Jump to content
Калькуляторы

Что за странное железо видно в snooper?

Сканю в LHG5 диапазон 5650-5900, в scan list'е каналы с шагом 5МГц.

Вижу огромное количество MAC-адресов, начинающихся с 06:00:FF:08, только в этом диапазоне их нашлось около двухсот, и не меньше в 5150-5350.

Кто-нибудь в курсе, что это такое? Какая-то сеть оператора связи, который прописывает на оборудовании свои MAC-адреса?

image.thumb.png.f4602bf87b8c1010156b705d25eb8f7f.png

Share this post


Link to post
Share on other sites

Вы обратили внимание на то, что мак адреса повторяются на разных частотах?

Отсортируйте по списку частот или по списку маков.

Share this post


Link to post
Share on other sites

В том-то и дело, что не повторяются! На скриншоте список как раз отсортирован по макам. У них у всех одинаковые первые четыре октета и часто повторяются одинаковые шестые октеты, идущие по порядку, а пятый всё время меняется.

Причём в шестом октете вчера были 28,29,2A,2B,2C,2D, а сегодня там 49,4A,4B,4C,4D. Такое ощущение, что какая-то железка постоянно прыгает по каналам и последовательно перебирает маки, причём шестой октет у неё в переборе является старшим разрядом, а пятый младшим.

Share this post


Link to post
Share on other sites

2 hours ago, TheUser said:

Быть может, это флудилка, портит кому-то жизнь и нервы?

Тогда она портит жизнь всем, т.к. видна она на всех каналах. Вживую на отдельно взятом канале это выглядит вот так:

[video-to-gif output image]

 

Здесь, кстати, видно ещё пару аналогичных с маками A2:06:00:90 и 62:06:00:50.

Share this post


Link to post
Share on other sites

Сделать из LHG точку доступа мне не позволяет лицензия Lvl3, только bridge.

Я бы понял, если бы кто-то просто сканил. Непонятно, зачем постоянно маки менять, да ещё так бестолково.

Share this post


Link to post
Share on other sites

3 минуты назад, Detuner сказал:

Сделать из LHG точку доступа мне не позволяет лицензия Lvl3, только bridge.

Я бы понял, если бы кто-то просто сканил. Непонятно, зачем постоянно маки менять, да ещё так бестолково.

Можете перехватить пакеты и выложить PCAP-дамп? Интересно содержимое.

Share this post


Link to post
Share on other sites

@TheUser Дамп приложил, и спасибо Вам за дельную мысль! Снял дамп, открыл wireshark'ом, поначитался интернетов и, кажется, начал понимать, что я вижу. Так как я сравнительно мало понимаю в беспроводных сетях, возможно сейчас напишу ерунду :)

Как я понял, у ack-фреймов в 802.11 в действительности просто нет src address, а есть только dst address. По-видимому микротиковский сниффер пытается самостоятельно подставить src-адреса, чтобы пользователю было нагляднее, но по какой-то причине не всегда может это сделать. И тогда он просто придумывает src address, и вот эти выдуманные адреса я и вижу в сниффере/снупере. В wireshark их нет, но есть куча ack'ов без src.

К тому же, в винбоксе похоже есть проблемы с сортировкой по времени при отображении, порядок немного не совпадает с тем, что видно в консоли (видно у первых четырёх пакетов):

image.thumb.png.f16b97b97db0bfe2e80f4a679ecc95d8.png

sn2.pcap

Edited by Detuner

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.