Journal D-Link sabote les protocoles de l'Internet

Posté par .
Tags : aucun
0
10
avr.
2006
Un administrateur système danois voit son serveur NTP spammé par des requêtes illégitimes provenant de modems/routeurs D-Link (illégitimes car contrevenant clairement aux règles affichées par l'administrateur système).
D-Link refuse de prendre en compte le problème et de mettre à jour ses firmwares, coûtant ainsi des milliers de dollars à l'administrateur système par les surcoûts en bande passante occasionnés.

Open Letter to D-Link about their NTP vandalism
http://people.freebsd.org/~phk/dlink/

When Firmware Attacks! (DDoS by D-Link)
http://www.lightbluetouchpaper.org/2006/04/07/when-firmware-(...)
  • # Quelle perte de temps...

    Posté par . Évalué à 7.

    Je n'aimerais pas etre lui...

    Cette histoire est un truc de fou, les gens qui ont mis ça en
    dur dans le firmware ne sont pas dis qu'au bout d'un moment ça
    va faire tache...?

    Coder en dur une list de server NTP...dont ils ne sont même pas
    proprietaire, alors même que le banner specifie qu'aucun client
    ne doit se connecter dessus, c'est du "rien a foutre de ta gueule"...

    Et le pire c'est que tout le monde se fiche que sont modem routeur
    soit à l'heure...

    Vraiment, je plein de pauvre môsieur...

    esperons que ça se finira comme l'affaire Netgear:


    Although no-one discusses legal negotiations in public, shortly after Dave Plonka worked out what was causing the incoming traffic, Netgear spontaneously made a generous gift of $375,000 over three years “to improve wireless security on campus and to build out our campus network”.
    • [^] # DNS du ntp -> ip D-link

      Posté par . Évalué à 4.

      esperons que ça se finira comme l'affaire Netgear
      Un synflood massif sur les serveurs D-link pour les sensibilisés. Avec une petite modification dans les DNS pour renvoyer le tout chez D-Link ... Le mieux serait une police de l'internet efficace. C'est marrant, on créé une cyberpolice pour traquer des gamins de 8 ans, alors que les équipementiers réseaux ne respectent même pas les règles ...

      Je suppose que les autres serveurs ont une bande passante suffisante pour supporter la charge des clients D-Link.
      • [^] # Re: DNS du ntp -> ip D-link

        Posté par (page perso) . Évalué à 4.

        Celui là a une bande passante suffisante. C'est "juste" qu'il consomme beaucoup plus que la normale et donc il risque de se faire virer du réseau.

        pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

      • [^] # Re: DNS du ntp -> ip D-link

        Posté par . Évalué à 1.

        sauf que les gens ils sont pas bêtes, ils hardcodent l'ip, sinon ça serait trop facile.
    • [^] # Re: Quelle perte de temps...

      Posté par . Évalué à 10.

      Vraiment, je plein de pauvre môsieur...


      Merci pour lui parce qu'en ce moment, il doit plutôt être vidé ...
  • # J'espere au moins que le routeur respecte sa configuration.

    Posté par (page perso) . Évalué à 4.

    Sur mon d-link 624, j'ai configuré un serveur de temps stratum 3.
    J'espere que le routeur respecte cette configuration et ne continue pas de flooder les stratum 1.

    Mon prochian routeur sans fil ne sera surement pas un d-link.
    Deja que celui la foire souvent qu'on il y a un peu trop de débit pour lui et qu'il n'est pas capable de rediriger du flux ipv6 vers la machine DMZ ...
  • # On croit rêver

    Posté par . Évalué à 6.

    C'est ahurissant de voir que D-Link n'a même pas envisagé de demander la permission pour utiliser le serveur NTP en question!

    Et le pire, c'est que la page du gars donne clairement la solution la plus propre (l'entrée DNS, dont le changement est répercuté sur tous les clients), qui est aussi la plus triviale (c'est même plus trivial que mettre en place le hash, c'est pour dire)... A ce niveau là c'est de l'incompétence totale. Utilisez des Linksys (le firmware est GPL), des Cisco (ils savent ce qu'ils font même si c'est pas libre) ou autre mais certainement pas des guignols pareils...
  • # Mor2

    Posté par . Évalué à 7.

    Chuis sûr que Google serait ravi de monter GoogleNTP :-)
  • # Mauvais routeurs, changer routeurs ?

    Posté par . Évalué à -5.

    coûtant ainsi des milliers de dollars à l'administrateur système par les surcoûts en bande passante occasionnés.


    En même temps, à chaque fois que l'administrateur en question estime ou prévoit d'atteindre un millier de dollars, il pourrait peut-être envisager de remplacer un de ses modem-routeurs :-)
    • [^] # Re: Mauvais routeurs, changer routeurs ?

      Posté par . Évalué à 3.

      Ca changerai quoi ?
    • [^] # Re: Mauvais routeurs, changer routeurs ?

      Posté par (page perso) . Évalué à 5.

      je crois que t'as pas compris, l'administrateur qui se plaint, c'est pas a cause de ses modem-routeurs d-link, c'est a cause des modem-routeurs d-link partout dans le monde qui se connectent par defaut à son serveur ntp pour se mettre à l'heure, et qui par conséquent mangent sa bande passante, et le problème c'est que d-link ne veut pas changer le firmware de tout ces modems.
      • [^] # Re: Mauvais routeurs, changer routeurs ?

        Posté par . Évalué à 2.

        Mrrff ! >_< Okay, désolé.

        Le pire, c'est que j'avais déjà eu vent de cette histoire et je n'ai même pas fait le rapprochement. 'faut que je me couche plus tôt, moi ...
    • [^] # Re: Mauvais routeurs, changer routeurs ?

      Posté par . Évalué à 5.

      Je te conseille d'aller faire un tour sur slashdot, il y avait plein d'info du pourquoi du comment il ne pouvait rien faire.
      ( http://yro.slashdot.org/article.pl?sid=06/04/07/130209 )

      Son principal problème n'est pas de pouvoir répondre aux requètes, mais que le surnombre provoque un surplus de bande passante qui est payé en supplément.
      En gros il paie la bande passante entre sont ISP et ses routeurs, donc mettre une règle sur son routeur ne sert à rien, les paquets on déjà été livrés donc payés !
      Et puis, si jamais il doit faire un DROP, comment définir la règle ? détecter que le paquet vient d'un routeur DLink ? cela se fait en soft, très couteux en CPU, je doute que son ISP accepterais le surcout, sans compter que ca fait des octets en moins à facturer.
  • # Pas la première fois...

    Posté par (page perso) . Évalué à 5.

    La dernière fois, c'était Netgear... Je sais plus où j'avais lu ça, mais le mec du serveur NTP avait pris contact avec Netgear, qui avait modifié les firmwares. Mais encore faut-il que l'utilisateur ait envie de passer au firmware suivant... C'est une opération un peu obscure, pour le grand public, et toujours un peu délicate. Et puis la fameuse règle d'or "pourquoi réparer ce qui n'est pas cassé" s'applique là aussi, non ?
  • # Bah

    Posté par . Évalué à 2.

    Il n'a qu'à ennuyer DLink assez fort pour qu'ils changent ça...

    Comme par exemple en changeant l'heure de son serveur...
    • [^] # Re: Bah

      Posté par (page perso) . Évalué à 10.

      Oui, enfin si il fait ca il ennuie surtout les 2000 utilisateurs authorisés de son serveur.
      Et comme les routeurs n'utilisent l'heure que pour horodater les logs, ca ne va pas gener grand monde.
      • [^] # Re: Bah

        Posté par (page perso) . Évalué à 2.

        Je suis un utilisateur autorisé et cela m'em#$%^@# bien qu'il change l'heure. La personne est en fait super sympa et en pratique la principale université du Danemark se base sur ce serveur de référence (dans l'université les requêtes NTP sont bloquées au niveau des routeurs mais chaque routeur faire relais). La répercution serait donc assez énorme.
        • [^] # Re: Bah

          Posté par . Évalué à 1.

          et juste changer d'ip c'est pas possible ?
          comme ca les personnes autorisées ont juste à changer l'ip (ou à suivre le dns) , et les routeurs d-link l'ont dans le baba.
          • [^] # Re: Bah

            Posté par (page perso) . Évalué à 2.

            Les routeurs dlink ont l'adresse DNS dans leur firmware, pas l'IP.

            pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

          • [^] # Re: Bah

            Posté par (page perso) . Évalué à 3.

            Changer l'adresse IP ne servirait à rien, c'est le nom DNS qui est hardcodé
            Et changer le nom DNS reviendrait a changer la configuration d'un tres grand nombre de systéme du Danemark ...
            • [^] # Re: Bah

              Posté par . Évalué à 3.

              au temps pour moi.
              mea maxima culpa.
  • # DynDNS aussi

    Posté par (page perso) . Évalué à 4.

    En lisant les commentaires sur /. je suis tombé la-dessus :
    http://www.dyndns.com/about/company/notify/archives/useragen(...)

    Il semblerai que certain routeurs D-Link ne respectent pas non plus les règles de DynDNS. Du coup ils ont été obligé de banir le UserAgent correpondant.
    Ca date de octobre/novembre 2005
    • [^] # Re: DynDNS aussi

      Posté par (page perso) . Évalué à 6.

      la version de l'API cliente avait changé, et d-link (mais d'autres aussi) n'ont pas mis à jour leur logiciel/matériel utilisant cette API.

      enfin, moi, quand je vois ça, ça me fait peur...

      car un routeur/firewall, normalement, ça peut contenir des failles de sécurité etc... (enfin, le logiciel). Donc, il faut fournir des mises à jour... mais comme je l'ai déjà remarqué, ils font quelques mises à jour à la sortie du produit, et après, plus rien...
  • # La RACHE

    Posté par . Évalué à -2.

    Tout s'explique ici : http://www.la-rache.com/index.php

    C'est la methode de developpement des firmwares chez D-LINK
    LA RACHE (c) Certified Partner.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.