci siamo! Ho scoperto ora che il suo pc sta inviando l'ultima parte del video (bella grossa) da stamattina alle 9.30 circa (ora dell'attacco ddos, sarà un caso?) e per il momento non ho riscontrato problemi.

Applicazione origine...

[gd350turbo]

Io ho risolto questi ed altri problemi con un router che mi permettesse di operare un controllo quanto mai completo su quello che può fare e non fare un certo pc, un Draytek 2820,è alquanto costoso ma come gestore delle connessioni è imbattibile !

[Wolfhwk]

Peraltro un router Netgear di fascia bassa non fa il log ad un livello sufficiente di dettaglio, secondo me. In diversi nemmeno vedo cosa fa UPnP.
Nei 7 livelli si ferma giusto giusto tra il Notification (5) e il Critical (2).

[malatodihardware]

Quote:

Originariamente inviato da Wolfhwk

Dicevo in generale, delle sessioni passano, mentre altre sono "riconosciute (parolone)" dal router come port scan o tentativi DOS, il tutto aperto da UPnP tramite applicazione origine. A questo punto se vogliamo essere pignoli, DOS e PORT SCAN sono fuorvianti e non sono quello che sembrano (ovvero veri attacchi come ha aggiunto l'utente).

Scusa ma non capisco come fai a dire che sono aperte tramite UPNP oppure dare la colpa a un video..
Cioè se io sto per esempio navigando sul sito di gazzetta.it e in quel momento qualcuno tenta di connettersi sulla mia porta xxxx allora il virus sarebbe nel sito della gazzetta (o nel software che sto usando)?

Secondo me è "normale" avere qualche richiesta in ingresso dai vari portscan o altro, poi che sia capitata in contemporanea al video secondo me c'entra poco

[Wolfhwk]

Quelle connessioni puntano ad una porta locale, probabilmente tirata su a causa dell' applicazione ma non necessariamente strettamente dipendente da essa. Una sessione prima di essere identificata come port scan o DoS viene comunque avviata per dei millisecondi (?) tramite UPnP prima di essere buttata giù con un TCP reset.
Ripeto, può essere normale come non può esserlo. Da quelle poche righe di log non si vede attività malware, ma vale la pena comunque di sospettare.
L'applicazione stabilisce le sue sessioni TCP e se nel frattempo c'è un malware, egli si inserisce in modo trasparente nello stesso flusso e apre altre sessioni che per UPnP sono richiamate invece dall' attività dell' applicazione origine.
Poi, ok, c'è anche la categoria delle scansioni random, come tu affermi giustamente.

Una supercazzola
Sì, basta così che siamo ai limiti della paranoia.
Per me l'argomento è chiuso.

[Wolfhwk]

Quote:

Originariamente inviato da malatodihardware

Secondo me è "normale" avere qualche richiesta in ingresso dai vari portscan o altro, poi che sia capitata in contemporanea al video secondo me c'entra poco

Dipende dalle applicazioni, ma aumentano tranquillamente i portscan in diversi casi.
L'uploading video su facecippa ne è un esempio chiaro.

[Varg87]

Ieri non ho avuto grossi problemi durante l'upload, linea più lenta ma non piantata. Appena ho un po' di tempo vedo di configurare il firewall hardware, nonostante utilizzi già Comodo dappertutto.