|
[MOD] FreshTomato-ARM
|
| Ampersand |
Dodano 12-10-2019 13:44
|
User
Posty: 191
Dołączył: 08/05/2013 13:21
|
Cytat Ampersand napisał(a):
Cytat qwerty321 napisał(a):
A weź tak dla kawału poklikaj w ikonkę włączania wifi tak przez minutę żeby rozłączać wifi między tym ajfonem i routerem.... Tak z ciekawości.
Jutro zrobię test bo dziś poza domem.
Nic się nie dzieje złego z R7000 i moim ipad2. Testowałem to co pisałeś z DHCP.
Netgear R7000: FreshTomato 2023.4 AIO-64K
Linksys E4200: FreshTomato 2023.2 MIPSR2 K26 USB Mega-VPN
Linksys E2000: FreshTomato 2023.2-Max
Asus TUF AX3000v2: ...
|
| |
|
|
| qwerty321 |
Dodano 12-10-2019 15:34
|
Super User
Posty: 571
Dołączył: 27/04/2014 18:11
|
Adblock włączony na maxa, wszystkie listy? Jaki jest IOS w tym iPadzie? Ale w tamtej mojej lokalizacji inne iPady i iPhony działają za wyjątkiem 3 urządzeń, które jak napisałem ubijają router natychmiast. I ubijają R7000 i N18U.
To może być celowy exploit, który się przypadkiem ujawnił. Znając zachowanie routera po takim kraszu można wywołać go na zawołanie. Te Pegasusy tylko na to czekają.
Ja nie jestem odosobniony z takimi objawami.
Połączony z 12 październik 2019 15:54:53:
No i to się dzieje przez LAN kablem jak nowe urządzenie pojawia się w innym AP i pobiera adres IP przez przewody. Tyle z tym walczyłem, bo myślałem, że to winne radio ale teraz oba radia w R7000 wyłączone.
Wyłączę Adblock i natychmiast problem znika.
Połączony z 12 październik 2019 17:27:24:
Jeszcze ktoś zwrócił uwagę, że niektóre ajfony mogą retransmitować zapytanie dns jeżeli dostają 0.0.0.0 albo 127.0.0.1 w odpowiedzi i robią to floodując router. Teoria ma sens.
Edytowany przez qwerty321 dnia 12-10-2019 17:27
|
| |
|
|
| Marco76 |
Dodano 12-10-2019 17:52
|
Super User
Posty: 433
Dołączył: 08/03/2007 19:47
|
Cytat qwerty321 napisał(a):
[...]
błąd jest ale uśpiony
[...]
To może być celowy exploit, który się przypadkiem ujawnił.
[...]
Te Pegasusy tylko na to czekają.
Ja nie jestem odosobniony z takimi objawami.
[...]
Myślę, że powinieneś wziąć lodowaty prysznic.
Fajnie, że szukasz błędu, testujesz, ale trochę za dużo emocji temu towarzyszy. Pomijam już śmiecenie post pod postem. Szanuj ludzi którzy będą to potem czytać.
A te stwierdzenia, że Tomato do dupy jest, że to już koniec Tomato ARM to już w ogóle bez komentarza.
Adblock nie jest programem łączącym się z radiem, NSA ani z kernelem. To zwykły skrypt tekstowy automatyzujący pobieranie list "złych" hostów i podczepiający te adresy pod dnsmasq. Jest nawet w GUI ostrzeżenie przy bazach zawierających bardzo duże pliki list proszące o ostrożność. Jeżeli gdzieś Adblock może spowodować problemy to właśnie w miejscu bezsensownego załadowania wszystkich list hostów jakie tylko istnieją.
Z listingu jaki wrzuciłeś wynika, ze japka bombardują DHCP. Gdy podobny problem gryzł soft od Merlina wtedy ktoś podał jako możliwą przyczynę zamknięty port i jako rozwiązanie do przetestowania zalecał otwarcie go:
iptables -I INPUT -p udp --dport 68 -j ACCEPT
Edytowany przez Marco76 dnia 12-10-2019 17:58
[small] Pozdrawiam, Monter
Asus RT-N18 + FreshTomato 2019.3 K26ARM USB AIO-64K-NOSMP + ILHM v2
HTPC Chieftec FLYER FI-02BC-U3 + GA-H61N-USB3 + i3-3225 + 4GB RAM + LibreELEC + Xbox DVD Remot |
| |
|
|
| qwerty321 |
Dodano 12-10-2019 18:06
|
Super User
Posty: 571
Dołączył: 27/04/2014 18:11
|
Ty chyba nie zrozumiałeś jak może działać exploit :-)
A teraz jesteś mądry jak już wiesz, że robi to najprawdopodobniej floodowanie routera przez iphona :-)
Połączony z 12 październik 2019 18:14:41:
Ale ten sam flood może być wywoływany celowo przez każde inne zawirusowane urządzenie i wywalać router, spowodować to że procesor skoczy pod jakiś adres w pamięci gdzie wcześniej będzie załadowany exploit. A załadować go bardzo prosto, najpierw odczytać plik czy pustą stronę i następnie zrobić flood żeby zmusić router do zmiany adresu wykonywania rozkazów.
To jest wielka potencjalna dziura.
Edytowany przez qwerty321 dnia 12-10-2019 18:14
|
| |
|
|
| pedro |
Dodano 12-10-2019 19:03
|
Moderator
Posty: 989
Dołączył: 21/09/2015 15:03
|
Zdaje się, że w następnym wydaniu FT zostawię tylko pierwszych 7 list w adblocku z adnotacją, że przy dodawaniu następnych należy liczyć się z niestabilnością routera, etc i że przed zgłaszaniem ew. bugów trzeba zostawić tylko max 7. I tyle...
Przecież w większości, to są urządzonka low/mid-end które nie radzą sobie z taką wielgachną black-listą...
Ale z drugiej strony, muszę się zastanowić jak i czy warto parser list przeportować na C i czy ma to sens.
Nie pomoże to w w/w przypadkach, ale zawsze warto zaoszczędzić trochę zasobów...
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
|
| |
|
|
| qwerty321 |
Dodano 12-10-2019 19:19
|
Super User
Posty: 571
Dołączył: 27/04/2014 18:11
|
Ale zwróć uwagę, że sam flood zabija router. Jeżeli baza jest posortowana to metodą bisekcji w pięciu krokach odnajdziesz każdy element z listy nawet jakby miała i milion rekordów. Ważne jest wstępne posortowanie przy ściąganiu hostów. Ramu jest dosyć, bo 200MB wolnego. Na Jednej liście też się zawiesza na tym ajfonie. Problemem jest nie wielkość bazy hostów. Sam adblock daje się jakoś floodować bez względu na wielkość bazy. Nie masz takiego ajfona ale zrób skrypt na linuxie. Każdy ko będzie chciał wywalić router zrobi to prawdopodobnie skanerem portów/hostów byle bez czekania słać zapytania.
99% routerów z mniejszym ramem np 3500Lv2 super działa ze wszystkimi listami adblocka. A jak nie użyjesz ich wszystkich to na YouTube otwierają się reklamy. Od razu widać i czuć jak jedna z dwóch dużych list nie załaduje się.
Tylko opanować ten flood jakoś i będzie dobrze.
Weź mi wyjaśnij. Ten skrypt co robi? On tylko pobiera listy z hostów i je sortuje i dodaje do /etc/hosts, dobrze mówię?
Jeżeli skrypt robi tyle to on winny nie jest. To system daje się floodować.
Edytowany przez qwerty321 dnia 12-10-2019 19:27
|
| |
|
|
| roger7 |
Dodano 12-10-2019 19:56
|
User
Posty: 14
Dołączył: 05/03/2016 23:57
|
Cytat qwerty321 napisał(a):
Ale zwróć uwagę, że sam flood zabija router. Jeżeli baza jest posortowana to metodą bisekcji w pięciu krokach odnajdziesz każdy element z listy nawet jakby miała i milion rekordów. Ważne jest wstępne posortowanie przy ściąganiu hostów.
Jeśli pisząc "metodą bisekcji" masz na myśli wyszukiwanie binarne, to ilość kroków jest proporcjonalna do ilości elementów na posortowanej liście.
Maksymalna ilość kroków to log2(długość listy), czyli dla miliona to około 20. |
| |
|
|
| qwerty321 |
Dodano 12-10-2019 20:32
|
Super User
Posty: 571
Dołączył: 27/04/2014 18:11
|
Masz rację log2 ale to nie zmienia faktu braku zabezpieczeń od floodu. I to raczej ten skrypt nie robi. Jak rozumiem to skrypt buduje /etc/hosts, wstępnie sortując adresy i dalej system wybiera sobie z niego wpisy.
Nie wiem jaki jest mechanizm przeciwdziałania floodowi DNS requestów?
Kiedyś za czasów Windows95/98 były takie programiki jak OOB czy podobne zabijające windowsa zdalnie, jednym kliknięciem :-) Tak się zawieszał, że nawet mysz stawała w miejscu.
Kto to pamięta? :-) To się też nazywało WinNuke :-)
[url]
https://insecure.org/sploits/windows.OOB.DOS.html
[/url]
Połączony z 12 październik 2019 21:07:28:
Cytat qwerty321 napisał(a):
Masz rację log2 ale to nie zmienia faktu braku zabezpieczeń od floodu. I to raczej ten skrypt nie robi. Jak rozumiem to skrypt buduje /etc/hosts, wstępnie sortując adresy i dalej system wybiera sobie z niego wpisy.
Nie wiem jaki jest mechanizm przeciwdziałania floodowi DNS requestów?
Kiedyś za czasów Windows95/98 były takie programiki jak OOB czy podobne zabijające windowsa zdalnie, jednym kliknięciem :-) Tak się zawieszał, że nawet mysz stawała w miejscu.
Kto to pamięta? :-) To się też nazywało WinNuke :-)
[url]
https://insecure.org/sploits/windows.OOB.DOS.html
[/url]
Patrzę i ten skrypt w Tomato buduje plik
FINAL="/etc/dnsmasq.adblock"
I na tym rola skryptu się kończy. Skrypt działa dobrze. Ten dnsmasq korzysta z tego pliku /etc/dnsmasq.adblock i to dnsmasq się wywraca. Może ktoś wie kto go pisze i gdzie jest strona projektu? Tam trzeba zapytać czemu flood na dnsmasq powoduje taka katastrofę i czy nie można czegoś z tym zrobić. Tylko oni wiedzą jak to działa.
Edytowany przez qwerty321 dnia 12-10-2019 21:07
|
| |
|
|
| Marco76 |
Dodano 12-10-2019 22:11
|
Super User
Posty: 433
Dołączył: 08/03/2007 19:47
|
Moim zdaniem nie ma sensu pytać, bo to pytanie z cyklu "dlaczego wiadro jest okrągłe".
Pomyśl: mały routerek, relatywnie słaby grzejący się procesorek i wielka lista adblock.
Z ciekawości: zaznaczyłem pierwsze 6 pozycji oraz dodałem ulubioną niezbyt wielką listę od PiHole. Plik wyniikowy ma rozmiar ponad 2,5 MB oraz 60 tysięcy linii. UPS...
Teraz każde zapytanie wysłane w świat musi przez tą listę przebrnąć czy akurat danego adresu na tejże liście nie ma.
Jak na to nałożysz bombardowanie DHCP przez japko to masz gotowy przepis na Twoją ulubioną "katastrofę".
Tyle, aż tyle i tylko tyle.
Jak Ci się marzy router z prawdziwego zdarzenia jaki obsłuży wszystkie listy, masę dodatkowych usług oraz masę urządzeń naraz z wysoką wydajnością to musisz postawić customa a w nim jakieś i5, a najlepiej i7 Intela i dobrze to schłodzić (patrz maszynki dedykowane np. pod pFsense).
Nie twierdzę, że nie da się tego w końcu jakoś zoptymalizować w Tomato lub przyblokować flooda, ale to będzie pewnie tylko półśrodek. Ograniczeń wydajności nie oszukasz.
[small] Pozdrawiam, Monter
Asus RT-N18 + FreshTomato 2019.3 K26ARM USB AIO-64K-NOSMP + ILHM v2
HTPC Chieftec FLYER FI-02BC-U3 + GA-H61N-USB3 + i3-3225 + 4GB RAM + LibreELEC + Xbox DVD Remot |
| |
|
|
| qwerty321 |
Dodano 12-10-2019 23:06
|
Super User
Posty: 571
Dołączył: 27/04/2014 18:11
|
Cytat Marco76 napisał(a):
Moim zdaniem nie ma sensu pytać, bo to pytanie z cyklu "dlaczego wiadro jest okrągłe".
Pomyśl: mały routerek, relatywnie słaby grzejący się procesorek i wielka lista adblock.
To nie prawda. To nie jest aż taka wielka sprawa ani wysiłek. Katastrofa następuje przez najprawdopodobniej drobny bug w dnsmasq czy czymkolwiek co te pakiety przyjmuje i nie sprawdza czy mu się ram nie kończy. To jest podejrzewam drobiazg. Nawet 200k rekordów to nie żadna sprawa. Klient pyta raz na kilka sekund najwyżej, okienka reklamowe pytają przy okazji ale to są ilości kilku, kilkunastu zapytań naraz.
A po drugie to jest dziura bezpieczeństwa. |
| |
|
|
| pedro |
Dodano 13-10-2019 11:11
|
Moderator
Posty: 989
Dołączył: 21/09/2015 15:03
|
No to pytaj: http://www.thekelleys.org.uk/dnsmasq/...q/doc.html
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
|
| |
|
|
| marolman |
Dodano 13-10-2019 12:17
|
User
Posty: 106
Dołączył: 07/04/2009 10:03
|
ASUS RT-AC3200
Wgrywam zgodnie z poniższym poradnikiem
https://www.youtube.com/watch?v=zshrBbkVW5s&vl=pl
1. Wgrałem najnowszy FW asus
2. Wgrałem freshtomato-RT-AC3200-ARM-2019.2-AIO-128K.trx
Router wstał, świecą diody: zasilania, wifi 5, 2 oraz połączenie LAN.
W przeglądarce nie mogę połączyć się z routerem. Co robię nie tak?
Zmieniłem przeglądarkę i połączyłem się. Czy adblock może blokować połączenie?
Czy po wgraniu tomato mam czyścić pamieć nviram, jeśli tak to w jakiej zakładce to było?
Edytowany przez marolman dnia 13-10-2019 12:23
..::Linksys WRT54GL::..
..::Ovsilink WL-1600GL::..
..::D-Link DIR-320::.. |
| |
|
|
| pedro |
Dodano 13-10-2019 13:30
|
Moderator
Posty: 989
Dołączył: 21/09/2015 15:03
|
Tak, trzeba: Administration -> Configuration -> Restore Default Configuration -> Erase all data in NVRAM memory (thorough)
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
|
| |
|
|
| marolman |
Dodano 13-10-2019 15:19
|
User
Posty: 106
Dołączył: 07/04/2009 10:03
|
Czy w ustawieniach jest język pl?
Jeśli można zapytać czy różni się wersja 64 od 128?
Po wygraniu wersji 64 router nie wstawał po wgraniu 128 działa.
Nie wiedziałem co wgrać, moze ktos napisac czym to sie różni.
Jaka jest różnica między fw mips a aio?
freshtomato-RT-AC3200-ARM-2019.2-AIO-128K.trx
Wrzuciłem ten FW czy na nim będzie chodził modem Huawei E3372s-153 non-hilink?
..::Linksys WRT54GL::..
..::Ovsilink WL-1600GL::..
..::D-Link DIR-320::.. |
| |
|
|
| pedro |
Dodano 13-10-2019 16:01
|
Moderator
Posty: 989
Dołączył: 21/09/2015 15:03
|
Tomato i FreshTomato nie są zlokalizowane.
64/128kB to wielkość nvramu - jak wgrywałeś złą, to oczywiste że nie wstawał.
MIPS i AIO? Chyba VPN i AIO? Wgrywaj AIO na ten router, a różnią się one ilością zainstalowanych paczek, czytaj - funkcjonalnością.
Będzie, wybierz 4G/LTE w WAN, a potem według potrzeby/możliwości.
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
|
| |
|
|
| qwerty321 |
Dodano 13-10-2019 16:09
|
Super User
Posty: 571
Dołączył: 27/04/2014 18:11
|
A czy masz z nim jakiąś bardziej zażyłą znajomość? Może mu wyjaśnisz albo skierujesz tam na forum? Tak z maila to może ode mnie w ogóle nie odczytać. Lepiej żeby poprosić go o jakąś wypowiedź na forum, zważywszy że Ty czy Kille już naprawialiście z nim buga związanego z parsowaniem znaków niedozwolonych w domenach.
Ja chętnie z nim pogadam tylko nie wiem jak zacząć :-)
Połączony z 13 październik 2019 16:47:07:
On jako autor tego softu doskonale będzie wiedział co zrobić skoro on to pisze sam. Dostanie temat floodu i wywałki programu to zaraz na coś wpadnie, a ja przetestuję builda, bo mam akurat winnych pod ręką.
Połączony z 13 październik 2019 17:08:53:
Kiedyś był eksperyment z PL i dobrze, że już się nie powtórzy :-) Nie dało się tego czytać :-) A jak poszukasz coś w necie jak nie będziesz wiedział co wpisać w wyszukiwarkę? Przecież po Polsku nic nie znajdzie. Wszystkie fora techniczne są anglojęzyczne.
Edytowany przez qwerty321 dnia 13-10-2019 17:08
|
| |
|
|
| Marco76 |
Dodano 13-10-2019 17:28
|
Super User
Posty: 433
Dołączył: 08/03/2007 19:47
|
Cytat qwerty321 napisał(a):
Może mu wyjaśnisz albo skierujesz tam na forum? Tak z maila to może ode mnie w ogóle nie odczytać.
:-D
Klasyka z cyklu "niech ktoś..." (zrobi za mnie).
Normalnie:
- exploity
- uśpione kody
- przypadkowe ujawnienia
- silne objawy
- pegasusy
I to wszystko w 10-20 wiadomościach pod rząd tak co 20-30 minut. Się przestraszą i naprawią.
A tak serio - po prostu napisz. Ty najlepiej wiesz jak to powinno działać.
Edytowany przez Marco76 dnia 13-10-2019 17:33
[small] Pozdrawiam, Monter
Asus RT-N18 + FreshTomato 2019.3 K26ARM USB AIO-64K-NOSMP + ILHM v2
HTPC Chieftec FLYER FI-02BC-U3 + GA-H61N-USB3 + i3-3225 + 4GB RAM + LibreELEC + Xbox DVD Remot |
| |
|
|
| pedro |
Dodano 13-10-2019 17:30
|
Moderator
Posty: 989
Dołączył: 21/09/2015 15:03
|
Błąd (jeśli to można tak ująć) był w parserze bash napisanym przez @shibby, dnsmasq nic do tego nie miał.
Pisz do niego na mailing list, od tego jest, niech się chłop wykaże 
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
|
| |
|
|
| Nagash |
Dodano 13-10-2019 19:41
|
User
Posty: 2
Dołączył: 01/10/2012 09:17
|
Jestem użytkownikiem Tomato (by shibby i teraz FreshTomato) i forum od wielu lat, ale to mój pierwszy post.
Od dwóch dni walczę z FreshTomato 2019.3.220.
Router: RT-AC3200 H/W Ver. R2.35
Tomato: freshtomato-RT-AC3200-ARM-2019.3.220-beta-AIO-128K
Wygląda na to, ze za każdym razem, gdy ustawiam OpenVPN Server router resetuje się do ustawień fabrycznych.
Nie miałem podobnego problemu z poprzednimi wersjami. (2019.2 i 2019.3.118)
Czy ktoś spotkał się z podobnym zachowaniem routera i/lub ma jakiś pomysł na poprawę stanu rzeczy?
Z góry dziękuję. |
| |
|
|
| pedro |
Dodano 13-10-2019 21:56
|
Moderator
Posty: 989
Dołączył: 21/09/2015 15:03
|
Nvram czyszczony po wgraniu FW (thorough)?
Ja mam AC3200 i nie mam najmniejszych problemów.
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
|
| |
|
' target='_blank'>Link
