anulare
Afişează rezultate pentru 
Caută în schimb 
Ați dorit să scrieți: 

ONT-ul trimite in lan, pe broadcast, pachete ethertype Unknown (0x8300).

Cheater
Junior entuziast

Buna ziua,

Am observat ca ONT-ul, HG8147X6, imi trimite permenent pe toate porturile rj45 (adica toate porturile fizice, mai putin wifi), mesaje de tip broadcast, EtherType ( https://en.wikipedia.org/wiki/EtherType ) necunoscut - 0x8300. Si la voi e la fel?

 

Extras din mesaje:

 

13:02:52.427541 b8:5f:b0:36:c5:a2 (oui Unknown) > Broadcast, ethertype Unknown (0x8300), length 60:
0x0000: 0000 0000 0001 0000 0000 0000 0000 0000 ................
0x0010: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0020: 0000 0000 0000 0000 0000 0000 0000 ..............
13:02:52.427547 b8:5f:b0:36:c5:a2 (oui Unknown) > Broadcast, ethertype Unknown (0x8300), length 60:
0x0000: 0000 0000 0001 0000 0000 0000 0000 0000 ................
0x0010: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0020: 0000 0000 0000 0000 0000 0000 0000 ..............
13:02:52.427548 b8:5f:b0:36:c5:a2 (oui Unknown) > Broadcast, ethertype Unknown (0x8300), length 60:
0x0000: 0000 0000 0001 0000 0000 0000 0000 0000 ................
0x0010: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0020: 0000 0000 0000 0000 0000 0000 0000 ..............
13:02:52.427618 b8:5f:b0:36:c5:a2 (oui Unknown) > Broadcast, ethertype Unknown (0x8300), length 60:
0x0000: 0000 0000 0001 0000 0000 0000 0000 0000 ................
0x0010: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0020: 0000 0000 0000 0000 0000 0000 0000 ..............
13:02:52.427620 b8:5f:b0:36:c5:a2 (oui Unknown) > Broadcast, ethertype Unknown (0x8300), length 60:
0x0000: 0000 0000 0001 0000 0000 0000 0000 0000 ................
0x0010: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0020: 0000 0000 0000 0000 0000 0000 0000 ..............
13:02:52.427621 b8:5f:b0:36:c5:a2 (oui Unknown) > Broadcast, ethertype Unknown (0x8300), length 60:
0x0000: 0000 0000 0001 0000 0000 0000 0000 0000 ................
0x0010: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0020: 0000 0000 0000 0000 0000 0000 0000 ..............
13:02:52.427622 b8:5f:b0:36:c5:a2 (oui Unknown) > Broadcast, ethertype Unknown (0x8300), length 60:
0x0000: 0000 0000 0001 0000 0000 0000 0000 0000 ................
0x0010: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0020: 0000 0000 0000 0000 0000 0000 0000 ..............
13:02:52.427623 b8:5f:b0:36:c5:a2 (oui Unknown) > Broadcast, ethertype Unknown (0x8300), length 60:
0x0000: 0000 0000 0001 0000 0000 0000 0000 0000 ................
0x0010: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0020: 0000 0000 0000 0000 0000 0000 0000 ..............

 

Unde 0001, contine 1,2,3,4... in functie de portul lan ar routerului pe care a venit mesajul.

 

Un set de astfel de mesaje, fara ca setul sa aiba un numar de mesaje fixe, vine o data pe secunda, e aproape un broadcast flood, iar sursa este mac-ul ONT-ului, din LAN.

Singura referinta gasita pe internet pentru EtherType 0x8300 este: https://gist.github.com/riobard/c7eb86aa3586c36ffaa75f7be... , unde un tip din china se plange ca ont-ul ii trimite astfel de mesaje, doar ca lui ii scrie o poezie :)))).

 

>>>Ma ingrijoreaza aceste mesaje, pentru ca poate fii un protocol obscur/custom de discovery folosit de un malware/backdor pentru a identifica device-urile infectate.<<<

 

Si la voi este la fel? Aveti idee ce reprezinta? Ati mai intalnit asa ceva? Aveti idee cum il opresc din a mai trimite astfel de mesaje?

 

Bogdan 🙂

7 Răspunsuri 7

RafaHelper
#StarMember
Salut @cheater, Ma bucur ca te pasionează securitatea retelei tale, din păcate nu am gasit informații despre întrebarea ta. Pare o intrebare destul de tehnică, ai încercat sa trimiti un mail din secțiunea contact? https://www.orange.ro/contact/

Cheater
Junior entuziast
Salut @rafa.helper, am trimis si o intrebare pe contact... doar ca nu ma astept prea curand sa primesc un raspuns oficial, mai am un ticket deschis de peste 16 zile dupa ce am facut un upgrade la abonament, si nu s-a schimbat nimic in viteza... Astfel am zis ca pana voi primi raspunsul sa pun o intrebare si aici, poate se gasesc niste oameni suficient de tehnici ce stiu sa dea un tcpdump/sa citeasca un wireshark cat sa confirme sau nu ca patesc si ei acelasi lucru. Astfel as putea intelege daca sunt un caz izolat (si de ce) sau se intampla cu unele/toate device-urile huawey oferite de orange. Pentru ca una e sa mi se intample mine, 'gigel', alta este sa se intample cu toate. Si e important si pentru orange sa inteleaga cum se intampla, de ce se intampla... adica chiar vrei sa stii ce fac dispozitivele tale in reteaua ta... O transmisie neasteptata pe broadcast a unui dispozitiv chinezesc mi se pare ceva foarte important in ziua de azi... Mai ales ca nu cu foarte multi ani in urma, au fost acuzati de backdor-uri lasate in device-uri... Sper sa fie de folos atat tiketul cat si topicul meu de aici, ca pana la urma asta e scopul! :) Mersi, Bogdan PS: am atasat si poza la wireshark ca in primul post mi-a luat doar poza cu tcpdump.

Anonim
Neaplicabil
Suportul e atat de slab incat abia se descurca multi dintre ei sa-ti activeze o casuta vocala sau un profil 5G si ala dupa multe incercari, crezi ca au ei habar de Wireshark? Din pacate eu zic ca nu...

Cheater
Junior entuziast
@simple_dreams nu asteptam de la ei, ci de la alti clienti, cum ai fi tu, care din ce am observat in alte discutii esti suficient de tehnic incat sa poti da un ochi si sa confirmi ca patesti la fel sau nu. Bine, daca ai chef, si timp.

Anonim
Neaplicabil
Apreciez. 🙂 Eu mi-as da cu parerea, dar nu am fibra Orange si ONT-ul meu e in bridge din prima zi de la instalare.

Cheater
Junior entuziast
@simple_dreams inteleg, eu am renuntat la bridge dupa ce am facut upgrade. Apreciez si eu ca esti pe aici si iti dai cu parerea relevant 🙂

Cheater
Junior entuziast
Am primit raspuns la ticket, pachetele astea sunt trimise pe lan de catre router ca parte a mecanismului de loop detection, si fac parte dintr-un protocol dezvoltat de huawey pentru a implementa RingCheck. Adica daca bagi un capat de cablu pe lan1 si un capat pe lan2, ont-ul va vedea ca primeste acele pachete si va stii ca este un loop intre cele 2 lan-uri, astfel poate declansa mecanisme interne de protectie, adica probabil sa taie porturile. Evident ca fiind un protocol inventat de huawey nu exista referinte publice despre el, motiv pentru care m-am si panicat putin, ca routerul face ceva necunoscut in reteaua mea :))).