Перейти до змісту

Вопрос по SUN NIS+ Information Service

Banzai

Рекомендовані повідомлення

Banzai

Banzai

Опубліковано
Опубліковано

на днях обнаружил в локалке на работе странную рассылку широковещательных пакетов вида:

No. 	Time        Source                Destination   		Protocol Info
  98699 1199.336994 192.168.10.180        224.0.1.8 			UDP      Source port: 51835  Destination port: close-combat

Frame 98699 (123 bytes on wire, 123 bytes captured)
    Arrival Time: Aug 12, 2010 08:35:48.012306000
    [Time delta from previous captured frame: 0.003584000 seconds]
    [Time delta from previous displayed frame: 1.740222000 seconds]
    [Time since reference or first frame: 1199.336994000 seconds]
    Frame Number: 98699
    Frame Length: 123 bytes
    Capture Length: 123 bytes
    [Frame is marked: False]
    [Protocols in frame: eth:ip:udp:data]
    [Coloring Rule Name: UDP]
    [Coloring Rule String: udp]
Ethernet II, Src: HughesNe_c3:fe:a4 (00:80:ae:c3:fe:a4), Dst: IPv4mcast_00:01:08 (01:00:5e:00:01:08)
    Destination: IPv4mcast_00:01:08 (01:00:5e:00:01:08)
        Address: IPv4mcast_00:01:08 (01:00:5e:00:01:08)
        .... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
    Source: HughesNe_c3:fe:a4 (00:80:ae:c3:fe:a4)
        Address: HughesNe_c3:fe:a4 (00:80:ae:c3:fe:a4)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
    Type: IP (0x0800)
Internet Protocol, Src: 192.168.10.180 (192.168.10.180), Dst: 224.0.1.8 (224.0.1.8)
    Version: 4
    Header length: 20 bytes
    Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
        0000 00.. = Differentiated Services Codepoint: Default (0x00)
        .... ..0. = ECN-Capable Transport (ECT): 0
        .... ...0 = ECN-CE: 0
    Total Length: 109
    Identification: 0xb45a (46170)
    Flags: 0x00
        0... = Reserved bit: Not set
        .0.. = Don't fragment: Not set
        ..0. = More fragments: Not set
    Fragment offset: 0
    Time to live: 255
    Protocol: UDP (0x11)
    Header checksum: 0x5ac0 [correct]
        [Good: True]
        [Bad : False]
    Source: 192.168.10.180 (192.168.10.180)
    Destination: 224.0.1.8 (224.0.1.8)
User Datagram Protocol, Src Port: 51835 (51835), Dst Port: close-combat (1944)
    Source port: 51835 (51835)
    Destination port: close-combat (1944)
    Length: 89
    Checksum: 0x09dc [correct]
        [Good Checksum: True]
        [Bad Checksum: False]
Data (81 bytes)

0000  0a 01 00 21 00 00 00 ff 13 00 46 00 00 0d 22 00   ...!......F...".
0010  08 e0 00 01 19 00 00 db 8d e0 00 01 1e 00 00 db   ................
0020  78 e0 00 01 1f 00 00 db 76 e0 00 02 80 00 00 d5   x.......v.......
0030  aa e0 00 02 94 00 00 e0 2f e0 00 4d 14 00 00 d5   ......../..M....
0040  9e e0 00 4d 15 00 00 d5 9f e0 00 4d 16 00 00 d5   ...M.......M....
0050  a0                                                .
    Data: 0A010021000000FF13004600000D220008E00001190000DB...

странность в том что ip источника не пингуется и такого в локалке какбэ нет..

MAC (00:80:ae:c3:fe:a4) источника в arp таблице компа прописывается под ip 192.168.0.1 - однако и етот ip не пингуется , а все девайсы которые могут иметь подобный дефолтовый ip были отключены (модемы рутеры етс)

исключен микротик ...

в локали включенными были только два виндовых сервака и мой комп sq_ye.gif

пакеты с переменной частотой 0,5-3 пакетов /сек валят на ip 224.0.1.8 вики говорит что ето SUN NIS+ Information Service.

однако что может делать в виндовой локали юниховая служба каталогов ума не приложу ..

кто что посоветует ?

благодарствую! :)

upd

шевелил счас мозгами в свежей голове - походу ето таки Hughes - спутниковый модем от ДГ blink.gif

пробовал его отрубать - да вроде он

зачем интересно ему понадобилось спамить сеть ???

Посилання на коментар
Поділитись на інші сайти
SysR

SysR

Опубліковано
Опубліковано

Якшо МАК резольвиться значить хост існує, і шо як не пінгається, може просто не відповідає на ІСМП. Може бути в нього не 1 ІРшнік.

Для прикладу якась софтіна чи вірусня генерує пакети якоби від ІР 192.168.0.1 а реально на інтерфейсі ІР 192.168.10.108 ;) (це лише приклад)

Попробуй заюзати якісь тулзи які працюють на рівні Ethernet-пакетів.

Посилання на коментар
Поділитись на інші сайти
  • Адміністратори
serega

serega

Опубліковано
  • Адміністратори
Опубліковано

В супутниковому модемі Hughes:

SDL Control Channel Multicast Address: 224.0.1.8 - це Software Download, мабуть по всім інтерфейсам шукає сервер звідки може бути завантажено програмне забезпечення.

Посилання на коментар
Поділитись на інші сайти
Banzai

Banzai

Опубліковано
  • Автор
Опубліковано

В супутниковому модемі Hughes:

SDL Control Channel Multicast Address: 224.0.1.8 - це Software Download, мабуть по всім інтерфейсам шукає сервер звідки може бути завантажено програмне забезпечення.

спасибо успокоил :) а то я же начал волноваться не вирь ли прописался на нем :)

Посилання на коментар
Поділитись на інші сайти

Заархівовано

Ця тема знаходиться в архіві та закрита для подальших відповідей.

Перейти до списку тем

Hosting Ukraine
AliExpress WW


Ваш акаунт

Підтримка board.lutsk.ua

 


Monobank

 

Інформація

×
×
  • Створити...