-
光世代設備會傳送奇怪封包?
早上測試東西用tcpdump時發現,在沒對外傳輸東西情況下
大約每隔30秒左右就會聽到一堆下面這些
IP 128.0.1.100 > 128.0.2.200: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.201: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.202: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.203: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.205: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.207: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.209: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.210: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.211: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.212: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.214: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.215: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.217: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.218: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.219: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.220: ip-proto-252 9
128.0/16查了一下似乎是保留位置,應該不像是從Internet跑來的?
MAC address前面來源都是00:19:cb開頭(Zyxel)
後面目的會變有看到c8:6c:87 00:23:f8 00:19:cb 50:67:f0這四種開頭,
查詢都是屬於Zyxel的。
另外還有一個也是聽到常在傳送,比上面的還頻繁
來源MAC開頭00:23:f8 (Zyxel),送往01:00:5e:7f (好像是Multicast MAC?)
封包內容轉成ASCII,還會看帶有VES1624CTA+的字眼,
這個不就是VDSL Switch的型號嗎?
有人知道這是什麼東西嗎?
-
回覆: 光世代設備會傳送奇怪封包?
[QUOTE=darksnow;1112435]早上測試東西用tcpdump時發現,在沒對外傳輸東西情況下
大約每隔30秒左右就會聽到一堆下面這些
IP 128.0.1.100 > 128.0.2.200: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.201: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.202: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.203: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.205: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.207: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.209: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.210: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.211: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.212: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.214: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.215: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.217: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.218: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.219: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.220: ip-proto-252 9
另外還有一個也是聽到常在傳送,比上面的還頻繁
來源MAC開頭00:23:f8 (Zyxel),送往01:00:5e:7f (好像是Multicast MAC?)
封包內容轉成ASCII,還會看帶有VES1624CTA+的字眼,
這個不就是VDSL Switch的型號嗎?
有人知道這是什麼東西嗎?[/QUOTE]
你進去192.168.1.1的device info看看ROUTE和ARP
128.0.0.0 0.0.0.0 255.255.0.0 U 0 NMS ptm0_2
128.0.1.100 Permanent 00:23:F8:61:43:BB ptm0_2
這是機房監視所有設備用的,他會一直用群撥但不知道在測什
一般烏龜都是內建128.0.1.2這個當自己的IP
0527(含)之後的版本砍除NMS這條IPOE RULE過幾個小時會自動回復出廠值
N3還沒試過砍這條會怎樣
-
回覆: 光世代設備會傳送奇怪封包?
VDSL設備網管用的, 亂砍以後遇到障礙要請CHT查時會比較麻煩. 若大批更新韌體版本時也會麻煩.
-
回覆: 光世代設備會傳送奇怪封包?
[QUOTE=ellery;1112438]VDSL設備網管用的, 亂砍以後遇到障礙要請CHT查時會比較麻煩. 若大批更新韌體版本時也會麻煩.[/QUOTE]
請教一下
那您知道這些封包是要寄給甚麼設備的嗎
IP 128.0.1.100 > 128.0.2.200: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.201: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.202: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.203: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.205: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.207: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.209: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.210: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.211: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.212: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.214: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.215: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.217: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.218: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.219: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.220: ip-proto-252 9
-
回覆: 光世代設備會傳送奇怪封包?
原廠設計應該也有把user自行亂砍後要怎麼回復原始值的設計考量進去..
-
回覆: 光世代設備會傳送奇怪封包?
[QUOTE=chaowb;1112440]From IP 128.0.1.100 to Destnation 128.0.2.200~220 : ip protocol 252 9
這個是機房設備發過來的 Multicast.
1.br_0_0_1_2 介面 ptm0_2 為 PPPOE 的 bridge
2. NMS 介面 ptm0_1 為 網管系統, 客服 查修 , MOD
之前有裝MOD之後, Wireshark 會常Listen 到對方 128.0.1.0 發來的.
有開RIP就可以 ping 以及 telnet 以及 WEB (80) 到 128.0.2.200.
取消退租 MOD 後則沒有發生.[/QUOTE]
真的耶,好好玩喔!! 我這沒裝MOD,但是我抓得到128.0.2.213
不知道這是幹嘛的,我是用softperfect的NETSCAN,可是抓不到MAC
