Banzai Опубліковано 12 Серпня, 2010 в 05:51 #1 Опубліковано 12 Серпня, 2010 в 05:51 на днях обнаружил в локалке на работе странную рассылку широковещательных пакетов вида: No. Time Source Destination Protocol Info 98699 1199.336994 192.168.10.180 224.0.1.8 UDP Source port: 51835 Destination port: close-combatFrame 98699 (123 bytes on wire, 123 bytes captured) Arrival Time: Aug 12, 2010 08:35:48.012306000 [Time delta from previous captured frame: 0.003584000 seconds] [Time delta from previous displayed frame: 1.740222000 seconds] [Time since reference or first frame: 1199.336994000 seconds] Frame Number: 98699 Frame Length: 123 bytes Capture Length: 123 bytes [Frame is marked: False] [Protocols in frame: eth:ip:udp:data] [Coloring Rule Name: UDP] [Coloring Rule String: udp]Ethernet II, Src: HughesNe_c3:fe:a4 (00:80:ae:c3:fe:a4), Dst: IPv4mcast_00:01:08 (01:00:5e:00:01:08) Destination: IPv4mcast_00:01:08 (01:00:5e:00:01:08) Address: IPv4mcast_00:01:08 (01:00:5e:00:01:08) .... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast) .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default) Source: HughesNe_c3:fe:a4 (00:80:ae:c3:fe:a4) Address: HughesNe_c3:fe:a4 (00:80:ae:c3:fe:a4) .... ...0 .... .... .... .... = IG bit: Individual address (unicast) .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default) Type: IP (0x0800)Internet Protocol, Src: 192.168.10.180 (192.168.10.180), Dst: 224.0.1.8 (224.0.1.8) Version: 4 Header length: 20 bytes Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00) 0000 00.. = Differentiated Services Codepoint: Default (0x00) .... ..0. = ECN-Capable Transport (ECT): 0 .... ...0 = ECN-CE: 0 Total Length: 109 Identification: 0xb45a (46170) Flags: 0x00 0... = Reserved bit: Not set .0.. = Don't fragment: Not set ..0. = More fragments: Not set Fragment offset: 0 Time to live: 255 Protocol: UDP (0x11) Header checksum: 0x5ac0 [correct] [Good: True] [Bad : False] Source: 192.168.10.180 (192.168.10.180) Destination: 224.0.1.8 (224.0.1.8)User Datagram Protocol, Src Port: 51835 (51835), Dst Port: close-combat (1944) Source port: 51835 (51835) Destination port: close-combat (1944) Length: 89 Checksum: 0x09dc [correct] [Good Checksum: True] [Bad Checksum: False]Data (81 bytes)0000 0a 01 00 21 00 00 00 ff 13 00 46 00 00 0d 22 00 ...!......F...".0010 08 e0 00 01 19 00 00 db 8d e0 00 01 1e 00 00 db ................0020 78 e0 00 01 1f 00 00 db 76 e0 00 02 80 00 00 d5 x.......v.......0030 aa e0 00 02 94 00 00 e0 2f e0 00 4d 14 00 00 d5 ......../..M....0040 9e e0 00 4d 15 00 00 d5 9f e0 00 4d 16 00 00 d5 ...M.......M....0050 a0 . Data: 0A010021000000FF13004600000D220008E00001190000DB... странность в том что ip источника не пингуется и такого в локалке какбэ нет.. MAC (00:80:ae:c3:fe:a4) источника в arp таблице компа прописывается под ip 192.168.0.1 - однако и етот ip не пингуется , а все девайсы которые могут иметь подобный дефолтовый ip были отключены (модемы рутеры етс) исключен микротик ... в локали включенными были только два виндовых сервака и мой комп пакеты с переменной частотой 0,5-3 пакетов /сек валят на ip 224.0.1.8 вики говорит что ето SUN NIS+ Information Service. однако что может делать в виндовой локали юниховая служба каталогов ума не приложу .. кто что посоветует ? благодарствую! upd шевелил счас мозгами в свежей голове - походу ето таки Hughes - спутниковый модем от ДГ пробовал его отрубать - да вроде он зачем интересно ему понадобилось спамить сеть ???
SysR Опубліковано 12 Серпня, 2010 в 06:03 #2 Опубліковано 12 Серпня, 2010 в 06:03 Якшо МАК резольвиться значить хост існує, і шо як не пінгається, може просто не відповідає на ІСМП. Може бути в нього не 1 ІРшнік. Для прикладу якась софтіна чи вірусня генерує пакети якоби від ІР 192.168.0.1 а реально на інтерфейсі ІР 192.168.10.108 (це лише приклад) Попробуй заюзати якісь тулзи які працюють на рівні Ethernet-пакетів.
Адміністратори serega Опубліковано 12 Серпня, 2010 в 06:57 Адміністратори #3 Опубліковано 12 Серпня, 2010 в 06:57 В супутниковому модемі Hughes:SDL Control Channel Multicast Address: 224.0.1.8 - це Software Download, мабуть по всім інтерфейсам шукає сервер звідки може бути завантажено програмне забезпечення.
Banzai Опубліковано 12 Серпня, 2010 в 07:35 Автор #4 Опубліковано 12 Серпня, 2010 в 07:35 В супутниковому модемі Hughes: SDL Control Channel Multicast Address: 224.0.1.8 - це Software Download, мабуть по всім інтерфейсам шукає сервер звідки може бути завантажено програмне забезпечення. спасибо успокоил а то я же начал волноваться не вирь ли прописался на нем
Рекомендовані повідомлення
Заархівовано
Ця тема знаходиться в архіві та закрита для подальших відповідей.