PCZONE 討論區 - 光世代設備會傳送奇怪封包？

PCZONE 討論區 (https://www.pczone.com.tw/vbb3/)

- -- FTTB / FTTC / FTTH 光纖寬頻討論版 (https://www.pczone.com.tw/vbb3/forum/73/)

- - 光世代設備會傳送奇怪封包？ (https://www.pczone.com.tw/vbb3/thread/73/154189/)

光世代設備會傳送奇怪封包？

早上測試東西用tcpdump時發現，在沒對外傳輸東西情況下
大約每隔30秒左右就會聽到一堆下面這些

IP 128.0.1.100 > 128.0.2.200: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.201: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.202: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.203: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.205: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.207: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.209: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.210: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.211: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.212: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.214: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.215: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.217: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.218: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.219: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.220: ip-proto-252 9

128.0/16查了一下似乎是保留位置，應該不像是從Internet跑來的？
MAC address前面來源都是00:19:cb開頭(Zyxel)
後面目的會變有看到c8:6c:87 00:23:f8 00:19:cb 50:67:f0這四種開頭，
查詢都是屬於Zyxel的。

另外還有一個也是聽到常在傳送，比上面的還頻繁
來源MAC開頭00:23:f8 (Zyxel)，送往01:00:5e:7f (好像是Multicast MAC？)
封包內容轉成ASCII，還會看帶有VES1624CTA+的字眼，
這個不就是VDSL Switch的型號嗎？

有人知道這是什麼東西嗎？

回覆: 光世代設備會傳送奇怪封包？

[QUOTE=darksnow;1112435]早上測試東西用tcpdump時發現，在沒對外傳輸東西情況下
大約每隔30秒左右就會聽到一堆下面這些

IP 128.0.1.100 > 128.0.2.200: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.201: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.202: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.203: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.205: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.207: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.209: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.210: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.211: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.212: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.214: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.215: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.217: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.218: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.219: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.220: ip-proto-252 9

另外還有一個也是聽到常在傳送，比上面的還頻繁
來源MAC開頭00:23:f8 (Zyxel)，送往01:00:5e:7f (好像是Multicast MAC？)
封包內容轉成ASCII，還會看帶有VES1624CTA+的字眼，
這個不就是VDSL Switch的型號嗎？

有人知道這是什麼東西嗎？[/QUOTE]

你進去192.168.1.1的device info看看ROUTE和ARP
128.0.0.0 0.0.0.0 255.255.0.0 U 0 NMS ptm0_2

128.0.1.100 Permanent 00:23:F8:61:43:BB ptm0_2

這是機房監視所有設備用的，他會一直用群撥但不知道在測什

一般烏龜都是內建128.0.1.2這個當自己的IP

0527(含)之後的版本砍除NMS這條IPOE RULE過幾個小時會自動回復出廠值

N3還沒試過砍這條會怎樣

回覆: 光世代設備會傳送奇怪封包？

VDSL設備網管用的, 亂砍以後遇到障礙要請CHT查時會比較麻煩. 若大批更新韌體版本時也會麻煩.

回覆: 光世代設備會傳送奇怪封包？

[QUOTE=ellery;1112438]VDSL設備網管用的, 亂砍以後遇到障礙要請CHT查時會比較麻煩. 若大批更新韌體版本時也會麻煩.[/QUOTE]

請教一下

那您知道這些封包是要寄給甚麼設備的嗎

IP 128.0.1.100 > 128.0.2.200: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.201: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.202: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.203: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.205: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.207: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.209: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.210: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.211: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.212: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.214: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.215: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.217: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.218: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.219: ip-proto-252 9
IP 128.0.1.100 > 128.0.2.220: ip-proto-252 9

回覆: 光世代設備會傳送奇怪封包？

原廠設計應該也有把user自行亂砍後要怎麼回復原始值的設計考量進去..

回覆: 光世代設備會傳送奇怪封包？

[QUOTE=chaowb;1112440]From IP 128.0.1.100 to Destnation 128.0.2.200~220 : ip protocol 252 9

這個是機房設備發過來的 Multicast.

1.br_0_0_1_2 介面 ptm0_2 為 PPPOE 的 bridge

2. NMS 介面 ptm0_1 為網管系統, 客服查修 , MOD

之前有裝MOD之後, Wireshark 會常Listen 到對方 128.0.1.0 發來的.

有開RIP就可以 ping 以及 telnet 以及 WEB (80) 到 128.0.2.200.

取消退租 MOD 後則沒有發生.[/QUOTE]

真的耶，好好玩喔!! 我這沒裝MOD，但是我抓得到128.0.2.213

不知道這是幹嘛的，我是用softperfect的NETSCAN，可是抓不到MAC