Comments 73
Она поступает много хитрее: че-то там себе массово пингует в интернете, да так, что в ответ летит более 20 тысяч icmp пакетов.
Имя нам легион. Во славу роя ). А так да. Видимо в будущем всей умной технике начиная от носков и и заканчивая холодильниками выставлять ограничения в интернет или вовсе лишать онного )
А может она других Алис пинговала ? А те её в ответ ? Как обычно кривой софт ). Ну или ии как обычно с ним бывает спалился).
Надо отметить, что icmp-пакеты (генерируемые командой ping) - это приоритетные для роутера задачи. Т.е. пока он их не отработает, никакие другие пакеты он обрабатывать не будет.
............
Это влечет за собой два вывода:
роутер занимается только icmp пакетами (детектирует и делает ответы, если ip не в бане). Но очередь icmp пакетов растет, потому как не успевает отправлять ответы ввиду низкой скорости канала.
никакие другие пакеты в это время не обрабатываются. Даже пакеты pptp, предназначенные для проверки работоспособности соединения. И одна из сторон, видя нарушение работы протокола, считает соединение разорванным. Это вторая причина, почему рвется соединение.
Я как "инфраструктурщик" с бэкграундом в сетях, такого еще не слышал :)
Ваши выводы выше - являются субъективной "фантазией" о том, как работает сетевое железо роутера. Максимально приоритетными задачами являются роутинг (поддержание работы протоколов динамической маршрутизации и наполнения таблиц форвардинга). Высокий pps ICMP так или иначе будет "резаться" CoPP - такие преднастройки имеет сейчас фактически каждый (даже домашний) маршрутизатор из коробки. Конечно поведение и преднастройки меняются от вендора к вендору и модели оборудования, но ICMP в приоритетах разделения процессорного времени современных моделей где-то "cнизу" уже долгое время (наверное как раз с тех времен, когда было можно еще сделать PingOfDead).
Вероятно у Вас был в полку CPU из-за генерации большого количества логов FW, а не из-за ICMP:
Такое большое количество выставлено в отладочных целях. Чтобы лог роутера поменьше загаживался.
А количество обрабатываемых pps всяких разных пакетов (служебных) - это CoPP. И настройка в 20k pps для ICMP для "филиального" роутера - абсолютный overhead (предположу что это значение по умолчанию от вендора - а значит значимо влиять на CPU не должно было).
В целом сдается мне, что дело не в ICMP как таковом, а каких-то настройках Алисы - почему у меня и десятков тысяч людей использующих любых провайдеров дома, в том числе и для Алисы - "проблем с ICMP" не возникло, где массовость? Вы снимали и раскуривали содержимое дампа?
Заголовок статьи "желтит", тема не раскрыта)
В целом сдается мне, что дело не в ICMP как таковом, а каких-то настройках Алисы - почему у меня и десятков тысяч людей использующих любых провайдеров дома, в том числе и для Алисы - "проблем с ICMP" не возникло, где массовость?
Миллионов, не десятков тысяч. Активных Станций — давно уже больше 7 млн. штук. Даже доли процента системных проблем на таком флоте привели бы к цунами возмущения.
Хотя случай интересный.
Может быть, я не точно выразился. Возможно, существуют протоколы с более высоким приоритетом обработки пакетов. Но это все служебные протоколы роутера. И здесь речь не об этом.
Нужно говорить о том, что приоритет обработки icmp пакета выше, чем у обычного tcp или udp пакета. Т.о. пока роутер не отработает все служебные пакеты в очереди (в т.ч. icmp), он.не будет обрабатывать ни tcp, ни udp.
Например, тот же pptp использует канал управления через tcp на порту 1723. Т.о. в нашем случае управление каналом pptp будет блокировано.
По-факту, эти измышления подтверждаются тем, что перестает работать web-морда со стороны lan (которая тоже ходит по tcp), ну и сам инет, если разрешить роутеру обрабатывать примерно 30 тыс. icmp запросов. Наш конкретно столько не тянет. И работоспособность восстанавливается спустя время, если на время выдернуть wan.
Нужно говорить о том, что приоритет обработки icmp пакета выше, чем у обычного tcp или udp пакета. Т.о. пока роутер не отработает все служебные пакеты в очереди (в т.ч. icmp), он.не будет обрабатывать ни tcp, ни udp.
Да ну нет же. Поищите в google по 'icmp priority'.
логику надо тоже включать в голове.
зачем сделали icmp протокол? затем, что в ip протоколе нет сообщений об ошибках его работы. т.о. основная функция icmp протокола - сообщать об ошибках в работе с ip пакетами.
далее, icp и udp упакованы в ip пакеты. какой смысл заниматься их доставкой, если в работе ip протокола обнаружены ошибки?
icmp протокол может, например, сообщить отправителю сообщение об подавлении источника данных. это означает просьбу снизить количество отправляемых пакетов. и просьба пойдет в сторону роутера, потому как исходный отправитель icmp пакетов далеко не всегда ожидает такие пакеты.
очевидно, что такую просьбу надо рассмотреть как можно раньше, а не пытаться все tcp/udp пакеты скоренько закинуть в цель. они в этом случае все-равно не будут обработаны.
т.о. приоритет icmp пакета основан на необходимости создания полной картины работы на уровне ip. и уж потом идет работа по распаковке/запаковке tcp/udp и их обработке.
То, что в линухе сделали приоритет icmp сообщений обычным, ничего не означает. По вашей ссылке находятся куча желающих повысить приоритет обработки icmp сообщений. И, наверное, не просто так.
Т.о. имеет смысл вести речь о настроенном роутере, а не в поставке "из коробки".
Ниже 2 человека написали, что если даже заблокировать (т.е. опустить приоритет до нуля) ICMP-flood от Алисы, то ничего не ломается. Входящие со стороны внешней сети ICMP тоже очень часто блокируют. Не стучите, дверь закрыта. Точнее, ее вобще нет - стенка это ;)
очевидно, вы невнимательно читали статью. проблема не в стенке.
проблема в ошибке прошивки конкретной модели роутера, которая ставит в бан ip адрес vpn провайдера, вместо ip источника. при этом, рвется весь интернет. сигналом к такому действию служит icmp ответы на запросы алисы, точнее их количество.
сами по себе ответы страшны только тем, что загаживают лог роутера ворнингами. и до нужного вы можете тупо не добраться ввиду их объема лишних данных.
вместе с тем, цепочка разных косяков приводит к успешной ddos атаке по icmp. условия ее получения я достаточно подробно описал в статье. перечитайте.
Надо ставить whireshark и смотреть. Ну, допустим, какой-то свой облачный сервис-кластер. Файрвол рубит ей какие-то пакеты, она это замечает и начинает пытаться работать интенсивнее. Но это все мои домыслы.
По-факту, отыскание "почему" - работа нудная и никем не оплачиваемая. Пусть этим яндекс занимается😌
До кучи, вот тут 3 года назад подобное и ответ яндекса:
https://pikabu.ru/story/eshche_nemnogo_slezhki_ot_yandeksa_8168731?cid=198879924
во-первых, не верю.
во-вторых, уже не однократно писалось, что Алиса "спамит", и неоднократно "напоминалось Яндексу", если уж спамите, то спамьте на собственные облака, а не по всему Интернету.
в-третьих, "пользователь - сам дурак", например, на прошлой неделе, офис, паника, не работает l2tp\ipsec до филиала(ов), оказалось что один из сотрудников решил посмотреть "смотритрубу" и запустил "bol-van/zapret/", после чего ipsec на маршрутизаторе перестал работать.
в-четвёртых, избежать, всех выше описанных, проблем можно было бы если бы кто-нибудь "следил за сетью", не на уровне "посмотри, прийдёт посмотрит", а на уровне обязанностей и оплаты, тем более это всего лишь базовый уровень, но увы - работодатели не хотят тратиться, а работники "пытаются" и выполняют эти задачи за бесплатно, и пока такое продолжается - это замкнутый круг.
Во что вы не верите? В то, что конкретно эта Алиса вызывает шквал icmp ответов?
Тут ситуация такая, что даже видео вам не поможет разобраться. Ведь надо будет вникать в детали сетевых настроек. А кто их вам будет показывать?
Конечно, в посте присутствует некий субъективизм понимания работы алгоритмов файрвола конкретного роутера.
Однако, что было точно выяснено: при изменении настроек спама icmp в 30 тыс./сек пакетов - роутер через некоторое время переставал отвечать со стороны lan. это проявлялось как в отсутствии ответов на ping локального шлюза, так и невозможности выйти в web-интерфейс из lan. И при отключении wan ситуация исправлялась через несколько минут без перезагрузки роутера.
Понятно, что я эти пакеты руками не подсчитывал. Но напрашивается единственное объяснение - роутер сформировал очередь из запросов/ответов, не успевал их обрабатывать и в логе детектировал спам. ну и спам-настройка указывает конкретное значение. Мне надо было с ним поспорить?😅😂 За что купил, за то и продаю.
оказалось что один из сотрудников решил посмотреть "смотритрубу" и запустил "bol-van/zapret/",
На роутере, что-ли? Тогда, извините, дурак не пользователь...
избежать, всех выше описанных, проблем можно было бы если бы кто-нибудь "следил за сетью", не на уровне "посмотри, прийдёт посмотрит", а на уровне обязанностей и оплаты, тем более это всего лишь базовый уровень, но увы - работодатели не хотят тратиться, а работники "пытаются" и выполняют эти задачи за бесплатно
Щас бы каждому субъекту малого предпринимательства держать высококвалифицированного админа на ставке.
Достаточно абонентского обслуживания от нормальной конторы с тем самым высококвалифицированным админом. Чтобы этот админ с самого начала замониторил всю сеть клиента и дальше спал, пока не замигает красная лампочка. Но когда замигает - мог нормально разобраться в проблеме, а не кидать камни по всем кустам в надежде, что под одним из них окажется заяц.
Практика показывает, что это ещë дороже.
Не дороже - я пару лет назад передавал инфраструктуру своего тогдашнего работодателя на аутсорс - вышла неплохая экономия - до аутсорса было 2 техника (эникея), админ, сетевик, руководитель отдела (на совещаниях сидеть, бюджетом заниматься, и прочая нудятина) - штатники обходились примерно в 500 тыр., аутсорс (абонентка+аварийные выезды) - более 200 не выходило. Соглашусь, что изначально штат был "чуть раздут", но он был раздут из-за необходимости замещения болеющих/отпускных/сваливших, а при внешней поддержке дублирование не нужно (вернее, оно не является заботой клиента).
один из сотрудников решил посмотреть "смотритрубу" и запустил "bol-van/zapret/",
А каким образом запуск goodbyeDPI на клиентской машине может уронить ipsec на роутере???
bol-van/zapret/ - это же для роутера.
во-первых, zapret/binaries/win64 at master · bol-van/zapret · GitHub
во-вторых, провайдеру бывает не всё равно, что вы ему отправляете, https://github.com/ValdikSS/GoodbyeDPI/issues/557#issuecomment-2289408051
в-третьих, в чём проблема: "-Коля, у нас роутер, Интернет, что-то завис, сходи посмотри?!" пока будет "-Я посмотрел, не знаю, пока вроде работает/ -Ну ладно.." так и будет продолжаться, а должно быть "-Коля, ты не смог сделать? Лишаешься премии." "-Да..ть, Павел, я вообще тут плотником работаю, вы .... что ли.. х.... я что ещё... вам". Для того, чтобы как верно заметили выше: сетями занимались грамотные люди, а не писали "как он на роутере что ли поставил?".
во-первых, zapret/binaries/win64 at master · bol-van/zapret · GitHub
В README написано, что "Большая часть функционала работает на windows". Т.е. не вся. Не, ну конечно каждый Буратино сам себе злобный враг...
во-вторых, провайдеру бывает не всё равно, что вы ему отправляете, https://github.com/ValdikSS/GoodbyeDPI/issues/557#issuecomment-2289408051
Я не вижу в "вашей" ссылке никаких свидетельств, что установка GoodbyeDPI на локальный компьютер ломает интернет всем. Про bol-van/zapret тоже ничего подобного не слышал.
И вы таки не ответили, где был установлен bol-van/zapret?
Эта концепция сразу сломается на том этапе, что у Коли НЕТ премии.... это ж малый бизнес ))))
Дык у меня лте на йоте.полторы тыс и никаких доппакетов. Хотя она конечно не везде нормально работает.
Я конечно извините, в роутере не было возможности белых списков, куда помещается ip провайдера и становится хорошо?
белый список в роутере используется только для lan-клиентов. Для wan-клиентов есть какой-то внутренний бан (конкретно на этом роутере), который не доступен из интерфейса пользователя.
Ну, это же не циска, где можно че хошь настроить. Просто web-based vpn- роутер.
web-based vpn- роутер.
Марку в студию! А то google ничего подобного не находит, даже если роутер заменить на router.
извольте, tl-er6120
Таки никакой на "web-based", а просто TP-Link "Multi-WAN VPN Router"... Насколько он "профессиональный", не знаю. В спецификации вижу attack defence в том числе и от TCP/UDP/ICMP Flood Defense. Так не сам ли роутер "виноват"? Поддержка syslog, кстати, тоже есть. Что в логах, смотрели? Или не настроили?
И вообще, что делает Алиса в корпоративной сети?
web-based означало и означает то, что все настройки можно делать в web-интерфейсе, который предоставляет роутер по lan, а не в консоли.
icmp flood defense есть. при чем, неотключаемый. можно лишь в каких-то пределах менять его параметры - что считать спамом.
виноват, конечно же, роутер. полагаю, ситуацию описал достаточно подробно, но почему-то, вопрашающие сути проблемы не увидели.
еще раз коротенько: пров подключен через vpn. для такого рода подключений требуется вводить логин/пароль. более того, соединение может разрываться роутером по каким-то причинам, в отличие от подключения по статическому или динамическому адресу. список типов подключений посмотрите в любом своем роутете на wan порту. я не буду об этом.
по итогу, роутер видит слишком много icmp ответов для алисы и начинает эти пакеты ставить в блок. при этом, согласно тому icmp defence, ip адрес попадает во временный бан. только ввиду vpn в бан попадает не адрес спаммера, а адрес vpn прова. ну потому что icmp ответ упакован в pptp пакет и ввиду ошибки в прошивке роутера (полагаю), он берет ip адрес pptp пакета, а не icmp. в результате, инет рвется и через какое-то время восстанавливается(бан -временный). и все по новой.
лог зас.ан ворнингами о блокировке icmp пакетов. что вы там еще хотите увидеть?
ну, владельцу хочется иметь алису и тут его никто не переубедит. а ей нужен инет для полноценной работы.
ну потому что icmp ответ упакован в pptp пакет и ввиду ошибки в прошивке роутера (полагаю), он берет ip адрес pptp пакета, а не icmp.
Скорее всего, это неверно. Как только icmp пакет инкапсулируется в VPN, он перестает быть icmp. PPPT - это и не UDP и не TCP а вообще GRE и под flood-protection вообще попадать не должен.
ну, владельцу хочется иметь алису и тут его никто не переубедит. а ей нужен инет для полноценной работы.
Ну, пусть тогда выбирает, что ему важнее.
20К pps ICMP подозрительно похожи на ICMP тунель.
ICMP туннели обламываются через rate-limit провайдера.
Возможно именно это и объясняет, почему на основном провайдере с витой парой и белым IP этот шторм наблюдается а на запасном LTE-модеме уже нет. У основного просто не режется ничего, а у запасного либо rate-limit, либо дропаются ICMP echo request с размером данных больше, чем определенный заданный предел.
Дайте сигару этому джентльмену.
я правильно понимаю, что исходящий трафик не контролировался вообще никак и на выход все хлестало насквозь (включая телефоны, алисы, рекламные тракеры с андроидов и самоходные программы всех сортов) ?
если да то автору на заметку: при таких каналах методы конца 199х-нач.200х будут полезны и эффективны. также нарезка и ограничение полос пропускания с приоритезацией.
ну, строго говоря, хозяин сети (и это не я) воткнул во внутреннюю доверенную сеть алису и никого не спросил. подхватилось оно по dhcp и wi-fi, пароль от которого у хозяина тоже был.
т.о. возникшие впоследствии проблемы с инетом никто и не подумал связать с алисой.
изучать это дело - тоже муторно в данной конфигурации. потому как рабочая сеть и провайдер оборачивает все в pptp, с коими внутренностями сейчас разбираться недосуг.
сейчас ей зафиксировал ip по маку. и теперь можно и трафик резать и все прочее. но пока, вроде, норм. на инет перестали жаловаться.
Это вы ей ещё не пробовали обрезать dns-ответы на всякие clck.yandex.ru и прочие мутные поддомены. В этом случае она начинает ддосить dns, не может поверить что такого домена ей не дадут. Может, правда, и пофиксили уже, но пару лет назад столкнулся с таким отсутствием самой минимальной обработки исключений кроме "повторять до посинения"
ддосить dns, не может поверить что такого домена ей не дадут.
дадут ! ответ будет "127.0.0.1" - жрите не обляпайтесь. да, DoH и DoT придется обрезать.
Да, под "не дадут" имелось в виду как раз 127.0.0.1 или 0.0.0.0. Для неё это что-то невероятное, походу.
https://en.wikipedia.org/wiki/IPv4_address#Special-use_addresses есть еще много интересных немаршрутизируемых адресов IPv4, о некоторых я сам узнал недавно. уверен на 90% - что-то можно ей подобрать чтобы заткнулась. кстати, IPv6 тоже придется обрезать (есть конспирология о том, что IPv6 внедряется в т.ч. для неконтролируемой связи вещей с производителем в рамках IoT).
да, я тоже считаю это какой-то баг, а не целенаправленная вредительская деятельность. возможно, какая-то старая прошивка, потому как стараются продать, прежде всего, хлам.
как бы, опрос ресурсов в инете - это обычная тема. просто не надо делать это слишком часто😄
Было это где-то между 98 и 2000 годом. Делали мы банк-клиента. Он должен был по pop3 лезть в почту, выгребать письма с определенным заголовком, проверять эп в аттаче и как-то там реагировать. Ну, частоту проверки задали настройкой в файле.
И вот, тестер, который готовил релиз, посчитал хорошей идеей занулить все настройки для релиза. Ну и начал тестировать, что получилось, на mail.ru. А у тех в то время еще не было кластеров и балансировки. Короче, звонят из mail.ru на контору через 5 минут (вычислили по домену, с которого идут запросы) и жалобно просят прекратить сие безобразие, потому как нагнулся сервис авторизации на сайте, который как-то был связан с почтовым сервисом (их сайт- это просто морда к почтовому сервису).
Но так мы это на тесте поймали. А вот друзья из яндекса безответственно относятся к своим игрушкам.
Нужно изучать размер блока данных icmp пакетов и их содержимое. Может что ещё веселое всплывет.
"Надо сказать", "надо отметить" - от этих выражений рябит в глазах. Вы бы перечитали хоть текст перед публикацией. Без обид)
@supermaxus - спасибо за направление мысли. У меня наблюдается странное: необъяснимые торможения загрузки страниц на смартфоне, находящемся в одной Wi-Fi-сети с Алисой. Теперь есть повод копнуть поглубже, покурить логи, понюхать дампы :):):).
4G-модем (теле2, качество приема "5") > старый, но проверенный рутер TP-Link с OpenWRT > Алиса (по вайфаю).
Других потребителей нет, поэтому мне странно, что Алисе (даже не в музыкальном режиме) и смартфону не хватает канала 4G на двоих.
Автору бы поменять свое китайское чудо на другое френдли-фейс недорогое чудо типо 'кинетик'..... младшие модели все такие же дешевые.
Ответ на свой вопрос он бы получил в вебморде, нажав всего одну ссылку) время-деньги.
Или микротик, чтоб уж наверняка.
Младшие модели - жуткие тормоза. Воткнул usb диск в свежий keenetic extra, чтобы туда писала камера, а с диска выгружал данные во вне. Загрузка CPU - 100%, скорость передачи 2-5 мбит.. Заменил роутер на Гигу и все полетело.
нужен vpn роутер (vpn server). порекомендуете за вменяемые деньги?
стоит TL-ER6120. в принципе, справляется. из минусов - ниче не видно, что на wan творится, все сам.
При чём здесь хаб Хабр?
Ну с Алисой вообще чудеса творятся в плане запросов. У меня дома ЭдгурдХом, так вот Алиса - самый частый клиент по долбежке наружу, причём дома не одна колонка Яндекс, но именно версия Макс почему то безостановочно долбится. Причём большинство запросов блокировано списками
алиса тр какого поколения ? mini ?
У меня их 3 в сети..
Одна "Мини с часами", и 2 "Миди"..
И все таким занимаются.
Писал в тех.поддержку Яндексу.. Прикладывал дампы пакетов..
В ответ:
"Мы уже передали информацию техническим специалистам. Они возьмут её на заметку, когда будут работать над обновлениями."
в роутере видна как yandex-mini2. саму алису не ковырял, не знаю. вероятно, что-то дешевое
Хорошая идея запретить им пинги.
На сколько я понимаю, от моих Алис пинги тоже никуда не доходят..
Роутер детектирует их, и блокирует.
При этом никаких проблем в работе не наблюдается..
Тех.поддержка Яндекса отвечает отписками.
А что конкретно пингуется, не посмотреть?
во-во, оно.
проблем не наблюдается - это потому, что у вас, видимо, пров не по vpn подключен. просто какой-нить динамический адрес с dhcp.
в моем роутере, видимо, ошибка в ПО. он банит vpn провайдера, а не адрес спаммера.
Возможно, у вас другой тип роутера или иная прошивка.
кроме того, лог загаживается конкретно.
Надо отметить, что icmp-пакеты (генерируемые командой ping) - это приоритетные для роутера задачи. Т.е. пока он их не отработает, никакие другие пакеты он обрабатывать не будет. - - Шта??
А нельзя было сразу дамп снять и посмотреть что происходит?
Сетевой тролль по имени яндекс-алиса