Ir a Empresas
Search
Open navigation

El router HGW-2501GN-R2 genera paquetes envenenados "FLOOD IGMP CONGESTION"

dekoder
Más integrado que la RDSI
Más integrado que la RDSI
‎25-01-2017 21:08

El router HGW-2501GN-R2 genera paquetes envenenados "FLOOD IGMP CONGESTION"
‎25-01-2017 21:08

Hola, buen día a todos.

 

Desde hace una o dos semanas el antivirus me da un aviso de ataque "flood igmp congestion", identificando a 192.168.1.1 como atacante (que es el router). A partir del aviso queda bloqueado el acceso a la configuración del mismo. Me veo obligado a apagarlo y, deprisa y corriendo, restaurar los valores de fábrica.

 

He llamado al 1002 y no consigo que me atienda un humano.

Más tarde descubrí que podía abrir una incidencia por la página web y abrí una. La persona que me atendió me comentó que ése no era su departamento, que me habían llamado desde el servicio técnico para móviles porque especifiqué un móvil como contacto. ¡Claro que especifiqué un móvil! Si me reinician se va a cortar la llamada por el fijo, ¿no?

 

Aún así abrí otra incidencia, pero no se han puesto en contacto conmigo.

 

He aplicado los parches en el archivo de configuración y, si bien ahora los teléfonos móviles tardan varios días en descargarse (se descargaban en una noche), el mensaje sigue saliendo.

 

Me gustaría saber si este error es frecuente, porque tiene pinta de ser asunto de firmware, ya que después de varios meses funcionando correctamente y sin cambiar nada ni de la configuración ni de la geometría de la red, surja este error. Y más sabiendo que recientemente lo han actualizado.

 

Agradecería una solución, yo estaba sumamente contento con el servicio y ahora me encuentro consternado por lo difícil que está siendo que atiendan mi problema.

 

Agradecido por anticipado.

Mensaje 1 de 5
648 Visitas
0 votos
Responder
4 RESPUESTAS 4
Theliel
Yo probé el VDSL
Yo probé el VDSL
‎26-01-2017 1:33

‎26-01-2017 1:33

Buenas @dekoder

 

No se ha actualizado hace poco, hasta donde sé, a menos que tengas otra instalada, bamos por la B26.

 

La causa puede estar en varios sitios.

 

Por un lado, evidentemente el Router genera tráfico IGMP y actúa tanto de Proxy como de Querier para tu red, necesario para mantener entre otras cosas el grupo multicast que recibe el tráfico de la TV. Pero esto genera un tráfico relativamente importante, sobre todo en su configuración por defecto que establece un QI de 10 seg, cuando lo recomendado es 125 a menos que se tengan problemas de otro tipo.

 

Dicho eso... el primer responsable evidente es el propio AV, que esté configurado/pre de forma muy sensible y salte por un tráfico relativamente pequeño. Cualquier actualización de este o cualquier cambio en sus reglas puede ser más que suficiente.

 

Por otro lado podría ser que Movistar haya precargado otra configuración al Router, sobre todo ante un reinicio o restablecimiento y haya modificado los parámetros IGMP y ahora el tráfico sea mayor, o incluso que te hayas equivocado modificando el archivo de configuración y lo hayas producido tú mismo.

 

Un fallo en el firmware no lo creo, sería raro que de pronto un día porque sí el firmware se vuelve loco.

 

Otra opción muy muy posible, es que por culpa de un dispositivo de la red que se haya desde actualizando, reconfigurado o que tenga cualquier bug, puede provocar en el Router o incluso en él mismo una tormenta IGMP/broadcast, creando realmente un Flood, en cuyo caso no sería sensibilidad del AV, sino algo real.

 

--------

 

Hay muchas cosas que se pueden comprobar. Lo primero, es ver realmente que tráfico es ese tan acuciante que avisa el AV, así que colocar un analizador de paquetes tipo Wireshark en el equipo con el AV deshabilitado, y ver la cadencia del tráfico IGMP, como es este el único que nos interesa aquí, sería trivial filtrarlo y tener unas buenas estadísticas, y repetirlo a diferentes horas del día porsi no se registra constantemente. Eso nos diría casi al 100% que está pasando y quien es el responsable, ya sea otro equipo o el Router. Además permitiría saber que tipo de paquete IGMP está enviando el Router de forma tan consecutiva, repito, siempre que no sea sensibilidad del AV.

 

Si todo es correcto en principio sería suficiente con habilitar el AV y esperar que saltase con Wireshark funcionando, y ver donde y cuando.

 

Otra opción, más de andar por casa, es deshabilitar todos los dispositivos de la red para ir descartando responsables cuando el flood esté ocasionandose.

 

Etc etc etc.

 

No digo para nada que no ocurra, pero lo primero es el poder reproducirlo, y después simplemente ver de donde sale y po rqué.

 

Mándame si quieres/puedes tu archivo de configuración con el que en principio te da problemas, a ver si tienes un mal ajuste, y si te llevas bien con herramientas de red, como digo, usa Wireshark

 

 

 

 


Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 2 de 5
616 Visitas
0 votos
Responder
dekoder
Más integrado que la RDSI
Más integrado que la RDSI
‎26-01-2017 19:12

‎26-01-2017 19:12

Hola, muchas gracias por la respuesta.

 

Tengo puesto el 125 para el igmp y demás "hacks" que hay en la el hilo de los problemas. Al principio dejó de darme el mensaje durante un días (más o menos). Ya me estaba frotando las manos cuando volvió el error. 

 

Desde luego, los móviles lo están agradeciendo, ¡me dura casi una semana una carga!

 

Después de mucho pensar, me he dicho: "voy a divertirme". Así que, sobre la configuración hackeada, he ido deshabilitando todo lo que no necesito (en principio). Fuera icmp (ping, etc.), fuera igmp (y de momento el decodificador sigue funcionando), fuera la administración remota y todo lo que no sea telefono y tpc-ip. 

 

Hace ya más de 12 horas que lo hice y no ha vuelto el warning del antivirus. He tenido emule, torrent (bajando a más de 30Mbytes/s) y el servidor web que tengo configurado para pruebas en una raspberry pi, con sus puertos mapeados.

 

Todo parece funcionar bien de este modo. Lo que no entiendo es cómo funciona la tele si necesitaba el igmp. Pero bueno, también el decodificador venía con puertos mapeados en el router, quizás ya no lo necesite.

 

Si continúa todo así, ya me va bien. Respecto a wireshark, cuando estudié el grado de informática no nos enseñaron NINGUNA herramienta de monitorización, por el nombre supongo que es un capturador de tráfico, ¿no?

 

¿Te parece que continúe con esta configuración "minimalista" si sigue funcionando?

 

Te envío un afectuoso saludo.

Mensaje 3 de 5
591 Visitas
0 votos
Responder
Theliel
Yo probé el VDSL
Yo probé el VDSL
‎26-01-2017 20:34

‎26-01-2017 20:34

Buenas @dekoder

 

No no, a ver, son cosas diferentes.

 

La tele emite el tráfico en multicast, un tipo de tráfico q no esta destinado a un solo dispositivo, sino que a muchos, a todos los que se añaden al grupo multicast de la emisión.

 

IGMP es un protocolo usado precisamente para la gestión de grupos multicast,

 

IGMP Snooping es un mecanismo por el cual el Router filtra el tráfico multicast, enviando solo a aquellos equipos en el grupo el tráfico.

 

IGMP Proxy es otra tecnología usada para IGMP para que el router pueda conocer el estado de los grupos multicast y otra info importante a través de diferentes interfaces, así como además poder hacer de querier.

 

No se que has deshabilitado o como, pero no necesariamente has deshabilitado el tráfico multicast. depende de que hayas quitado, el problema será uno u otro.


Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 4 de 5
577 Visitas
0 votos
Responder
dekoder
Más integrado que la RDSI
Más integrado que la RDSI
‎02-02-2017 14:24

‎02-02-2017 14:24

Pues ya no salta el antivirus, pero se bloquea de vez en cuando. Contento me tiene...

Mensaje 5 de 5
519 Visitas
0 votos
Responder