Немецкий разработчик, известный рядом исследований, касающихся безопасности сетевых устройств, обнаружил (http://www.s3cur1ty.de/dlink-telnet-backdoor) в ряде моделей беспроводных маршрутизаторов D-Link бэкдор, организующий административный вход на устройства с инженерным паролем. Исследователь упоминает о том, что проблема присутствует как минимум на устройствах DIR-300revA, DIR-300revB, DIR-600revB, однако возможно, что этот список неполный.
Код запуска демона telnet на проблемных устройствах выглядит так (содержимое /rootfs/etc/scripts/misc/telnetd.sh):
<font color="#461b7e">#!/bin/sh
image_sign=`cat /etc/config/image_sign`
TELNETD=`rgdb -g /sys/telnetd`
if [ "$TELNETD" = "true" ]; then
echo "Start telnetd ..." > /dev/console
if [ -f "/usr/sbin/login" ]; then
lf=`rgdb -i -g /runtime/layout/lanif`
telnetd -l "/usr/sbin/login" -u Alphanetworks:$image_sign -i $lf &
else
telnetd &
fi
fi
</font>Из этого кода становится очевидно, что на устройство кто угодно может подключиться телнетом, используя стандартные инженерные логин (Alphanetworks) и пароль (содержимое файла /etc/config/image_sign). Поиск в интернете показал, что данные инженерные пароли уже стали широко известными и не являются каким-то особым секретом. Imagesig - внутреннее обозначение образа прошивки для данной модели устройств.
Наиболее очевидные сочетания логинов и паролей обнаруженные исследователем:
- Alphanetworks wrgg19_c_dlwbr_dir300
- Alphanetworks wrgn49_dlob_dir600b
- Alphanetworks wrgn23_dlwbr_dir600b
- Alphanetworks wrgn22_dlwbr_dir615
- Alphanetworks wrgnd08_dlob_dir815
- Alphanetworks wrgg15_di524
- Alphanetworks wrgn39_dlob.hans_dir645URL: http://www.s3cur1ty.de/dlink-telnet-backdoor
Новость: http://www.opennet.me/opennews/art.shtml?num=37177
Классический эпик фэйл с отладочными логинами и паролями. Нет чтобы реализовать это иначе, после установки пользовательского пароля - запомнил и лазай сколько влезет. Но чтоб по дефолту в обход воли юзера =(
> Нет чтобы реализовать это иначе, ...например сделать на корпусе кнопку "Reset", которая сбрасывала бы пароли в состояние поумолчанию...
...ой! так ведь кнопка "Reset" -- уже есть!! :-D
хм... тогда зачем же нужен этот "Alphanetworks", кроме как для злоумышленных целей?
>> Нет чтобы реализовать это иначе, ...
> например сделать на корпусе кнопку "Reset", которая сбрасывала бы пароли в состояние
> поумолчанию...
> ...ой! так ведь кнопка "Reset" -- уже есть!! :-D
> хм... тогда зачем же нужен этот "Alphanetworks", кроме как для злоумышленных целей?Блин да работает он только при загрузке, нужен исключительно для прошивки. При старте вначале загружается загрузчик и выжидает таймаут, после этого идет обычная загрузка linux.
Видно это даже по ttl при загрузке 100, после 64.
Назвать такое поведение бэкдором, это нужно очень постараться. Любое устройство с netboot тогда дырявое по самые помидоры.
> Блин да работает он только при загрузке, нужен исключительно для прошивки.Не, пардон, на указанных зачем-то запускается телнет с этим паролем. И потом кто угодно может вломиться на девайс, как минимум со стороны LAN.
А нормальный вариант с прошивкой - это нажать кнопочку при ребуте, и чтоб девайс при этом в загрузчик ввалился. Ремотному атакующему нажать кнопочку сложно, а вот тот кто подтвердил свое физическое наличие что-то запрещать довольно глупо, он при должной квалификации все-равно свое возьмет в любом случае.
>> Блин да работает он только при загрузке, нужен исключительно для прошивки.
> Не, пардон, на указанных зачем-то запускается телнет с этим паролем. И потом
> кто угодно может вломиться на девайс, как минимум со стороны LAN.О как. Со стороны LAN любой может не только вломится, но и унести коробку, и нажимать там кнопочки сколько угодно. Может даже reset нажать и зайти по дефолтному паролю.
> О как. Со стороны LAN любой может не только вломится,А вот это уже весьма зависит от. Вот по нажатию кнопки (пруф физического присутствия) - пусть что угодно делает. А вот если это например какой-то левый субъект по вайфаю вломился в сетку, через баг в вайфае или там что еще, или некто спровоцировал другой софт (например, браузер) на отсыл контролируемого запроса на посторонний порт - чего ему вдруг должно быть можно поиметь маршрутизатор? Вот как раз кнопка - отличное решение, потому что она недоступна ремотному атакующему. А локальный, способный развинтить коробку - свое возьмет, да. Вот именно поэтому я считаю ТАКИЕ инженерные входы ПЛОХОЙ практикой. Для инженерных режимов и восстановления контроля есть кнопки, сериальный шнурок и подобные методы, требующие в общем случае физического присутствия на месте совершения действия.
Они не отладочные. Они официально документированы уже много лет. Просто "некий немецкий исследователь" узнал про nmap и тут сразу сенсация.
> исследователь" узнал про nmap и тут сразу сенсация.Просто немецкий исследователь допер что "общеизвестную" штуку вполне можно использовать абузивно. Например, построить сказочного размера ботнет...
Китайцы... дружелюбные китайцы. Вообще D-Link делает очень неплохое оборудование, и то, что в штампуемых, как пирожки, малобюджетных роутерах оставлены инженерные пароли - в принципе ничего страшного. На то это и малобюджетка, чтобы изобиловать косяками.
пакость редкостную делают. Философия серии "Купил - прошейся!" нафик не сдалась. А некоторые устройства и этим сомнительным благом просто-напросто обделены.
Это лучше чем "купил и мучайся" или "купил? Че еще надо? Пшол вон отсюдава!"
"Лучше" - враг хорошего (c)
Не?
Ну есть на свете люди... за разницу в 300р. - 500р. жизнь себе погубят, а то еще и уплотят от 1500 - 3000 "специалисту".
етитьская сила...
"лучшее - враг хорошего"
хоть-бы думать научился сперва, а потом перлы строчить
> "Лучше" - враг хорошего (c)И что же такого хорошего в бэкдорах?
> Это лучше чем "купил и мучайся" или "купил? Че еще надо? Пшол вон отсюдава!"Ну так прикольно же: тебе всучили бэкдор, а ты на выбор или девайс в мусорник, или потом разруливай тонны предъяв. Мало ли кто там и что будет делать - хакерье нынче бойкое, дармовые ресурсы любит.
>>"купил? Че еще надо? Пшол вон отсюдава!"узнал iconBIT, прям не в бровь а в глаз =)
> Философия серии "Купил - прошейся!" нафик не сдалась.Если подходить к вопросу ответственно, то прошиваться обязательно.
На бэкдорах уже спалились, как минимум, DLink, TPLink, Huawei...
Можешь и забить, конечно. Твое дело.
> пакость редкостную делают. Философия серии "Купил - прошейся!" нафик не сдалась. А некоторые устройства и этим сомнительным благом просто-напросто обделены.Ну тогда нужно указать производителя с другой философией. Все активное сетевое оборудование прошивается.
> Ну тогда нужно указать производителя с другой философией.Для маркетинга философия - это разновидность рекламы. Наплетут что угодно, лишь бы продать побольше.
>> Ну тогда нужно указать производителя с другой философией.
> Для маркетинга философия - это разновидность рекламы. Наплетут что угодно, лишь бы
> продать побольше.Сам придумал?
> Философия серии "Купил - прошейся!" нафик не сдалась.Так роутеры с родной DD-WRT ещё поискать :)
> и то, что в штампуемых, как пирожки, малобюджетных роутерах оставлены инженерные пароли - в принципе ничего страшногоСогласен. Всего лишь слежка за трафиком миллионов устройств и их участие в ботнете. Сущая ерунда.
> Согласен. Всего лишь слежка за трафиком миллионов устройств и их участие в
> ботнете. Сущая ерунда.Дешево? Дешево. Чего еще?
> Дешево?Непроклоцаный тикет.
> Согласен. Всего лишь слежка за трафиком миллионов устройств и их участие в
> ботнете. Сущая ерунда.а зачем ты дешёвый домашний роутер в интернеты выпускаешь? его задача — раздавать сетку внутри дома и wifi наружу. при этом по wifi к нему подсоединиться нельзя. так что хоть сотня бэкдоров — пофигу.
> а зачем ты дешёвый домашний роутер в интернеты выпускаешь?Затем что он как правило как раз средой раздела между интернетом и домашним LAN и выступает. С одной стороны прововский кабель в интернет, с другой - домашняя локалка.
Я-то тут причем? Выпускаю не я, за меня уже выпустили.
А что еще можно сделать с мыльницей, целевое назначение которой - раздавать инет внутри дома?
>> и то, что в штампуемых, как пирожки, малобюджетных роутерах оставлены инженерные пароли - в принципе ничего страшного
> Согласен. Всего лишь слежка за трафиком миллионов устройств и их участие в
> ботнете. Сущая ерунда.Ок. Расскажите как с помощью этого вы собираетесь следить за трафиком и участвовать в ботнете. Вот загружается маршрутизатор у вас есть несколько секунд до него достучаться. В телнете кроме менюшки загрузчика прошивок нет ничего, ваши действия?
>телнете кроме менюшки
>телнете
>менюшкикакой суровый у вас там telnet
>>телнете кроме менюшки
>>телнете
>>менюшки
> какой суровый у вас там telnetЧелябинский.
>>телнете кроме менюшки
>>телнете
>>менюшки
> какой суровый у вас там telnetРеализация от микрософт, небось.
>какой суровый у вас там telnetлолка, а ты не знал, что в текстовом терминале таки могут предложить меню?
> В телнете кроме менюшки загрузчика прошивок нет ничего, ваши действия?Заливается прошивка с бэкдором, например. Все уже описано не раз.
И потом, если Вы там видите только меню загрузки прошивок, это еще не дает никакой гарантии, что там больше ничего не припрятано.
>> В телнете кроме менюшки загрузчика прошивок нет ничего, ваши действия?
> Заливается прошивка с бэкдором, например. Все уже описано не раз.
> И потом, если Вы там видите только меню загрузки прошивок, это еще
> не дает никакой гарантии, что там больше ничего не припрятано.1. Залить можно только с портов LAN необходимо иметь цельный образ на tftpd. В меню вы должны указать его верное название.
2. Абсолютно всё сетевое оборудование и сервера поддерживают загрузку по сети, исключения тупые коммутаторы и мелочь.
Еще раз, где бэкдор? И как им воспользоваться?
> Ок. Расскажите как с помощью этого вы собираетесь следить за трафикомЗапустить tcpdump и готово.
> Вот загружается маршрутизатор у вас есть несколько секунд до него достучаться.
Ну во первых, зная глючность длинковских прошивок, ребут можно и спровоцировать. Во вторых, я не вижу - где у этого безобразия таймауты. Судя по всему их нет.
>> Ок. Расскажите как с помощью этого вы собираетесь следить за трафиком
> Запустить tcpdump и готово.где запустить? на маршрутизаторе в загрузчике его нет.
>> Вот загружается маршрутизатор у вас есть несколько секунд до него достучаться.
> Ну во первых, зная глючность длинковских прошивок, ребут можно и спровоцировать. Во
> вторых, я не вижу - где у этого безобразия таймауты. Судя
> по всему их нет.Ну значит вы не работали с этим оборудованием.
> Ну значит вы не работали с этим оборудованием.И слава Богу!
>> Ну значит вы не работали с этим оборудованием.
> И слава Богу!Ну значит вообще ни с каким не работали. Потому как D-Link самый популярный у провайдеров вендор на уровень доступа.
> Ну значит вообще ни с каким не работали. Потому как D-Link самый
> популярный у провайдеров вендор на уровень доступа.Я думаю что с учетом каКчестваа софта от длинка - применятелей их оборудования будет ждать еще много интересных сюрпризов, провоцирующих адский выс@р кирпичей. Судя по тренду в новостях.
> где запустить? на маршрутизаторе в загрузчике его нет.Простите, но телнет пинаемый из шеллскрипта - это уже "немного" не загрузчик. А вполне себе раскочегаренный линь. И вот там - во первых зачастую есть wget, а если и нет - можно кой-как и через шелл извратиться. При должном желании (а миллионы потенциальных жертв ботнета - это хороший стимул) - это все вполне решамые проблемы.
> Ну значит вы не работали с этим оборудованием.
С конкретно указанными моделями - да, не работал. Вот только про "загрузчик" вас жестоко глючит. Даже такие навороты как u-boot умеют выполнять только очень минимальные версии скриптов. А вот указанную простыню явно выполняет уже вполне полноценный линь в полноценном интерпретере, который пинает вполне себе обычный такой телнет. А потом ... когда туда завалился - это просто система с просто линем, гули. С ней можно делать все то же самое что любым иным линем, покуда ресурсов хватит.
> В телнете кроме менюшки загрузчика прошивок нет ничего,Это как? У длинка какой-то свой, особый, уличный телнет, который не в шелл вываливается а какие-то менюшки показывает? А вы ничего не путаете? Это не загрузчик, это основная фирмвара так прикалывается. Ололо, пыщ-пыщ :)
> Китайцы... дружелюбные китайцы.Они тайваньцы :). Впрочем невелика разница.
> Вообще D-Link делает очень неплохое оборудование,
...но вот прошивки у них полный шит, да еще с такими прибамбасами. Поэтому их можно рассматривать только как чисто железку. Софт под замену, по любому. Или в трэш.
>> Китайцы... дружелюбные китайцы.
> Они тайваньцы :). Впрочем невелика разница.В Тайване живут китайцы.
>В прошивках ряда устройств D-Link обнаружен бэкдорОпять?
Нет, снова. В предыдущих новостях были совсем другие бэкдоры.
Product Page : DIR-300 Hardware Version : Bx Firmware Version : 2.06
$ nmap 192.168.0.1Starting Nmap 6.01 ( http://nmap.org ) at 2013-06-14 22:56 MSK
Nmap scan report for 192.168.0.1
Host is up (0.027s latency).
Not shown: 996 closed ports
PORT STATE SERVICE
1/tcp filtered tcpmux
53/tcp filtered domain
80/tcp open http
49152/tcp open unknown
Чет стало интересно, подпаялся к uart dlink'a, и оказалось, что все на месте:
$ps
795 0 196 S telnetd -l /usr/sbin/login -u Alphanetworks:wrgn23_dl
при нескольких перезагрузках telnet всегда стартовал, но иногда исчезал через некоторое время, т.е. он видимо переодически падает. какая-никакая защита :)еще там запущен httpd -s пароль, кто-нить знает что это за параметр?
на хабре писали что он гасится через 15 минут (инфа вроде от бывшего работник длинка)
> на хабре писали что он гасится через 15 минут (инфа вроде от
> бывшего работник длинка)15 секунд.
http://habrahabr.ru/post/183314/#comment_6367170
http://habrahabr.ru/post/183314/#comment_6367354
> 15 секунд.Щаз. Это не в загрузчике, это вполне себе в линуксной части вполне себе обычный такой инженерный бэкдор. Поэтому 15 минут. Так что если спровоцировать ребут или поймать подобный момент - есть навалом времени чтобы поиметь девайс.
> еще там запущен httpd -s пароль, кто-нить знает что это за параметр?Пароли те же, что и для telnet. Можно вытащить обычным grep из прошивки. Веб-интерфейс для загрузки образов.
>[оверквотинг удален]
> $ nmap 192.168.0.1
> Starting Nmap 6.01 ( http://nmap.org ) at 2013-06-14 22:56 MSK
> Nmap scan report for 192.168.0.1
> Host is up (0.027s latency).
> Not shown: 996 closed ports
> PORT STATE SERVICE
> 1/tcp filtered tcpmux
> 53/tcp filtered domain
> 80/tcp open http
> 49152/tcp open unknownА теперь питание передерни. И главное успеть...
> А теперь питание передерни. И главное успеть...За 15 минут успеет даже слоупок. Можно вообще просто сканить на автомате иногда. Постепенно сломается, куда оно денется? А у машин времени много. Они никуда и не торопятся, если что.
Наскока я помню, в длинках телнет не торчит наружу и по-моему вообще выключен подефолту.
Так что, только внутренний хацкер иль через дыру в браузере.
Неправда. Телнет очень даже торчит наружу в D-Link'ах всяких. Я лично по нашей локалке собрал 3 десятка D-Link'овских роутеров с доступом по дефолтным реквизитам через телнет.
Как ты собрал в локалке, с интерфейса выходящего к провайдеру?
Да. Банально nmap -p23 с указанием диапазона провайдера. Правда, пробовал я по реквизитам admin/admin в чисто развлекательных целях где-то 31 декабря / 1 января. Думаю, если теперь по вышеобозначенным проверить - число еще больше будет. Уж если людям поменять пароль влом, то насколько же им влом поменять прошивку-то.
> Да. Банально nmap -p23 с указанием диапазона провайдера. Правда, пробовал я по
> реквизитам admin/admin в чисто развлекательных целях где-то 31 декабря / 1 января.Оправдываешь свой ник :)
> Неправда. Телнет очень даже торчит наружу в D-Link'ах всяких. Я лично по
> нашей локалке собрал 3 десятка D-Link'овских роутеров с доступом по дефолтным
> реквизитам через телнет.Вот тут точно вранье.
DIR-615, telnet торчит наружу (как и все остальное) и включён по дефолту…
Смотрел я прошивку в своём DIR-300revB, смотрел... и не нашел там этого бэкдора.
Вот жеж школьная поделка эта openwrt 12.09! Перетяну сам туда этот скрипт.
azazazaмагистральные шлюзы длинковские умерли
А на мой ископаемый dl-524 опять ничего нет! Все никак не могу найти убедительный повод выкинуть его(
> А на мой ископаемый dl-524 опять ничего нет!Вообще судя по image_sig это и на него распостраняется.
D-Link DI-524 - E1
login: Alphanetworks
pass: wrgg15_di524
Admin access (Telnet)
Гуглится легко.
Прошить в них FreeBSD, делов-то.
OpenBSD. В принципе, с openbsd кто-то делал роутеры, пока никто не жаловался. :)
> OpenBSD. В принципе, с openbsd кто-то делал роутеры, пока никто не жаловался. :)Ты сначала сумей ее прошить в мипсовую железку с 4-8Мб флеша как единственный носитель под все вообще + 16-64Мб RAM на все. И потом сделай чтобы девайс не потерял свою функциональность.
А просто залить эту галиматень и пофапать на вывод в уарт - нафиг нужно. Девайс свои прямые обязанности не будет выполнять. Ну вот например готов поспорить что драйверов wi-fi под экзотичные SoC там нет. Их в лине то нехилым напильником дорабатывают относительно обычных, чтоб работало. Но там это есть кому делать, хотя-бы. А кто это будет делать в маргинальной командочке из полутора землекопов - вопрос, да. Тео на это не хватит.
> Ты сначала сумей ее прошить в мипсовую железку с 4-8Мб флеша как
> единственный носитель под все вообще + 16-64Мб RAM на все.Вроде бы как драйтековская штатная прошивка из опёнка и сделана, но ни подтверждений, ни опровержений надёжных найти пока так и не удалось.
> Вроде бы как драйтековская штатная прошивка из опёнка и сделана, но ни
> подтверждений, ни опровержений надёжных найти пока так и не удалось.В прошивке для 2830 3.6.4db обнаруживается такая строчка (рваная, поскольку в сжатых данных):
IFX VMMC device driver, P ... sion 1.3.0.5 '--build=i686-pc-linux' host=mips
Не 100% свидетельство наличия внутри Linux kernel, но как минимум 99%. Ну и поиск по 2.4 выдал приблизительную версию - 2.4.31. Последнее встречается несколько раз.
> Вроде бы как драйтековская штатная прошивка из опёнка и сделана, но ни"Вроде" во вполне конкретный роутер не зальешь. Там инициализация может быть разная и прочая.
> подтверждений, ни опровержений надёжных найти пока так и не удалось.
А вот это как раз и означает большие грабельки на данном поприще для всех остальных. Даже если это так, граждане наверное как обычно зажали сорсы, так что кому-то одному может и хорошо, а остальные поклонники BSD - в пролете. Вот остальные и юзают линухи - они умеют больше и там не надо самому весь цикл портирования фигачить. Хотя я совсем не против чтобы буратина отбарабанил цикл портирования с напсанием драйверов и прочая самостоятельно, ему такое не вредно. Как раз сможет воочию различия оценить.
http://zrouter.org/projects/zrouter/wiki/Supported_devices
автор из dlink.ua
> http://zrouter.org/projects/zrouter/wiki/Supported_devices
> автор из dlink.uaОбъявляю соревнование: кто из вас двоих с ай-зеном первым _объявит_, что "прошил, работает, зашибись". Аноним бежит вне конкурса. Давай-давай! Все видели -- айзен уже побежал в магазин! </впиши своё имя Крас-с-сным>
> http://zrouter.org/projects/zrouter/wiki/Supported_devicesХиловато как-то по сравнению с http://wiki.openwrt.org/toh/start#supported.hardware.-.route...
> автор из dlink.ua
А длинковские бэкдоры и дыры туда запортировали? :)
И чем это поможет? На FreeBSD невозможно запустить telnet?
На FreeBSD telnet не запускается специально с дыркой для всех.
> На FreeBSD telnet не запускаетсяobvious fix
>> На FreeBSD telnet не запускается
> obvious fixаптгетчики подтянулись. у них во FreeBSD ничего не ставится и сервисы не запускаются:
apt-get плохо работает и что-то странное пишет /etc/init.d/telnetd
> аптгетчики подтянулись. у них во FreeBSD ничего не ставится и сервисы не запускаются:На указанных девайсах - да, плохо работает. Даже "типа, адаптированный" zrouter - дико кривая поделка. Просто по сравнению например с прошивками семейства *WRT.
> На указанных девайсах - да, плохо работает.telnet не работает? что именно работает плохо?
> дико кривая поделка. Просто по сравнению например с прошивками семейства *WRT.
*wrt тоже вполне себе поделка.
> telnet не работает? что именно работает плохо?На половине подобных девайсах фрибзда не загрузится вот так схожу или периферию не проинициализирует, просто за отсутствием поддержки SoC или периферии. И да, если например у девайса например, свич не взлетел - будет вообще полный болт. Не только с телнетом. А это будет, если система явно не в курсе как в "вот этом SoC" проинициализировать "вот этот чип свича".
> *wrt тоже вполне себе поделка.
Тем не менее, оно делает свое дело и достаточно хорошо. И дырок/бэкдоров там нет. И железа поддерживает уйму. И драйвера вайфай там нормальные, а не "как обычно в фрибсд". Поэтому этим потом даже пользоваться можно. И то вон тут некоторые бухтят что аппаратные акселераторы не используются, блаблабла.
> с дыркой для всехне надо о личном
> И чем это поможет?С ней большинство роутеров работать не будет - все, проблема решена :)
> И чем это поможет? На FreeBSD невозможно запустить telnet?На FreeBSD, чтобы запустить демон telnet, нужно разрешить его запуск в inetd и прописать запуск inetd в /etc/rc.conf. Кроме этого, прошивку для роутера можно собрать самостоятельно без включения telnet в сборку системы — см. man src.conf: http://www.freebsd.org/cgi/man.cgi?query=src.conf&apropos=0&...
> На FreeBSD, чтобы запустить демон telnet, нужно разрешить его запуск в inetd
> и прописать запуск inetd в /etc/rc.conf.А прикинь, на линухе он тоже как видишь не сам взлетает, а вот таким скриптиком поднимается, при том скриптик писали явно местные бабуины из длинка.
Скажи плиз, что им помешает такое же в бзде вкорячить? Я вижу только 1 вариант: они умеют только копипастить да вебморду перерисовывать. Поэтому линь там наверное более-менее референсный, от чипмейкера. Ну, допихали пару бэкдоров и новую морду. Все, брендинг, типа, завершен. Можно продавать. Бодаться с бздами и отсутствием под них драйверов им нафиг не уперлось. Т.к. цель любых коммерсов - потратить поменьше и получить побольше. Поэтому тратиться на разработку кучи всего для бздей им в высшей мере не логично.
> Прошить в них FreeBSD, делов-то.Лучше сразу MS-DOS.
>> Прошить в них FreeBSD, делов-то.
> Лучше сразу MS-DOS.Читать и просвещаться с первой страницы: http://forum.lissyara.su/viewtopic.php?t=11627
Квикстарт: http://zrouter.org/projects/zrouter/wiki/Quickstart
> Читать и просвещаться с первой страницы: http://forum.lissyara.su/viewtopic.php?t=1162730 страниц ни о чем.
> Квикстарт: http://zrouter.org/projects/zrouter/wiki/Quickstart
> Why does this site suck?
> Well...
> Читать и просвещаться с первой страницы:Ага, я уже посмотрел. Все сделано через зад, как обычно. А просто юзать девайс с этим по назначению и без дискомфорта - фигвам, не вариант.
Называя вещи своими именами - куда впихнется zrouter, в 20 раз лучше влить openwrt и получить в 20 раз больше возможностей сделанных намного более прямо, чем жрать настолько кислотный и кривой кактус, где нифига не работает, настройка и адаптация больше похожа на запрыг по граблям, "зато свое не пахнет".
На счет 20 раз больше возможностей вы соврали..
Для начала покажите мне в Linux аналог netgraph framework - после этого поговорим о возможностях.
А софт один и тот же можно поставить..Хотя если вы привыкли управлять все через веб менюшки - тогда согласен, вам в 20 раз больше возможностей заниматься мышевозней.
> Для начала покажите мне в Linux аналог netgraph framework - после
> этого поговорим о возможностях.Для начала, с учетом давнего наступления эпохи multi-core CPU с низкой тактовой частотой, его придётся избавить от тонны мьютексов на пути обработки, плюс оптимизировать на предмет минимизации инвалидации кэша. И только после этого поговорим о возможностях. Потому что тот же Netfilter - отлично распараллеливается.
Даже если на это забить - у парней wi-fi не работает толком. У них он даже на десктопных девайсах то 40MHz не умеет. А какой там сталинград у них с относительно экзотичной вафлей встроенной в SoC - я даже представить себе боюсь. Глядя на то как в openwrt на драйвера поверх майнлайна который адски пилят, еще сверху пачку своих патчей лепят, для скорости и стабильности в режиме AP. И я в упор не вижу тех кто делал бы такой ломовой объем работ для FBSD. А это означает что вайфай там будет в ...опе.
> Для начала покажите мне в Linux аналог netgraph frameworkА зачем? Ни у кого в здравом уме нет цели "чтобы был netgraph". Задачи роутера: роутить, NATить, файрволить, может быть QoS какой и сетевый сервисы типа VPNов/прокси/чтотамеще запускать. Вайфай, все дела. Ну может еще файло по сетке шарить по мелочи. Linux с всем этим справляется. И может уйму всего еще.
И, кстати, никакой нетграф не поможет например вывесить пачку виртуальных интерфейсов на вайфайном адаптере если у вас драйвер гэ и так не умеет. Да и сама поддержка wi-fi в этой вашей бзде такая что нафиг она не упала в таких железках с такой поддержкой желеща.
Не говоря уж о том что у того же openwrt например удобная и логичная разбивка сетей на зоны с своими правилами, да еще все это настраивается из единой конфигурации (UCI или через веб - LuCI). Вот это - нормальная адаптация решения под задачу. Без фанатизма, чтобы просто работало и делало это хорошо.
А у вас не аргументы а детсад - "это бсд", "это нетграф". Да хоть черт лысый. А что этот ваш лысый черт может такого ценного, чего не могут другие? Ничего? Тогда ценность фичи "это же нетграф!!!111" с точки зрения всех кто не является убер-фанатом бзды равна НУЛЮ.
> - после этого поговорим о возможностях.
Просто скажи что по твоему мнению может сделать в плане обработки траффика бздя (из нужного в SOHO, разумеется) чего не сможет пингвин. Само по себе "там же нетграф!!!111" достоинством видимым пользователю вообще не является.
> А софт один и тот же можно поставить..
Теоретически - можно. Практически - это кривая поделка где костыль на костыле и костылем погоняет. Это неудобно администрировать, а одни и те же операции на openwrt сделать в 20 раз проще окажется. А если уж мы о нетворкинге, так у вас просто поимка подстроки в пакете по смещению - полный миндфак, с ассемблированием программы беркелейскому пакетному фильтру. А айпитаблесу с характерным модулем такое правило рисуется одной левой. Без ассемблирования в инопланетный опкод, делающий правило нечитаемым.
> Хотя если вы привыкли управлять все через веб менюшки - тогда согласен,
> вам в 20 раз больше возможностей заниматься мышевозней.Вот всю жизнь мечтал узнать какими именно командами можно в реалтайме например уровни сигнала и шума WI-FI посмотреть, вместо того чтобы готовый скрипт это за меня сделал. А также спору нет - можно и самому построить графики траффика и прочая, лично нарулив аналог, может допрограммировав чего не хватало даже. Но намного лучше если это за меня уже сделали другие: результат одинаковый, а время сэкономлено.
>>> Прошить в них FreeBSD, делов-то.
> zrouter.org/projects/zrouter/wiki/QuickstartПоздравления! iZen нашёл роутерную прошивку на fbsd.
Контрольный в голову: сам-то прошил, и сколько??
http://zrouter.org/
> http://zrouter.org/http://openwrt.org - просто на порядок лучше подходит.
>> http://zrouter.org/
> http://openwrt.org - просто на порядок лучше подходит.Мышевозникам с Ubuntu головного мозга подходит разве что.
Обоснуй.
> Обоснуй.Кастомизация и сборка из исходников для Ubuntu-пользователей не предполагается — не осилят.
Из FreeBSD хотя бы можно выкинуть telnet, кучу не нужных сервисов (sendmail, bind и т.д.), вместо IPFW и NetGraph использовать PF. И такое делается стандартным образом, без всяких неочевидных Web-форм, из командной строки сборочной машины, а все бинарники получаются методом кросс-компиляции под конкретную архитектуру.
> Кастомизация и сборка из исходников для Ubuntu-пользователей не предполагается — не осилят.Как раз пересборка и кастомизация у опенврт - очень удобная. Я этим регулярно развлекаюсь как раз. А хотя-бы и из хубунты xD.
> Из FreeBSD хотя бы можно выкинуть telnet, кучу не нyжных сервисов (sendmail,
В опенврт очень удобная и контролируемая сборка образа под свою задачу. И там даже простенький пакетный менеджер есть. Более того - ничего "выкидывать" как правило не надо, скорее наоборот.
> делается стандартным образом,Номер стандарта в студию.
> без всяких неочевидных Web-форм,
Как бы openwrt при желании можно и чисто с командлайна рулить, UCI довольно логично и продвинуто сделан. Однако например реалтайм график траффика или уровня сигнала вайфай в мордочке лучше смотрится.
> из командной строки сборочной машины,
Как ни странно, это можно сказать и про openwrt. Сборка образа там весьма удобно и гибко контролируется. И ничего особо выбрасывать не надо - в лине не бредят одной базовой системой на все размеры, поэтому никто не пхает в железку с 32М памяти бинд и опач "по дефолту".
> а все бинарники получаются методом кросс-компиляции под конкретную архитектуру.
Внезапно, в опенврт они тоже так получаются.
>zrouter.org/Я даже и не знаю, имеет ли _смысл просить отчётов и success-story-ей у _Анонима.
А так, да, вижу: новая строка вписана Крас-с-сным в методички.
Достаточно специально приспособленного для этих целей dd-wrt. Но желающие покрасноглазить могут и BSD системы прошить.
> Достаточно специально приспособленного для этих целей dd-wrt.А лучше openwrt, там где он умещается. Эти не страдают урезанием фич и коммерцией.
>> Достаточно специально приспособленного для этих целей dd-wrt.
> А лучше openwrt, там где он умещается. Эти не страдают урезанием фич
> и коммерцией.эти отличаются "стабильностью" где-то работает, где-то работает через задницу.
Большой список якобы работающих устройств - сводится к небольшому количеству платформ и куче производителей внутри каждой из них.
> эти отличаются "стабильностью" где-то работает, где-то работает через задницу.Но в целом - как правило все-таки работает.
> Большой список якобы работающих устройств - сводится к небольшому количеству
> платформ и куче производителей внутри каждой из них.JFYI, у каждого девайса может несколко отличаться разводка и инициализация. Поэтому это тоже некий индикатор объемов проделываемой работы. Кроме того - у чипсетов есть кучи подвидов, которые вроде бы федот, но уже слегка не тот.
А упомянутый вами zrouter и на пятой части из этого списка не заработает, если уж на то пошло. А если желать чтобы оно еще и нормально работало, например, с вайфаем на заявленной (паспортной) скорости устройства, фрибсда в этом плане вообще в пролете.
> Прошить в них FreeBSD, делов-то.Изя, чтоб выбросить -- необязательно краску расходовать.
А вот и нищий с торбой.
Хмм, а собствено ни кто не подскажет как этот **** телнет и ссш (на всякий случай) вырубить (желательно не перепрошивая роутер) ?
> Хмм, а собствено ни кто не подскажет как этот **** телнет и
> ссш (на всякий случай) вырубить (желательно не перепрошивая роутер) ?1. Зайти.
2. Удалить.
> 1. Зайти.
> 2. Удалить.С squashfs? Который наглухо readonly? Удачи в этом начинании :). Есть только 1 способ с него что-то удалить: слить образ, пересобрать его без нужных файлов, залить обратно. Только вот это противоречит критерию "не перепрошивая".
скорей всего /etc/... отдельно от образа, можно снести пароль.
> скорей всего /etc/... отдельно от образа, можно снести пароль.Обычно у всяких длинков вся конфигурация хранится на отдельном разделе - nvram. Энергонезависимое хранение сущносетй в формате ключ-значение. Это и определяет конфигурацию устройства. А файловая система наглухо readonly. Заметьте, по этому поводу даже ботнетчики не сохраняют себя между перезагрузками. Это чисто технически не то чтобы невозможно, но "очень сложно".
Собственно интересует 300-ая модель
Какой же это бэкдор? Я им еще в 2010 году пользовался для программного управления инфраструктурой, могу дополнить что на DIR-100, то же самое.
На русскоязычном форуме d-link и на nag тема присутствует лет 5. Обычный документированный "инженерный" доступ.
> Обычный документированный "инженерный" доступ.Тук-тук-тук...
- Кто там?
- Alphanetworks wrgg19_c_dlwbr_dir300
- А ты кто?
- Инженер!
- А, ну заходи...
Хахаха )))
>Тук-тук-тук...Представляешь на любой сервер можно так зайти, зная логин и пароль. Если в документации это описано то "сенсация" не уместна.
> Представляешь на любой сервер можно так зайти, зная логин и пароль.Большое спасибо, конечно, но не нужно писать банальности.
> Если в документации это описано то "сенсация" не уместна.В заглавной статье все описано. Это не сенсация, а бардак или сознательное вредительство.
Ты, конечно, можешь считать иначе, и подарить, например, ключи от своей квартиры какому-нибудь "инженеру".
>> Представляешь на любой сервер можно так зайти, зная логин и пароль.
> Большое спасибо, конечно, но не нужно писать банальности.Для вас нужно.
> В заглавной статье все описано. Это не сенсация, а бардак или сознательное
> вредительство.Там написано неверно. По нормальному "новость" яйца выведенного не стоит и должна быть удалена. Или давайте писать про всех чудаков узнавших как пользоваться nmap.
Telenet включается на несколько секунд при загрузке маршрутизаторы, чтобы им воспользоваться нужно иметь доступ, причем на локальных портах если это маршрутизатор (LAN),плюс tftp развернутый держать с правильным образом.
Уже несколько человек отписались в комментариях о том, что этот Ваш "наносекундный" телнет болтается открытым наружу довольно длительное время.
Продолжайте отрицать очевидное и рассказывать, как все хорошо.
> Уже несколько человек отписались в комментариях о том, что этот Ваш "наносекундный"
> телнет болтается открытым наружу довольно длительное время.
> Продолжайте отрицать очевидное и рассказывать, как все хорошо.Кто конкретно?
> Кто конкретно?Для начала, можно заметить тот факт что вы не шарите и путаете режим загрузчика и вполне себе деятельность основной прошивки. Вот этот бэкдор - живет в основной прошивке. Так что ваше блеяние про загрузчики - не в кассу.
>Для начала, можно заметить тот фактДля начала нужно заметить 2 факта. Вы соврали. Вы не знаете про двухэтапный механизм загрузки данных устройств, и опять же соврали.
> Для начала нужно заметить 2 факта. Вы соврали. Вы не знаете про
> двухэтапный механизм загрузки данных устройств, и опять же соврали.Пятнадцать минут оно висит явно не в загрузчике. Юзер бы взвыл за это время. И да, вероятность того что исследователь найдет за 15 секунд телнет - стремится к нулю. Так что завирает тут кто-то другой. Кому было обломно просто проверить факты.
> Там написано неверно. По нормальному "новость" яйца выведенного не стоит и должна быть удалена...Это левые логины и пароли должны быть удалены из прошивок DLink. Нет?
>> Там написано неверно. По нормальному "новость" яйца выведенного не стоит и должна быть удалена...
> Это левые логины и пароли должны быть удалены из прошивок DLink. Нет?Зачем? Какую цель преследуем? Для эксплуатации этого так называемого "бэкдора", вы должны быть в локалке, ваш адрес должен быть из сети 192.168.1.0/24. И вы должны успеть сделать своё черное дело за несколько секунд. Не проще reset нажать?
> Зачем? Какую цель преследуем? Для эксплуатации этого так называемого "бэкдора",
> вы должны быть в локалке,1) Во первых, народ утверждает что 15 минут.
2) Во вторых, у ряда девайсов телнет висит и в WAN.> ваш адрес должен быть из сети 192.168.1.0/24.
External dwellings могут получить такой адресок по вайфаю например. Насколько он секурно настроен - вопрос номер два. Из эпических дырок в вафле,
- WEP можно прсото раскрякать на основе перехвата достаточного числа пакетов.
- В случае WPS можно сбрутить пинкод за довольно разумное время если повезет.Как видите, методы поимения девайсов уже напрашиваются. При том дарю хаксорам идею: для поимения соседних девайсов можно юзать ... соседний девайс как плацдарм для долбежки следующих :).
> И вы должны успеть сделать своё черное дело за несколько секунд.
За 15 минут. А у некоторых похоже вообще перманентно.
> Не проще reset нажать?
Ремотно не нажимается что-то.
>> Зачем? Какую цель преследуем? Для эксплуатации этого так называемого "бэкдора",
>> вы должны быть в локалке,
> 1) Во первых, народ утверждает что 15 минут.1. У меня год назад было DIR-300 было 2 коробки на прошивку, то есть 12 штук, по ощущениям 2-3 секунды в которые нужно было успеть, матерился долго.
> Во вторых, у ряда девайсов телнет висит и в WAN.2. Давай названия, конкретно у каких, я проверю.
> 1. У меня год назад было DIR-300 было 2 коробки на прошивку,
> то есть 12 штук, по ощущениям 2-3 секунды в которые нужно
> было успеть, матерился долго.За 2-3 секунды упомянутый исследователь вообще не нашел бы телнет. А вот за 15 минут - это уже реально.
> 2. Давай названия, конкретно у каких, я проверю.
Да вон тут уже народец назвал некоторые модели вроде. Я что, должен лично собирать статистику по длинковскому крапу и всем версиям их железа и фирмвари?
> Представляешь на любой сервер можно так зайти, зная логин и пароль.А любой замок можно открыть за 5-10 секунд, если есть ключи. Следует ли отсюда что я должен бурно радоваться тому что какой-то тип где-то нарыл ключи к моему замку и ходит без спроса в мою хату. Просто потому что производитель замка оказывается сделал так что все его замки открываются одним и тем же ключом.
Внимание, вопрос: вы будете покупать "замки" у которых ключ у всех одинаковый? Так что кто угодно может своим ключом открыть. Зато как удобно - потерял ключ? Одолжи у соседа :)
>> Обычный документированный "инженерный" доступ.
> Тук-тук-тук...
> - Кто там?
> - Alphanetworks wrgg19_c_dlwbr_dir300- Прошивка есть?
- Нет.
- Ну тогда telnet close.
> - Прошивка есть?
> - Нет.- Есть, с троянчиком!
- Давай, инженер, заливай!
Я вам открою страшную тайну почти всё оборудование поддерживает загрузку по сети.
> Я вам открою страшную тайну почти всё оборудование поддерживает загрузку по сети.Спасибо, о Великий Просветитель! Но речь-то не об этом, а о дыре в системе безопасности устройства, когда ключи (логин/пароль) к этой загрузке находятся в руках неизвестных лиц, и потенциально - у кого угодно. Так понятнее?
>> Я вам открою страшную тайну почти всё оборудование поддерживает загрузку по сети.
> Спасибо, о Великий Просветитель! Но речь-то не об этом, а о дыре
> в системе безопасности устройства, когда ключи (логин/пароль) к этой загрузке находятся
> в руках неизвестных лиц, и потенциально - у кого угодно. Так
> понятнее?Со стороны LAN кто угодно может нажать кнопку RESET, которая есть на всех подобных устройствах и войти по дефолтному паролю. Глобальный бэкдор?
> Со стороны LAN кто угодно может нажать кнопку RESET,Не кто угодно, а только тот кто может физически добраться до устройства. Небольшая такая разница. Так, на подумать: если я из соседнего дома или двора по вайфаю прицепился к роутеру - я тоже "типа, в локалке". Это однако вовсе не доказывает что я могу прийти к вам домой и нажать кнопку ресета :)
>> Со стороны LAN кто угодно может нажать кнопку RESET,
> Не кто угодно, а только тот кто может физически добраться до устройства.Что для домашних маршрутизаторов одно и то же.
> Небольшая такая разница. Так, на подумать: если я из соседнего дома
> или двора по вайфаю прицепился к роутеру - я тоже "типа,
> в локалке". Это однако вовсе не доказывает что я могу прийти
> к вам домой и нажать кнопку ресета :)По wifi не работает.
>> Не кто угодно, а только тот кто может физически добраться до устройства.
> Что для домашних маршрутизаторов одно и то же.Не, не так. Нажать кнопку может только человек, явно того возжелавший. А вот телнет может юзануть кто попало, реального физического присутствия для этого не требуется. И если послать робота нажимать кнопку на данный момент довольно сложно, то вот спровоцировать нужный траффик в сети - не так уж и нереалистично. Особенно если удалось хакнуть что-то еще и закрепиться на этом плацдарме.
> По wifi не работает.
Не вижу этого из процитированного кода. Может быть в загрузчике вафля и не работает, но вот это - телнет из основной фирмвари.
> Я вам открою страшную тайну почти всё оборудование поддерживает загрузку по сети.Вот только в данном случае это "поимение по сети" и "ремотным атакующим". Небольшая такая разница.
>> Я вам открою страшную тайну почти всё оборудование поддерживает загрузку по сети.
> Вот только в данном случае это "поимение по сети" и "ремотным атакующим".
> Небольшая такая разница.Сам то понял, что сказал?
> Сам то понял, что сказал?Да. Есть небольшая разница между легитимно настроенной загрузкой по сети, инициируемой явным желанием админа и поимением железки по сети какими-то кулхаксорами, которым не понятно что вообще помешает. Судя по всему - ничего.
> документированный "инженерный" доступ.Ага, а AWARD_SW - обычный инженерный пароль. Я как-то развлекся в результате - выключил в BIOS кэши процу и сменил админский пароль. Чтоб проучить админа за расстановку паролей на биосе. Говорят, админ был недоволен :)
>> документированный "инженерный" доступ.
> Ага, а AWARD_SW - обычный инженерный пароль. Я как-то развлекся в результате
> - выключил в BIOS кэши процу и сменил админский пароль. Чтоб
> проучить админа за расстановку паролей на биосе. Говорят, админ был недоволен
> :)Это говорит лишь о том что вам больше 30 лет.
Dlink и TPlink дешевые, поэтому такие легкие бекдоры. Инженеры их делают без отрыва от основной работы видимо. Huawei попал под пристальный взор британской разведки. Ну а остальные устройства - очевидно же, что там тоже есть бекдоры, просто нормально сделанные и не найденные.
> есть бекдоры, просто нормально сделанные и не найденные.Поэтому логично их рассматривать как чисто железки. А софт свой, e.g. openwrt. Оно еще и фичастее дефолтного уродства в 20 раз и менее глючное.
Это точно. Если железка работает на SoC от Qualcomm - то у неё дрова будут открытые. Прошивке без проприетарных дровишек я доверяю больше, чем прошивкам с дровишками, которые похожи на чёрный ящик(не ясно, как они работают).
> Это точно. Если железка работает на SoC от Qualcomm - то у
> неё дрова будут открытые. Прошивке без проприетарных дровишек я доверяю больше,
> чем прошивкам с дровишками, которые похожи на чёрный ящик(не ясно, как
> они работают).вот у DLink открытое все. Только не защищает от бэкдоров - вы еще продолжаете доверять Dlink на основании открытости?
> вот у DLink открытое все.Что - все? Они уже перестали пхать какие-то блобы и отсебятину?
> Только не защищает от бэкдоров - вы
> еще продолжаете доверять Dlink на основании открытости?Как бы репутация - штука комплексная. Открытость - одна из состовляющих. Необходимая, но сама по себе еще не достаточная.
Давно просек. Телнет торчал наружу. Купил другой роутер и прошил томато
Аналогично.
Юзайте и дальше проприетарные прошивки;) У меня OpenWRT из Trunk - очень красивая и удобная система. Которую я сам настраивал, и поэтому уверен что в ней такого бэкдора нет.
> Юзайте и дальше проприетарные прошивки;) У меня OpenWRT из Trunk -
> очень красивая и удобная система. Которую я сам настраивал, и поэтому
> уверен что в ней такого бэкдора нет.Загрузчик стартует до загрузки системы. Вы с помощью его перепрошивались.
> Загрузчик стартует до загрузки системы. Вы с помощью его перепрошивались.Попробуйте новость перечитать. Это обычный демон телнета запускаемый обычным шеллскриптом. Какой, к чертям, загрузчик. Если вашей квалификации не хватает чтобы их отличить - не надо своим бредом форум загаживать хотя-бы.
Ненавязчиво продвигают OpenWRT.
Лучше бы broadcom и ateros продавали аппаратную платформу напрямую людям - и давали спецификации в расчете на то что люди сами напишут прошивку и будут поддерживать.
Ну вообще, квалкомм-атерос на свои чипы драйвера открытые раздают. Поэтому люди и пишут прошивки типа openwrt. На атеросах работает изумительно. Да еще и с кучей фич, типа кучи виртуальных интерфейсов на 1 реальном wi-fi.
> Поэтому люди и пишут прошивки типа openwrt.На атеросах работает изумительно. Да еще и с кучей фич...Ага. В OpenWrt отсутствие поддержки Hardware NAT и Scatter-Gather DMA у современных чипов Atheros это нынче оказывается называется «изЮмительно» и «куча фич».
> Ага. В OpenWrt отсутствие поддержки Hardware NAT и Scatter-Gather DMA у современных
> чипов Atheros это нынче оказывается называется «изЮмительно» и «куча фич».Если не считать того, что второе в принципе не прикрутить к BSD даже на соплях, а первое - имеет сомнительную надобность - поскольку даже вендоры редко юзают HW NAT в домашних девайсах (все железки, которые с оным видел - имеют дикие глюки с ALG) - то нормально.
Может не стоит говорить за всех? И аббревиатуру BSD надо применять в темах где она обсуждается, а не рандомно вставлять в любые топики. В SOHO-роутерах BSD нет. К чему Вы ее упомянули? Или у Вас есть информация, что кто-то выпускает SOHO-роутеры с BSD на борту?По делу. OpenWrt не может прокачать из WAN в LAN больше 0.3-0.4 Гбит/с ни на одном Atheros. Скорость упрется в CPU. Прошивки от дырлинков и туполинков имеют поддержку HW NAT, но качество прошивок от этих производителей не оставляют никаких надежд пользователям данной продукции.
Городские сети построенные на гигабитных свитчах и локальные пиры 1 ГБ/c в наше время уже не редкость. Если Вы их не видели, то это не значит, что их нет. Хардварный NAT неплохо работает в роутерах построенных на ралинках и вполне себе прокачивает 0.9-1 Гбит/с. Процессор при этом абсолютно не загружен.
Я Вам даже больше скажу. Есть исходники для реализации HW NAT для Atheros, например по ссылке - http://gpl.back2roots.org/source/fritzbox/7270_5.21/GPL-rele.../Но разработчики OpenWrt сказали извиняйте, но нам это неинтересно и закрыли тикет. Может Вы сделаете патчи к OpenWrt например для AR832X? ;) Вам тогда куча народу спасибо скажет и сделает Вас интернациональным героем. :) Я даже ТРИ раза после этого напишу на опеннете, что BSD плохая и никчемная система, раз она Вас так сильно раздражает. :D
> По делу. OpenWrt не может прокачать из WAN в LAN больше 0.3-0.4
> Гбит/с ни на одном Atheros. Скорость упрется в CPU. Прошивки отПо делу - вы хотели от дешевого домашнего роутера > 0.4 Гбит? Сочувствую.
У Netgear есть адекватные модели - способные и почти wirespeed протащить, но дешевизной они не отличаются.
> Городские сети построенные на гигабитных свитчах и локальные пиры 1 ГБ/c в
данный момент никому не нужны. По факту. Абонент не готов платить за них адекватных денег - а значит пока будут только у пионерии. Кроме того - это пока что оно катит. Как только желающих "локальных гигабитных пиров" станет побольше - начнут резать скорость на портах, потому что аплинки до ядра заткнутся.
> Хардварный NAT неплохо работает в роутерах построенных на ралинкахИ вполне себе не умел нормально пропускать ни SIP, ни более одной PPTP-сессии. Может быть, в новых ревизиях исправили - не знаю, не сталкивался уже год.
Вы не очень в теме, но с умным видом пишете: "сочувствую". Мы говорим о роутерах в которых заявлена поддержка HW NAT и они все умеют как минимум 800 Мбит/c.На вскидку TL-WDR3600/4300/4900 (Atheros), ASUS RT-56N/65N (Ralink). Дорого для 1 Гбит/c? WDR3600 даже в России стоит меньше 3 тыс. р., я уж молчу про всякие ebay.com.
На первые Вы будете вынуждены поставить OpenWrt ввиду того, что заводская прошивка от тyполинка является yнылым г...м, а c OpenWrt получите нагрузку на CPU 100% и 0.3 Гбит/c от заявленных 0.8. Как думаете устроит это человека у которого дома 1 Гбит/c? :)
А на вторые Вы сможете поставить альтернативную прошивку в которую также как в OpenWrt можно ставить дополнительный софт, но она умеет 1 Гбит/c так как поддерживает HW NAT.
Вот и думайте теперь, стоит ли кушать кaктусы с OpenWrt.
> данный момент никому не нужны. По факту. Абонент не готов платить за них адекватных денег - а значит пока будут только у пиoнерии.
Не смешите меня. Вы в лесу что ли живете? Сейчас сплошь и рядом провайдеры дают доступ в городскую локальную сеть на максимуме, а на внешние ресурсы идет ограничение по тарифу. В городской сети провайдеры, как правило, активно развивают внутренние ресурсы (торренты, DC, IPTV, игровые сервера и т. п.). Вот об этом гигабите и речь.
> Не смешите меня. Вы в лесу что ли живете? Сейчас сплошь и
> рядом провайдеры дают доступ в городскую локальную сетьДавайте конкретно: кто дает гигабит в локалке? Ростелеком? Транстелеком? Дом.ру? Билайн? Может быть, Мегафон? Или МТС?
Просто вы смотрите совершенно не с позиции оператора - и вам кажется, что всё радужно. Ничего радужного: гбит до квартиры в данный момент экономически нецелесообразен - а) его реально нечем занять (а забивать инфраструктуру торрентами операторам не особо выгодно); б) абонент не готов платить за него дополнительных денег. Второй фактор является останавливающим.
> на внешние ресурсы идет ограничение по тарифу. В городской сети провайдеры,
> как правило, активно развивают внутренние ресурсы (торренты, DC, IPTV, игровые сервера
> и т. п.). Вот об этом гигабите и речь.Де факто: после 20 Мбит/сек по тарифу во внешнюю сеть локальные ресурсы становятся никому толком не нужны. Более того - при повышении тарифов выше планки в 20 Мбит начинает градуально увеличиваться и коэффициент овербукинга - качальщикам становится "нечего качать" (или "некуда качать" - не суть).
А с учетом скорого принятия закона против "пиратского" контента - забудьте о локальных ресурсах совсем.
IPTV же - это на данный момент ~6-16 Мбит в сторону пользователя. Думаю, что гигабитные линки до премайзов появятся как раз таки где-то года через 2-3-4-5, с повальным распространением UHD в IPTV. Но не сейчас.
---
> На первые Вы будете вынуждены поставить OpenWrt ввиду того, что заводская прошивка от тyполинка является yнылым г...м, а c OpenWrt получите нагрузку на CPU 100%
WNDR4500 от Netgear собран на броадкоме, и без всяких H/W NAT протаскивает 900 Mbps. Родная прошивка у него вполне себе вменяемая и достаточно фичастая.
А из роутеров на ралинке я бы смотрел в сторону того же Zyxel Keenetic Giga. Ревизия 1 протаскивает порядка 650 мегабит - что вполне себе прилично. И стоит сущие копейки. Опять же - нормально сделанная прошивка (речь о v2) позволяет не искать альтернативных вариантов.
> Ростелеком? Транстелеком? Дом.ру? Билайн? Может быть, Мегафон? Или МТС?Перечисленные обычно на витухе экономят и тянут по этому поводу самую занюханную 2-парную витуху, 100Мбитов там максимум. Чисто технически. Да и оплачивать даже 100М SOHO юзер уже поднапрягается, все кого я знаю удушили жабу на 20-30Мбит. Особо продвинутые - 50.
> него дополнительных денег. Второй фактор является останавливающим.
в) 100Мбит работает по самой паршивой и дешевой бельевой веревке^W^W витой паре с 2-я парами. А для гигабита надо 4 пары и он в целом к качеству кабеля требовательнее. И оборудование дороже. Поэтому упомянутые обычно тянут самую галимую 2-парную хрень, с тонкими жилами, из медненого алюминия, рещив что 100Мбит хватит всем. И хватет, что характерно.
> Де факто: после 20 Мбит/сек по тарифу во внешнюю сеть локальные ресурсы
> становятся никому толком не нужны.Более того - копирасы нынче щучат провайдеров и прочих - многие локалки снесли все эти торренты и DC++, т.к. мало кто хочет отдуваться за чужие пригрешения. Дошло до того что многие провы вообще локалки как таковой не предоставляют. Потому что при скорости 20Мбит и выше это уже мало кто считает за какой-то плюс.
> А с учетом скорого принятия закона против "пиратского" контента - забудьте о
> локальных ресурсах совсем.На самом деле - наиболее крупные варезники уже поприщемляли и их число заметно сократилось.
> года через 2-3-4-5, с повальным распространением UHD в IPTV. Но не сейчас.
И то - лень им будет перекладывать свою позорную удешевленную витуху. Как-нибудь впихнут в 100М :)
> сделанная прошивка (речь о v2) позволяет не искать альтернативных вариантов.
софта мало и ребилдить неудобно, так что для продвинутого нетворкинга не пойдет. А хомяку 600Мбитов нафиг не упали.
> WNDR4500 от Netgear собран на броадкоме, и без всяких H/W NAT протаскивает 900 Mbps.И наверняка процессор у него при этом кладет зубы на полку. И это при стоимости роутера в два раз больше чем 56-ой асус, на который можно поставить любой софт из реп или вообще все собрать самому при желании, как душе будет угодно.
Гигабиты в Москве раздают здесь например - http://www.2kom.ru/home/tarify_na_bezlimitnyj_internet/dopol.../
Ростелеком, кстати, активно строит сети GPON и в некоторых городах России уже тоже предлагает скорости в локалке близкие к гигабиту. Так что зря Вы на них наезжаете.
Все остальные перечисленные провайдеры, являются провайдерами-извращенцами. И будут таковыми до тех пор пока не откажутся от своих тормозных L2TP/PPTP и прочей туннельной хрeни. Будущее за IPoE и гигабитами. ;)
> Ростелеком, кстати, активно строит сети GPON и в некоторых городах России уже
> тоже предлагает скорости в локалке близкие к гигабиту. Так что зря
> Вы на них наезжаете.// у ростелекома нет локалки //
> Все остальные перечисленные провайдеры, являются провайдерами-извращенцами. И будут
> таковыми до тех пор пока не откажутся от своих тормозных L2TP/PPTP
> и прочей туннельной хрeни. Будущее за IPoE и гигабитами. ;)// у ростелекома очень даже туннельные соединения. PPPoE //
> у ростелекома нет локалкиСкорее бы уж каникулы у детей закончились.
Всем упoротым посвящается - http://jpegshare.net/c8/5e/c85e0752494f8d22d8380bc10b617fd9.... (скриншот с сайта Ростелеком)
На заборе тоже может быть "х@#" написано, но это не значит, что его реально оторвали, и к забору прибили.http://jpegshare.net/50/da/50da6f0dade557cc93b65dc34ded0cd1....
Может быть, ты где-то видел провайдера, который бы запрещал обмен данными между абонентами?
Ростелеком предоставляет инет через PPPoE-туннель. И локалки в прямом понимании этого слова у них нет. Возможно, трафик между абонентами не ограничивается или имеет планку ограничения повыше тарифной, но толку от этого при нормально работающей внешке - ровным счетом никакого.
Что ты прицепился к этом у PPPoE в Ростелекоме как будто это как то спасет тебя от того что ты себя выставил ламером? PPPoE и HW NAT ничем не хуже работает в Ростелекоме. Я специально написал L2TP/PPTP. Самым большим извращением считаю Билайн с их L2TP.Ну не нравится тебе Питер езжай в Пермь за ростелекомским гигабитом http://forum.ixbt.com/topic.cgi?id=14:56970:482#481
> Ну не нравится тебе Питер езжай в Пермь за ростелекомским гигабитом http://forum.ixbt.com/topic.cgi?id=14:56970:482#481Это скорее тебе. Мне как-то на этот гигабит непонятно чего строго покласть, он мне тупо не нужен :)
> Что ты прицепился к этом у PPPoE в Ростелекоме как будто это
> как то спасет тебя от того что ты себя выставил ламером?Да нет, это ты себя выставил ламером :) Ну или гаджетдрочером, как тебе больше нравится.
> Вот и думайте теперь, стоит ли кушать кaктусы с OpenWrt.Понимаете ли, мне возможность гибко рулить маршрутизатором и впихать на него торренты, впн и еще несколько более экзотичных сетевых сервисов чтобы не зависеть от включенности большого и прожорливого писюка, многократно перекрывает необходимость роутить сферический гигабит в вакууме. От прова торчит 100М линк, а оплачивать я готов вообще лишь 50. А как там у вас космические корабли бороздят просторы тихого океана - мне не интересно.
> По делу. OpenWrt не может прокачать из WAN в LAN больше 0.3-0.4
> Гбит/с ни на одном Atheros. Скорость упрется в CPU.Внимание, вопрос: кому в SOHO надо больше? :)
> Городские сети построенные на гигабитных свитчах и локальные пиры 1 ГБ/c в
> наше время уже не редкость.Вот только провайдеры что-то тянут хомякам дешевую 2-парную витуху почему-то, просто потому что она заметно дешевле.
> роутерах построенных на ралинках и вполне себе прокачивает 0.9-1 Гбит/с. Процессор
> при этом абсолютно не загружен.Очень нишевое достоинство, нужное сильно некоторым.
> Но разработчики OpenWrt сказали извиняйте, но нам это неинтересно и закрыли тикет.
А что поделать, если это правда? Опенврт пользуются те кого интересует гибкость линукса. А роутить гигабит на мыльнице для камикадзе - весьма нишевая задача.
> Может Вы сделаете патчи к OpenWrt например для AR832X? ;) Вам
> тогда куча народу спасибо скажет и сделает Вас интернациональным героем. :)Куча - это видимо полтора человека :)
> Я даже ТРИ раза после этого напишу на опеннете, что BSD
> плохая и никчемная система, раз она Вас так сильно раздражает. :DДля начала просто покажите то же самое на этих ваших BSD. Раздражает то что бцдуны лезут с своей серебряной пулей, а по факту оказывается что их пуля - из г@вна.
Еще про погоду в свой деревне и виндовс 7 расскажи. Для слабоумных так и быть поясню. В слове «HW_NAT» не встречаются буквы «B» «S» и «D». Речь идет о прошивках на Linux, которые умеют HW_NAT и которые не умеют (OpenWrt).
http://www.2kom.ru/home/tarify_na_bezlimitnyj_internet/dopol.../
http://forum.ixbt.com/topic.cgi?id=14:59211-39#1416А это еще в догонку, насчет того, что нам "нИ надо гигабит".
P. S.
Если бы ты еще в OpenWrt хорошо разбирался, то знал бы что проги типа samba и transmission хорошенько так выжирают ресурсы CPU на роутере, и HW_NAT и S/G DMA бы очень пришлись кстати в OpenWrt для разгрузки CPU, но к сожалению ты кроме как хорошенько пoкpасноглaзить ни в чем больше не разбираешься.
Ну и сколько абонентов у твоего 2кома? И какой овербукинг на внешке?
Иксбт то будем читать или будем дальше ныть, что гигабитов не бывает и он не нужен людям на домашних маршрутизаторах? Там и про гигабитный Ростелеком есть, если что.
"Если что" - у меня дома этот самый Ростелеком. GPON. Толку от того, что там "до гигабита" - достаточно мало. Нет - я оттуда выжимал. Один раз. Торрентом. Ажно 170 метров. Но - не с несуществующей локалки, а вполне себе с реальных хостов в Штатах. В часы наименьшей нагрузки. CentOS свежий тянул.Можешь читать что угодно, сколько влезет. Хоть иксбит, хоть хабр, хоть туалетную бумагу в рулонах. Практика от этого ни разу не изменится. В силу специфики деятельности вполне могу себе позволить порассуждать о птичках^W мясе^W практике вполне предметно.
А практика такова: тех, которым нужен гиг - менее 0.001% от общего числа абонентов, и провайдерам они слегка так невыгодны. На данный момент. Вот если за услугу "до гига локалки" брать дополнительные 300-400 рублей сверх тарифного плана - будет уже более-менее нормально. Но платить даже эту сумму согласится максимум 1% от тех, кому оно якобы нужно. Поэтому - увы. Экономически не оправдано.
Еще вторая сторона медали есть: даже 50+ мбит именно внешки продать физику уже трудно, потому что начинаются проблемы с CPE. Не из-за CPU. Из-за повальной забитости каналов 802.11... Пока абонент себе сидит один посиживает - вроде как N300/N450/N... решают проблему. Но вот в условиях плотной застройки всё становится более печально. Кардинальное решение - 5 ГГц, конечно, и его засрут, но решение. Правда, дорогое - и 5 ГГц карточек в ширпотребных устройствах пока что почти не встретить. На локалку этот нюанс, ясен перец, тоже влияет впрямую. И чем больше "локальщиков" и "торрентщиков" - тем хуже ситуация.
Но это так, к слову. Вангую: пока не встанет острой необходимости (UHD?), либо пока тарифы на инет не изменятся раза в 2 вверх - гига до премайза массово не будет. По многим причинам. Про двухпарную медь тоже верно заметили в этом треде. Еще потому, что я что-то как-то очень сомневаюсь, что у мелочи, рекламирующей "гиговый линк" между премайзами линки шире 1-2 Гбит - десятка на доступе - это ОЧЕНЬ дорого. Т.е. никаким гигом там в целом и не пахнет близко, просто абонентов мало пока. Плюс - локалка уже никогда не станет заменой полноценной внешке - интерактивные сервисы крупных контент-генераторов убили всю привлекательность локалок полностью, за исключением тех мест, где с внешкой задница. Как только появляются более-менее честные тарифы во внешку 20+ Мбит - локальным ресурсам резко плохеет.
Можешь дальше прятать голову в песок как страус и делать вид, что провайдеры не дают в своих локалках доступ на гигабите. Как говорится, ему про Фому (про гигабитную локалку), а он про Ерему (внешку).В темах на ixbt.com, которые ты сравнил с туалетной бумагой, участвуют реальные программеры благодоря которым этот самый гигабит нормально заработал на ралинках. Их ответы и мысли читать гораздо полезнее, чем твое словоблудие, от того что тебе кажется, что гигабит невозможен.
В общем, от того что ты тут поумничал, гигабит у тех людей у которых он уже есть никуда не денется.
Да пусть будет, кто запрещает-то? От того, что он будет, полезность оного не прибавится.
SG DMA - помогло бы только для тех же торрентов на самом роутере. В роутинге сквозь железку SG DMA - не нужен. Только для коннектов, терминирующихся на самой железке. И то - сильное влияние оказывает именно gather, а не scatter.Если бы ты был практиком - ты бы знал, что для роутинга не обязательно scatter'ить / gather'ить пакеты. Принял обычным DMA в линейный буфер, и обычным DMA же линейно выкинул дальше без изменений.
> Если бы ты был практиком - ты бы знал, что для роутинга
> не обязательно scatter'ить / gather'ить пакеты. Принял обычным DMA в линейный
> буфер, и обычным DMA же линейно выкинул дальше без изменений.Спасибо кэп! Только имелось в виду, что когда клиенты тянут торренты в домашней сети, то HW NAT разгружает CPU роутера оставляя эти ресурсы самбе, фтп, длна и прочим программам на роутере. А уж этим прогам еще в добавок помогает S/G DMA.
Я как раз практик в отличии от тебя и знаю что в OpenWrt 12.09 и в свежем транке на ядре 3.8 при чтении с винта по FTP скорость упирается в потолок 10-14 МБ/c, а RT-N56 с поддержкой S/G DMA выдает 20-23 МБ/c. Если в 56-ом отключить поддержку S/G DMA то он начинает также дико тормозить как OpenWrt.
Можешь дальше словоблудить и троллить, но мне уже надоело слушать эти сказки про "640 КБайт хватит всем".
> Я как раз практик в отличии от тебяКупи себе нормальный NAS уже наконец. Или собери задешево (ну, дороже мыльницы, конечно) mini-ITX машинку на AMD, которая и жрать будет не много, и справится с этой задачей куда лучше мыльницы, для оного в принципе не предназначенной, и еще в роли медиаплеера поработает.
У меня стоит вполне себе нормальный x86, потому что задачи сильно повыше тех, с чем вменяемо справится мыльница. Роутинг, торрент и файлопомойка - скорее побочные задачи, чем основные. Скорость выдачи данных с винта в сетку и назад получается не 10-20, а все 60-90 MBps. При нагрузке CPU <5% :)
Так что в дрочеве на мыльницы с h/w nat смысла не вижу. Для любителей гаджетов на пофапать - самое оно, и всего лишь. 20-23 MBps - это в общем и целом ни о чём. А если смотреть с позиции хомяка - посмотреть фильм прямо с мыльницы хватает 10 MB за глаза. Т.е. опять же - разве что на фап-фап.
В очередной раз спасибо кэп. Я то не знал. :) Чтобы только без твоих подсказок делал то. :)Но мы вроде говорили про S/G DMA в роутерах, а тут оказалось что к "фичастой OpenWrt" надо оказывается еще NAS прикупить. чтобы все ее фичи нормально могли реализовываться :)
> Но мы вроде говорили про S/G DMA в роутерах, а тут оказалосьВы-то говорили. А тут оказалось, что никому, кроме вас, оно реально не интересно или не нужно :)
Еще раз:
1) хомяк не знает, что такое SG DMA, 10 MBps ему за глаза, чтобы фильм посмотреть. Что такое OpenWrt - он тоже не знает
2) те, кто знают, что такое OpenWrt - ставят его под специфичные задачи, в которых обычно наплевать - есть там h/w nat или нет его, ну и sg dma тоже
3) есть еще третья категория - которая непонятно зачем этот OpenWrt вкрутила, и не знает, что с ним делать... лучше официальной прошивки он в целом для них не будет (по двум причинам: а) им просто нечем его занять; б) да, он не поддерживает проприетарных фич, угу)
4) до 200-400 Mbps WAN<->LAN роутеры вполне тащат и без hw nat, а выше 100 мбит внешки до премайза будет еще не скороЕсли бы какая-то заинтересованность в поддержке костыле^W HW фич ралинка была - уже давно запилили бы.
> It doesn't change the fact that the way this is implemented is completely messed up and requires lot of hacks all over the network stack. Until we find a clean way to implement this, I won't bother porting any of the code. => wontfix.
> даже на соплях, а первое - имеет сомнительную надобность - поскольку...поскольку 400МГц и более проц и софтварно одной левой 100Мбит занатит. А по 2-парному кабелю от прова больше и не пролезет, при всем желании. Провы ж хитрые - дешевую витуху кладут, с 2-я парами. Ну а что, 100М хомякам выше крыши, большинство больше 20-30Мбит оплачивать вообще не хочет.
> Ага. В OpenWrt отсутствие поддержки Hardware NAT и Scatter-Gather DMA у современных
> чипов Atheros это нынче оказывается называется «изЮмительно» и «куча фич».Современные чипы от атерос достаточно быстры для того чтобы это колыхало лишь нескольких эстетов. Даже чисто софтварный нат на 100Мбит для современного проца (400МГц и более) - не является какой либо особой проблемой. А больше провы как-то и не предоставляют особо, они чисто технически обычно тянут 2 пары - а там только 100М, по любому.
cisco тоже пишет бэкдоры, что бы в гости к китайцам ходить
> cisco тоже пишет бэкдоры, что бы в гости к китайцам ходитьИ если б только к китайцам...
Не работает!
из списка не один не подошел.
но сети нашел такой пароль каторый заработал: wrgn23_dlwbr_dir300b
> но сети нашел такой пароль каторый заработал: wrgn23_dlwbr_dir300bНу так название прошивки у девайсов разное. У вас видимо вот такое.
Гы, да все проще. Уже десяток длинков заграбасталcurl --data "cmd=cat /var/passwd" http://192.168.0.1/command.php
> curl --data "cmd=cat /var/passwd" http://192.168.0.1/command.phpТак то ж боянистая дырень.
Чего жалуетесь, за 1200р, маршрутизатор с вай-фаем. Вам за эту сумму еще и бэкдора не пожалели положить. Обычная домашняя железка, для дома и малого офиса.Хотите большего, покупайте че-нить подороже, а для обозначенных целей вообще пофиг, бэкдор там или 10 бэкдоров. С внешки там все-равно все доступы закрыты, а если у вас дома хацкеры живут - быть может в этом не железка виновата?
Вы еще по плачте что у вашего домашнего мегазапароленного линукса, пароль сбрасывается добавлением в загрузчик команды "init=/bin/bash". Так это вообще БЭКДОРИЩЕ получается. Все хорошо за свою цену и для своих целей. Хотите без бэкдоров, пожалуста, Цыска ждет вас. А там где ДИР-300 используется, в нем просто нечего скрывать.
Ну вот какая ценная информация там может быть получена? Настройки интернет-а? Их домашние пользователи и так знают. Может настройки интерната компании, в которой этот маршрутизатор стоит? Так это и так можно узнать - у компаний обычно статика, и для того чтобы узнать эти настройки, достаточно из внутренней сети пройти по адресу 2ip.ru, а маску и шлюз додумаете сами. Может пароль от вай-фая? Ну да, как вариант, тока опять-же, домашние пользователи и так его знают, а в конторе порой проще подглядеть этот пароль на уже подключенных устройствах(например на всеми любимой винде). А ВПН сервер дешевые устройства со стоковой прошивкой впринцыпе не умеют. Поэтому что есть там бэкдор, что нету - пофигу. Чтобы обломать пыл обывателя, хватит и пароля на веб морде. А кого похитрее это и так не остановит.
Невижу трагедии.
> Чего жалуетесь, за 1200р, маршрутизатор с вай-фаем...Даже дешевую железку можно прошить нормальной прошивкой, и решить многие проблемы.
> С внешки там все-равно все доступы закрыты...Не факт: потрудитесь почитать обсуждение, прежде чем писать это.
> Хотите без бэкдоров, пожалуста, Цыска ждет вас.Наивненько. :)
> Невижу трагедии.Те, кто "невидит трагедии", и есть целевая аудитория подобных девайсов с их мутными прошивками.
P.S. "Не" с глаголами пишется раздельно, хакер... :)
> Чего жалуетесь, за 1200р, маршрутизатор с вай-фаем.А жителям города Троя коня вообще забесплатно притащили :). Есть поводы для негодования :P.
> Невижу трагедии.Тогда оставь тут айпишнички своих ДЫР-300. Тебе без разницы, а народу халявный ресурс.
