光世代設備會傳送奇怪封包?





darksnow
2011-10-22, 10:01 AM
早上測試東西用tcpdump時發現,在沒對外傳輸東西情況下
大約每隔30秒左右就會聽到一堆下面這些

IP 128.0.1.100 > 128.0.2.200: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.201: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.202: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.203: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.205: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.207: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.209: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.210: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.211: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.212: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.214: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.215: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.217: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.218: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.219: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.220: ip-proto-252 9

128.0/16查了一下似乎是保留位置,應該不像是從Internet跑來的?
MAC address前面來源都是00:19:cb開頭(Zyxel)
後面目的會變有看到c8:6c:87 00:23:f8 00:19:cb 50:67:f0這四種開頭,
查詢都是屬於Zyxel的。


另外還有一個也是聽到常在傳送,比上面的還頻繁
來源MAC開頭00:23:f8 (Zyxel),送往01:00:5e:7f (好像是Multicast MAC?)
封包內容轉成ASCII,還會看帶有VES1624CTA+的字眼,
這個不就是VDSL Switch的型號嗎?



有人知道這是什麼東西嗎?




93123211
2011-10-22, 10:56 AM
早上測試東西用tcpdump時發現,在沒對外傳輸東西情況下
大約每隔30秒左右就會聽到一堆下面這些

IP 128.0.1.100 > 128.0.2.200: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.201: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.202: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.203: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.205: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.207: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.209: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.210: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.211: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.212: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.214: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.215: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.217: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.218: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.219: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.220: ip-proto-252 9


另外還有一個也是聽到常在傳送,比上面的還頻繁
來源MAC開頭00:23:f8 (Zyxel),送往01:00:5e:7f (好像是Multicast MAC?)
封包內容轉成ASCII,還會看帶有VES1624CTA+的字眼,
這個不就是VDSL Switch的型號嗎?



有人知道這是什麼東西嗎?

你進去192.168.1.1的device info看看ROUTE和ARP
128.0.0.0 0.0.0.0 255.255.0.0 U 0 NMS ptm0_2

128.0.1.100 Permanent 00:23:F8:61:43:BB ptm0_2

這是機房監視所有設備用的,他會一直用群撥但不知道在測什

一般烏龜都是內建128.0.1.2這個當自己的IP

0527(含)之後的版本砍除NMS這條IPOE RULE過幾個小時會自動回復出廠值

N3還沒試過砍這條會怎樣

ellery
2011-10-22, 11:10 AM
VDSL設備網管用的, 亂砍以後遇到障礙要請CHT查時會比較麻煩. 若大批更新韌體版本時也會麻煩.

93123211
2011-10-22, 11:21 AM
VDSL設備網管用的, 亂砍以後遇到障礙要請CHT查時會比較麻煩. 若大批更新韌體版本時也會麻煩.

請教一下

那您知道這些封包是要寄給甚麼設備的嗎

IP 128.0.1.100 > 128.0.2.200: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.201: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.202: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.203: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.205: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.207: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.209: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.210: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.211: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.212: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.214: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.215: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.217: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.218: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.219: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.220: ip-proto-252 9

ahome
2011-10-22, 02:38 PM
原廠設計應該也有把user自行亂砍後要怎麼回復原始值的設計考量進去..

93123211
2011-10-22, 03:23 PM
From IP 128.0.1.100 to Destnation 128.0.2.200~220 : ip protocol 252 9

這個是機房設備發過來的 Multicast.

1.br_0_0_1_2 介面 ptm0_2 為 PPPOE 的 bridge

2. NMS 介面 ptm0_1 為 網管系統, 客服 查修 , MOD

之前有裝MOD之後, Wireshark 會常Listen 到對方 128.0.1.0 發來的.

有開RIP就可以 ping 以及 telnet 以及 WEB (80) 到 128.0.2.200.

取消退租 MOD 後則沒有發生.

真的耶,好好玩喔!! 我這沒裝MOD,但是我抓得到128.0.2.213

不知道這是幹嘛的,我是用softperfect的NETSCAN,可是抓不到MAC