Распространенные проблемы Wi-Fi роутеров и как их исправить

 

И теперь смот­рим в лог. Если наши пред­положе­ния вер­ны, то заметим мно­го сооб­щений с пре­фик­сом DNS. Уви­дим, с каких адре­сов и на какие интерфей­сы летят зап­росы. Ско­рее все­го, это будет интерфейс WAN. Но мы не хотим обра­баты­вать DNS-зап­росы, при­шед­шие к нам из интерне­та. Зак­роем UDP-порт 53 на интерфей­се WAN, помес­тим пра­вило в нуж­ном мес­те — и нас­лажда­емся сни­зив­шей­ся наг­рузкой. Поз­драв­ляю! Мы толь­ко что обна­ружи­ли, что были частью бот­нета, зак­рыли эту дыру и сде­лали интернет чуточ­ку чище. Подоб­ные ата­ки час­то про­водят­ся с при­мене­нием про­токо­лов, работа­ющих над UDP.

 

Firewall

Во­обще, уме­ние работать с фай­рво­лом несет в себе огромную силу. Гра­мот­но пос­тро­енное пра­вило ука­жет, как про­ходит пакет через сис­тему, в какой интерфейс попада­ет, из какого ухо­дит даль­ше и получа­ет ли ответный пакет. По одним толь­ко счет­чикам мож­но мно­гое узнать о сво­ей сети.

Counters

В стол­бцах Bytes и Packets отоб­ража­ются количес­тво бай­тов и пакетов, обра­ботан­ных пра­вилом. Кноп­ки Reset Counters сбра­сыва­ют эти счет­чики. Теперь мож­но наб­людать, попада­ет ли тра­фик в нуж­ное пра­вило или нет.

По­лез­ной час­то ока­зыва­ется вклад­ка Connections фай­рво­ла. Тут вид­но все потоки, про­ходя­щие через Wi-Fi роутер: их сос­тояние, количес­тво про­шед­ших бай­тов, фла­ги потока (для получе­ния под­сказ­ки дос­таточ­но навес­ти кур­сор на зна­чение в стол­бце). Для боль­шей наг­ляднос­ти нуж­но добавить поля Reply Dst. Address и Reply Src. Address. В этих полях вид­но, в какой и из какого адре­са был про­веден NAT.

Connections

Фай­рвол со все­ми его фичами поз­воля­ет деталь­но дебажить весь тра­фик, про­ходя­щий через Wi-Fi роутер. Что­бы луч­ше понимать, что про­исхо­дит во всех этих вклад­ках, нуж­но изу­чить, как пакеты про­ходят через роутер. На кар­тинке упро­щен­ная вер­сия схе­мы. Бо­лее под­робная есть в докумен­тации.

Traffic Flow

Другие способы анализа трафика

Уви­деть сос­тояние потока, его адре­са, бай­ты и про­чее — хорошо. Но фай­рвол не поз­воля­ет удоб­но и из еди­ного мес­та убе­дить­ся, что мар­шру­тиза­ция кор­рек­тна. Что­бы узнать, в какой интерфейс вылета­ет пакет, дос­таточ­но вос­поль­зовать­ся инс­тру­мен­том Torch.

Torch

Torch мож­но вос­при­нимать как некое подобие tcpdump. Здесь мож­но уви­деть VLAN ID, source/destination address/port, DSCP, битовую и пакет­ную ско­рость. Есть удоб­ные филь­тры, которые поз­воля­ют делать точ­ные выбор­ки. Если дан­ные в окне меня­ются слиш­ком быс­тро, уве­личи­вай зна­чение Entry Timeout. К сожале­нию, в одном окне он может показы­вать толь­ко тра­фик на одном интерфей­се, но ник­то не меша­ет нажать New Window и наб­людать за нес­коль­кими интерфей­сами. Если Torch не показы­вает нуж­ного тра­фика на нуж­ном интерфей­се — налицо проб­лемы с мар­шру­тиза­цией Wi-Fi роутера.

Torch дает воз­можность наб­людать за потока­ми тра­фика в реаль­ном вре­мени. Но в некото­рых слу­чаях нуж­ны более деталь­ные дан­ные о тра­фике. Их поз­воля­ет получить инс­тру­мент IP Sniffer.

IP Sniffer

С его помощью мож­но уви­деть парамет­ры тра­фика и даже содер­жимое пакета.

Но иног­да тре­бует­ся более деталь­ный ана­лиз — нап­ример, что­бы убе­дить­ся, что TCP handshake успешно про­шел и дан­ные переда­ются. В таком слу­чае в переда­ваемых пакетах дол­жен при­сутс­тво­вать флаг ACK. Но искать пакеты в скуд­ном интерфей­се «Вин­бокса» неудоб­но.

И тут на помощь при­ходит все­ми любимый Wireshark — мощ­ней­ший инс­тру­мент для ана­лиза сетево­го тра­фика. В Filter ука­зыва­ем нуж­ные парамет­ры, что­бы не сни­фать все под­ряд, в General выбира­ем Filename, жмем Apply и Start. Теперь в Files на Wi-Fi роуте­ре мож­но най­ти наш дамп, переки­нуть его на компь­ютер и открыть «Шар­ком». О нем написа­но мно­го ста­тей, поэто­му даже не буду пытать­ся писать тут, как с ним работать.