Întrebare fară răspuns

ONT-ul trimite in lan, pe broadcast, pachete ethertype Unknown (0x8300).

Buna ziua,

Am observat ca ONT-ul, HG8147X6, imi trimite permenent pe toate porturile rj45 (adica toate porturile fizice, mai putin wifi), mesaje de tip broadcast, EtherType ( https://en.wikipedia.org/wiki/EtherType ) necunoscut - 0x8300. Si la voi e la fel?

 

Extras din mesaje:

 

13:02:52.427541 b8:5f:b0:36:c5:a2 (oui Unknown) > Broadcast, ethertype Unknown (0x8300), length 60:
0x0000: 0000 0000 0001 0000 0000 0000 0000 0000 ................
0x0010: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0020: 0000 0000 0000 0000 0000 0000 0000 ..............
13:02:52.427547 b8:5f:b0:36:c5:a2 (oui Unknown) > Broadcast, ethertype Unknown (0x8300), length 60:
0x0000: 0000 0000 0001 0000 0000 0000 0000 0000 ................
0x0010: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0020: 0000 0000 0000 0000 0000 0000 0000 ..............
13:02:52.427548 b8:5f:b0:36:c5:a2 (oui Unknown) > Broadcast, ethertype Unknown (0x8300), length 60:
0x0000: 0000 0000 0001 0000 0000 0000 0000 0000 ................
0x0010: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0020: 0000 0000 0000 0000 0000 0000 0000 ..............
13:02:52.427618 b8:5f:b0:36:c5:a2 (oui Unknown) > Broadcast, ethertype Unknown (0x8300), length 60:
0x0000: 0000 0000 0001 0000 0000 0000 0000 0000 ................
0x0010: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0020: 0000 0000 0000 0000 0000 0000 0000 ..............
13:02:52.427620 b8:5f:b0:36:c5:a2 (oui Unknown) > Broadcast, ethertype Unknown (0x8300), length 60:
0x0000: 0000 0000 0001 0000 0000 0000 0000 0000 ................
0x0010: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0020: 0000 0000 0000 0000 0000 0000 0000 ..............
13:02:52.427621 b8:5f:b0:36:c5:a2 (oui Unknown) > Broadcast, ethertype Unknown (0x8300), length 60:
0x0000: 0000 0000 0001 0000 0000 0000 0000 0000 ................
0x0010: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0020: 0000 0000 0000 0000 0000 0000 0000 ..............
13:02:52.427622 b8:5f:b0:36:c5:a2 (oui Unknown) > Broadcast, ethertype Unknown (0x8300), length 60:
0x0000: 0000 0000 0001 0000 0000 0000 0000 0000 ................
0x0010: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0020: 0000 0000 0000 0000 0000 0000 0000 ..............
13:02:52.427623 b8:5f:b0:36:c5:a2 (oui Unknown) > Broadcast, ethertype Unknown (0x8300), length 60:
0x0000: 0000 0000 0001 0000 0000 0000 0000 0000 ................
0x0010: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0020: 0000 0000 0000 0000 0000 0000 0000 ..............

 

Unde 0001, contine 1,2,3,4... in functie de portul lan ar routerului pe care a venit mesajul.

 

Un set de astfel de mesaje, fara ca setul sa aiba un numar de mesaje fixe, vine o data pe secunda, e aproape un broadcast flood, iar sursa este mac-ul ONT-ului, din LAN.

Singura referinta gasita pe internet pentru EtherType 0x8300 este: https://gist.github.com/riobard/c7eb86aa3586c36ffaa75f7be... , unde un tip din china se plange ca ont-ul ii trimite astfel de mesaje, doar ca lui ii scrie o poezie :)))).

 

>>>Ma ingrijoreaza aceste mesaje, pentru ca poate fii un protocol obscur/custom de discovery folosit de un malware/backdor pentru a identifica device-urile infectate.<<<

 

Si la voi este la fel? Aveti idee ce reprezinta? Ati mai intalnit asa ceva? Aveti idee cum il opresc din a mai trimite astfel de mesaje?

 

Bogdan :)

Răspunsuri

Salut @cheater,
Ma bucur ca te pasionează securitatea retelei tale, din păcate nu am gasit informații despre întrebarea ta. Pare o intrebare destul de tehnică, ai încercat sa trimiti un mail din secțiunea contact?
https://www.orange.ro/contact/

rafa.helper
rafa.helper

rafa.helper

User level
Nivel
4
5000 / 5000
puncte
Custom field 2
rafa.helper

Salut @rafa.helper, am trimis si o intrebare pe contact... doar ca nu ma astept prea curand sa primesc un raspuns oficial, mai am un ticket deschis de peste 16 zile dupa ce am facut un upgrade la abonament, si nu s-a schimbat nimic in viteza...

Astfel am zis ca pana voi primi raspunsul sa pun o intrebare si aici, poate se gasesc niste oameni suficient de tehnici ce stiu sa dea un tcpdump/sa citeasca un wireshark cat sa confirme sau nu ca patesc si ei acelasi lucru. Astfel as putea intelege daca sunt un caz izolat (si de ce) sau se intampla cu unele/toate device-urile huawey oferite de orange.

Pentru ca una e sa mi se intample mine, 'gigel', alta este sa se intample cu toate.
Si e important si pentru orange sa inteleaga cum se intampla, de ce se intampla... adica chiar vrei sa stii ce fac dispozitivele tale in reteaua ta...
O transmisie neasteptata pe broadcast a unui dispozitiv chinezesc mi se pare ceva foarte important in ziua de azi... Mai ales ca nu cu foarte multi ani in urma, au fost acuzati de backdor-uri lasate in device-uri...

Sper sa fie de folos atat tiketul cat si topicul meu de aici, ca pana la urma asta e scopul! :)

Mersi,
Bogdan

PS: am atasat si poza la wireshark ca in primul post mi-a luat doar poza cu tcpdump.

Suportul e atat de slab incat abia se descurca multi dintre ei sa-ti activeze o casuta vocala sau un profil 5G si ala dupa multe incercari, crezi ca au ei habar de Wireshark? Din pacate eu zic ca nu...

@simple_dreams nu asteptam de la ei, ci de la alti clienti, cum ai fi tu, care din ce am observat in alte discutii esti suficient de tehnic incat sa poti da un ochi si sa confirmi ca patesti la fel sau nu. Bine, daca ai chef, si timp.

@simple_dreams inteleg, eu am renuntat la bridge dupa ce am facut upgrade. Apreciez si eu ca esti pe aici si iti dai cu parerea relevant :)

Am primit raspuns la ticket, pachetele astea sunt trimise pe lan de catre router ca parte a mecanismului de loop detection, si fac parte dintr-un protocol dezvoltat de huawey pentru a implementa RingCheck.
Adica daca bagi un capat de cablu pe lan1 si un capat pe lan2, ont-ul va vedea ca primeste acele pachete si va stii ca este un loop intre cele 2 lan-uri, astfel poate declansa mecanisme interne de protectie, adica probabil sa taie porturile.
Evident ca fiind un protocol inventat de huawey nu exista referinte publice despre el, motiv pentru care m-am si panicat putin, ca routerul face ceva necunoscut in reteaua mea :))).

Salut! Am observat că petreci timp în Comunitatea Orange, dar nu te-ai înscris încă.
Dacă te inscrii și devii membru, poți adresa întrebări în comunitate, poți să ajuți și tu alți membri și poți câștiga puncte, badge-uri și să te bucuri de multe alte beneficii!