2024. május 24., péntek

Gyorskeresés

Így jártam egy DOCSIS ISP-vel

Írta: | Kulcsszavak: ARP . router . otthoni hálózat . rant

[ ÚJ BEJEGYZÉS ]

Sokat nem értek a hálózatokhoz, nem is nagyon foglalkozom velük, viszont azt el szoktam várni, hogy az otthoni hálózat stabil legyen. Egészen sokáig csak a telekom VDSL és optikával volt tapasztalatom. Előbbinek voltak hátrányai, de működött, ahogy kellett. Az utóbbi pedig az abszolút etalon eddig számomra. Sokak a PPPoE-t említik meg itt is gyenge pontként, de nekem azzal sincs különösebb problémám. Az a kevés elveszett MTU zavar ugyan, illetve a 7 naponta reconnect, de ezzel egész jól együtt lehet élni.

Azonban nemrég átkényszerültem a DOCSIS hálózatok minden előnyeire és hátrányaira (bár inkább az utóbbira). Kezdve azzal, hogy közel fél évig nem volt internet, mivel a szolgáltató nem volt képes megtalálni az alacsony jelszint okát. Bár ez a történet is megérne egy misét, ezen írásnak nem célja a panaszkodás, így ez most nem kerül kifejtésre. Ugyanezen okból kifolyólag nem tervezem megnevezni a szolgáltatót sem.

A kezdeti viszontagságok ellenére úgy tűnt, végre stabilizálódott az internet, mióta megcsinálták rendesen, nincsenek jelszint gondok sem. Az egyetlen gyakran tapasztalt jelenség a szolgáltatói DNS szerver elérhetetlensége volt. Ilyenkor egyszerűen nem lehetett megnyitni a weboldalakat, csak IP címekkel rákeresve, vagy kliens oldalt beállított egyedi DNS beállításokkal. Sajnos a gyárilag szolgáltatott HGW egyedi DNS szerver beállítását nem támogatja, így be kellett ruháznom egy saját routerre, majd a szolgáltatói router bridge módban továbbra is remekül tette a dolgát. Igaz, hogy így az IPv6 címről le kellett mondjak, mivel CGNAT mellett tudnak csak IPv6-ot is adni, ami kizárólag a saját eszközükkel működik. De IPv4-en remekül teljesít a hálózat és stabilan hozza az elvárt sebességet.

Azonban a bekötés után nem sokkal feltűnt, hogy az általam vásárolt router wan portján a státuszjelző LED folyamatosan hevesen villog. Nyilván ez azt jelzi, hogy forgalom van a routerem és a szolgáltatói HGW között. Igen ám, de ekkor még nem volt egyetlen kliens sem a hálózatomon és PPPoE alatt az volt számomra a megszokott, hogy csak ténylegesen indokolt esetben látom villogni ezt az indikátort.

Egy kis fejvakarást követően indítottam egy tcpdumpot a routerről, hogy lássam, pontosan milyen forgalomról lehet szó. Kb 1 percig hagytam futni a tcpdumpot és az alatt 3000+ ARP kérést fogadott az eszköz.

Hogy mi az az ARP? Vélhetően a wikipédia jobban el tudja magyarázni, mint én, de én úgy értettem meg, hogy valahányszor egy gép egy adott hálózatban szeretne elérni egy másik gépet az IP címe alapján és még nem tudja, mi az adott gép MAC címe, akkor küld egy ilyen ARP kérést, hogy "ki rendelkezik ezzel az iP címmel?". Ezt a hálózat összes gépe megkapja és a megcélzott IP-jű gép válaszolhat a feladónak, hogy az én MAC címem az XY. És ezzel A MAC címmel már létrejöhet a kapcsolat a két gép között.

Jobban átnézve a logokat feltűnt, hogy az összes ARP kérés egy bizonyos MAC címről érkezett, ami a CMTS hosztnévre hallgat. Ha jól értem, akkor ebben a felállásban a CMTS jelenti a szolgáltatói eszközt, ahova a kliensek be vannak kötve, mi kliensek pedig a CM névre hallgatunk.

Nos ez tiszta, de a mai napig nem sikerült megértenem, hogy pontosan mi szükség van az ARP-ra ebben a felállásban. Azt még érteném, hogy az én HGW-m a hálózatra rákötve nem fogja tudni, hogy hol keresse ezt a CMTS-t ARP nélkül, azonban a CMTS minek kérdezget mindenkit folyamatosan. Eleve úgy indul az átlag user HGW-je, hogy indít egy DHCP klienst és kér egy IP-t a CMTS-től. Így a CMTS pontosan tudni fogja, hogy melyik MAC addressnek milyen IP címet adott. Minek ARP-pal kérdezgetni a klienseket?

No mindegy, úgy voltam vele, hogy idegesít a tény, hogy a routerem "felesleges" ARP üzenetek fogadásával tölti az idejét, nálam okosabbak tanácsára ignoráltam a jelenséget, mivel állítólag ez normális jelenség DOCSIS hálózatokon. Ettől függetlenül egyszer érdekelne egy értelmes magyarázat, hogy ne legyek vakon. Biztos van valami oka.

Ezt tehát leszámítva egy teljes éven át remekül működött a szolgáltatás, soha nem volt vele gond és plusz pontként a külső IP címem sem változott egészen addig, míg nem voltak hosszabb áramszünetek és kiosztották másnak.

Azonban úgy két hónapja egy érdekes új jelenségre lettem figyelmes. Az internet egyik pillanatról a másikra, eltérő időközönként megszűnt működni. Pedig a szolgáltatói router és az én routerem is azt jelezte, hogy a kapcsolat ki van épülve, a DCHP-n kapott IP pedig messze volt még a lejárattól.

Feltűnt, hogy ilyen esetekben a szolgáltatói HGW-re másik routert/PC-t kötve az rendben kapott IP címet és tudta böngészni az internetet. Kizárólag az állandóra bekötött routerrel voltak gondok. A DHCP-re kezdtem gyanakodni, így eldobattam a jelenlegi IP címet amit a CMTS pár napja kiosztott nekem és láss csodát, valóban új IP címet kaptam utána. Ilyen csak áramszünetkor állt fenn normális körülmények között, amúgy mindig a régi IP címem kaptam meg ismét pár napra.

Elkezdtem gondolkodni, hogy ez mégis hogy lehetséges. Két esetet találtam elképzelhetőnek. Az egyik, hogy a szolgáltató indítja újra a CMTS-t, ami az IP cím listákat elveszti a gyorsítótárából, ha újraindítják. Azt pedig korábban észrevettem, hogyha a DHCP szerver nem osztja ki az adott MAC cím számára az adott IP címet, akkor a CMTS nem engedi tovább a forgalmat. Tehát simán lehet, hogy rebootolják a CMTS-t, az elfelejti, hogy nekem adta az XY címet és újraindulva nem fogja engedni, hogy én az XY címet használjam.

Igen ám, de ez a jelenség nem jelentkezett előtte soha. Hirtelen elkezdték buzgón frissíteni a rendszereiket?

Ekkor azt találtam ki, hogy két routert is kötök a szolgáltatói HGW-re, majd ezekről folyamatosan pingelek egy távoli szervert. Ha elmegy a kapcsolat, akkor pedig logolom, hogy ez pontosan mikor történt. Ha valóban a CMTS kerül újraindításra, akkor közel azonos időben kell, hogy mindkét routeren elszálljon az internet. Ha nem, akkor vélhetően a második elképzelésemről lehet szó. Mégpedig arról, hogy valaki szándékosan szabotálja a netezőket.

Nos az eredmény magáért beszélt. Percek teltek el, mire a másik kliens ki lett dobva.

Ezen a ponton elkezdtem gyanakodni, hogy valóban a második lehetőséggel állok szemben. Körbekérdeztem a szomszédságban, hogy én vagyok-e az egyedüli, aki hasonló jelenséget tapasztal és nem meglepő módon nem. Azonban a többi szomszéd számára az általános megoldás a HGW teljes resetelése volt ilyenkor. Ez nyilván megoldás, mivel a DHCP leaset is elfelejti az eszköz, de számomra kényelmetlen, mert HGW reset után újból be kéne állítani a bridge módot.

Ezek után átgondoltam, hogy pontosan hogyan működhet a támadás. Arról lehet szó, hogy valaki begyűjti a szomszédok MAC címeit, majd ezekkel a MAC címekkel egyesével küldenek egy DHCP release-t a CMTS felé, aki boldogan ad egy új IP címet az adott MAC cím számára. Igen ám, de a tényleges birtoklója az adott MAC címnek ezáltal ki lesz zárva az internetről, hiszen a CMTS már az új IP-t társította a MAC címhez, de a kliens oldalt kihelyezett HGW még a régi címről tud. Viszonylag egyszerű és aljas támadási módnak tűnik.

Azonban honnan szerzi meg a támadó a MAC címeket? Az ARP kérések a CMTS felől kizárólag IP címeket tartalmaznak. Ezeket logolhatja, de önmagában nem megy velük semmire... :F

És ekkor kértem meg egy szomszéd engedélyét arra, hogy megpingeljem az IP címét a routeremről. Nos egészen meglepő módon a ping sikeres volt és a router ARP táblájában megtaláltam az ő HGW-jéhez tartozó MAC címet is.

Bingó, minden adott ahhoz, hogy bárki, aki ugyanarra a CMTS-re csatlakozik ellehetetlenítse a többiek internetezését.

És ezen a ponton teljesen tanácstalan vagyok, mivel a szolgáltatónak hiába magyarázom a jelenséget, nem értik a problémát, bizonyítani a jelenség megtörténtét pedig igencsak nehéz, mivel az internet mindig más időpontokban megy el.

Egyelőre azt a félmegoldást eszeltem ki, hogy egy szkript segítségével folyamatosan pingelek egy távoli szervert, ami ha nem válaszol bizonyos mennyiségű ping kérést követően sem, azonnal cseréli a MAC címet és indít egy DHCP releaset. Nagyon nem szép megoldás, de nem láttam szebb kiutat.

Hát így sikerült tünetileg kezelni egy olyan hibát, ami hónapok óta okozott napi szintű fejfájást és aminek ilyen egyszerű magyarázat lett a vége. :DDD

Végszó:

Szeretném még egyszer hangsúlyozni, hogy az írásban szándékosan nincs megemlítve az ISP, mivel nem célom savazni a szolgáltatást. Bízom benne, hogy másoknak hasonló helyzetben támpontot adhat ezen leírás, ez minden. :)

Illetve lezárásképp egy érdekesség: 32 napja megy a router és jelenleg 152 342 664 ARP kérést fogadott a CMTS-től. Egész jól kijön a matek azzal a ~3000 ARP kéréssel per perc.

Köszönöm, hogy elolvastad!

Hozzászólások

(#1) Gyuri27


Gyuri27
félisten

Vennék egy rendes routert pl mikrotik és szépen beállítanám a tűzfalat arp-ra is.
Mert ez így nagyon nem kerek.

Amd - Radeon - Ryzen

(#2) woodworm


woodworm
veterán

Vodafone?

(#3) Mr Dini válasza Gyuri27 (#1) üzenetére


Mr Dini
addikt
LOGOUT blog (1)

Mikrotik routerem van. De a HGW, amit nem tudok lecserélni attól még forwardolja az ARP kéréseket a mikrotik felé sajnos.

[ Szerkesztve ]

Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!

(#4) Pikari


Pikari
addikt

nem értek hozzá, az nem lehet, hogy valaki bedugott egy docsis routert a kábeltv zsinórra előfizetés nélkül? olyat, ami támogatja a mac cloningot, és ezzel lopja az internetet a valódi előfizetők orra elől.

[ Szerkesztve ]

A Dunning−Kruger-hatás az a pszichológiai jelenség, amikor korlátozott tudású, kompetenciájú vagy képességű emberek rendkívül hozzáértőnek tartják magukat valamiben, amiben nyilvánvalóan nem azok.

(#5) Gyuri27 válasza Mr Dini (#3) üzenetére


Gyuri27
félisten

Az addig rendben. De te a routereden szépen ezeket eldobathatod.
Ugye az arp iphez mac címet rendel. De neked saját hálózaton kivül erre nincs szükséged és másnak sincs.
Szóval az vagy az van, hogy egy natolt (töbszörösen natolt) hálóban vagy (vagy mert nincs elég ipv4 erre utal az ipv6 is vagy a szolgáltató szarik bele jóvanazúgy) vagy a bánat tudja mit mókol a szolgáltató (vagy más)
Az biztos, hogy ezt hivják arp elárasztásnak és ez sehogy se jó.
Egyrészt feleslegesen forgalmat generál, terheli a rendszert a routert. Másrészt ne férjenek már a mac címedhez.

Amd - Radeon - Ryzen

(#6) donmackó válasza Pikari (#4) üzenetére


donmackó
őstag

Én is ilyesmire gyanakodnék. A MAC címeket meg simán össze lehet szedni akármelyik wifi scanner programmal (már amennyiben megy a wifi a szolgáltatói eszközön). :U

Release the cable hounds!

(#7) kraftxld válasza donmackó (#6) üzenetére


kraftxld
nagyúr

Wifi MAC address nem egyenlő a WAN interface-n lévő MAC-el.

| MCSE+M/S, MCITP, VCP6.5-DCV - ''Life can be hard, but Scooter is harder :)'

(#8) Mr Dini válasza Gyuri27 (#5) üzenetére


Mr Dini
addikt
LOGOUT blog (1)

Bocsi az értetlenségért, de még mindig nem teljesen értem a dolgot. A szolgáltató CMTS-e bombáz mindenkit ARP kérésekkel, hogy kié az XY WAN IP cím (hiszen ezeket a WAN IP címeket is ő osztja ki a klienseknek). Szóval ez elől nem nagyon lehet kitérni, mindenképp eljut a mikrotik routeremig a dolog. És ha épp az én MAC-emre kíváncsi a CMTS vagy bárki, akkor a routerem jelenleg válaszol. Nem tudom, hogy járna-e hátránnyal az, ha letiltanám a válaszokat, vagy csak a CMTS felé engedném őket. Feltételezem, hogy okkal spammel a CMTS mindenkit ARP kérésekkel, mert van valami gyakorlati haszna is.

Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!

(#9) Pikari válasza kraftxld (#7) üzenetére


Pikari
addikt

Megnéztem, nálam az utolsó karaktert leszámítva ugyanaz, a jó kis szolgáltatói kábelmodemen :D

A Dunning−Kruger-hatás az a pszichológiai jelenség, amikor korlátozott tudású, kompetenciájú vagy képességű emberek rendkívül hozzáértőnek tartják magukat valamiben, amiben nyilvánvalóan nem azok.

(#10) Pikari válasza Mr Dini (#8) üzenetére


Pikari
addikt

Lehet, hogy a leszakadásnak, és az arp kéréseknek nincs köze egymáshoz, de az is lehet, hogy a requesteket nem a szolgáltató küldi, csak a log alapján úgy tűnik. (továbbra sem értek hozzá).

A Dunning−Kruger-hatás az a pszichológiai jelenség, amikor korlátozott tudású, kompetenciájú vagy képességű emberek rendkívül hozzáértőnek tartják magukat valamiben, amiben nyilvánvalóan nem azok.

További hozzászólások megtekintése...
Copyright © 2000-2024 PROHARDVER Informatikai Kft.