DIR-300: PING-FLOODING flooding attack from WAN detected (reposted)

(English version is here)

Наконец-то методом научного тыка удалось выяснить, чем были вызваны перебои в Интернет-соединении.
Оказывается маршрутизатор D-Link DIR-300/NRU (Hardware Version : B1 / Firmware Version : 2.04), купленный недавно для обеспечения доступа в Интернет нескольких компьютеров по одному витому каналу, не дружит с torrent-клиентами такими как µTorrent - именно после отключения последнего и пропал эффект PING-FLOODING from WAN.
Даже если ваш провайдер не xmapa.net, вам могут пригодиться испробованные рецепты.

Началось всё с эпизодических падений скорости, вплоть до полной потери Интернет-соединения, а в тяжелых случаях дело доходило даже до коматозного состояния маршрутизатора - он не отвечал на запросы и вёл себя крайне неприступно.
При этом в логах фигурировали интригующие надписи типа
Sep 4 16:16:08 PING-FLOODING flooding attack from WAN (ip:99.102.31.57) detected.
Sep 4 16:16:02 PING-FLOODING flooding attack from WAN (ip:109.197.152.13) detected.
Sep 4 16:15:59 PING-FLOODING flooding attack from WAN (ip:182.178.126.23) detected.


Взглянув на этот беспредел, я было подумал, что какие-то хакеры-самоучки посчитали наш IP-адрес и оттачивают на нём злобные утилиты. После сего светопредставления я стал отключать запыхавшийся маршрутизатор на ночь в надежде, что DHCP-сервер провайдера на следующий день выдаст мне новёхонький и никем не запятнаный IP-адресочек.
Но хакеры оказались не лыком шиты, и на следующий дверь они долбились с теми же стенаниями.

При этом вытаскивание Интернет-кабеля из устройства бодро возвращало маршрутизатор в привычное состояние. На основании этого был сделан вывод, что проблема всё же внешняя, а значит, решение и следует искать вовне.

Из найденых Интернет-советов были опробованы следующие:ч

1. Отключить ответ на внешние PING-запросы - галочка "Enable WAN Ping Response" должна быть убрана. Изначально эта галочка и так убрана. Бестолковый совет.
   
2. Запретить входящие ICMP-пакеты в настройках Firewall на маршрутизаторе. Запрет не возымел сколь-нибудь заметного эффекта.
   
3. Отключить запись событий Firewall в лог - мол, именно записью (на встроенную дискету, что ли?) и вызваны тормоза. Признаться, я сначала таки повёлся на этот совет, хотя здравый смысл мне и должен был подсказать, что запись с периодичностью 3 секунды (или реже, как правило) не может так тормозить всё функционирование маршрутизатора. Действительно отключение протоколирования событий Firewall & Security не оказало волшебного эффекта.

Не было опробовано:

1. Обновить прошивку маршрутизатора на новую или нестандартную (напр., DD-WRT). По отзывам некоторых естествоиспытателей это не оказало нужного эффект, зато предоставило возможность лишиться гарантии или вывести устройство из строя.

После вечерней пробежки у меня прям-таки случилось озарение - быть может, на каком-то из компьютеров в квартире работает программа (или вирус), которая и выставляет IP-адрес на всеобщее обозрение в каком-нибудь злачном месте. Как ни странно, программа обнаружилась - это оказался известный клиент µTorrent, после отключения которого тормозной эффект сошёл на нет, и спам на тему PING-FLOODING в логе почти прекратился (видимо, некоторые заморские торрент-коллеги адресок ещё хранят наш IP-адресок в сухом прохладном месте).

На текущий момент скорость, согласно замерам через speedtest.net, находится в пределах нормы для тарифа Хит 5NEW (5 Мбит/с зарубеж и 100 Мбит/с UA-IX) для маршрутизатора в режиме 11g:

Теперь вопрос стоит так: как же подружить D-Link DIR-300 и µTorrent?

Ссылки почти в тему:

• Официальный форум сети XMAPA.NET: Техническая поддержка
  
• Народные отзывы: Роутер D-Link DIR-300/NRU, Беспроводной маршрутизатор D-Link DIR-300
  
• Добавляем вторую антенну в D-Link DIR-300
  
• ftp://ftp.dlink.ru/pub/Router/DIR-300_NRU/Firmware/ (официальные версии прошивок)
• DIR-300 = Замена DWL-2100 = Прошивка DD-WRT (о пользе использования неофициальных прошивок для расширения кругозора ;)

---

I see many people come to this page from abroad with special search requests, so I guess they are looking for certain information. Below is the result of my investigations of the specific problem with the router D-Link DIR-300/NRU.

After using the device for a couple of weeks I've notice periodic drops in the Internet traffic speed, which were sometimes accompanied with the hang of the router - it behaved as unresponsive, so I wasn't able to log into its administrative Web-pages. This was completely unacceptable!

The log of the router contained a lot of records (with interval of 10-20 seconds) like "Sep 4 16:16:08 PING-FLOODING flooding attack from WAN (ip:XX.XX.XX.XX) detected". Unplugging the cable of the Internet provider immediately turned the device into the sane state, so the issue was related to the outer world.

I've tried several tricks, which I had found in Internet, including:

• disabling the responding to ping requests from WAN - this advice is inadequate, because this option is disabled in the device by default;
• disabling logging Firewall and Security events, which were supposed to overload the router's CPU - this tunning didn't cause any noticeable effects;
• disabling incoming ICMP requests from WAN - this step didn't solve the problem as well.

After all some evening an idea came into my mind: what if some program or a virus is running on one of computers in the internal Wi-Fi network, which is intentionally exposing IP-address to the outer world, so it is being abused by aliens?

I checked all notebooks, and found µTorrent running on one of them. After this program was shut down and kept off, the problem faded away. So I made the conclusion that some torrent-clients may not function well with DIR-300 /NRU.

And now the question is how to establish the friendship between D-Link DIR-300 and µTorrent? :)

 WebStory: Let's Blog on Twitter!