Detuner Posted November 21, 2019 · Report post Сканю в LHG5 диапазон 5650-5900, в scan list'е каналы с шагом 5МГц. Вижу огромное количество MAC-адресов, начинающихся с 06:00:FF:08, только в этом диапазоне их нашлось около двухсот, и не меньше в 5150-5350. Кто-нибудь в курсе, что это такое? Какая-то сеть оператора связи, который прописывает на оборудовании свои MAC-адреса? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted November 21, 2019 · Report post Вы обратили внимание на то, что мак адреса повторяются на разных частотах? Отсортируйте по списку частот или по списку маков. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Detuner Posted November 22, 2019 · Report post В том-то и дело, что не повторяются! На скриншоте список как раз отсортирован по макам. У них у всех одинаковые первые четыре октета и часто повторяются одинаковые шестые октеты, идущие по порядку, а пятый всё время меняется. Причём в шестом октете вчера были 28,29,2A,2B,2C,2D, а сегодня там 49,4A,4B,4C,4D. Такое ощущение, что какая-то железка постоянно прыгает по каналам и последовательно перебирает маки, причём шестой октет у неё в переборе является старшим разрядом, а пятый младшим. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
TheUser Posted November 22, 2019 · Report post Быть может, это флудилка, портит кому-то жизнь и нервы? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Detuner Posted November 22, 2019 · Report post 2 hours ago, TheUser said: Быть может, это флудилка, портит кому-то жизнь и нервы? Тогда она портит жизнь всем, т.к. видна она на всех каналах. Вживую на отдельно взятом канале это выглядит вот так: Здесь, кстати, видно ещё пару аналогичных с маками A2:06:00:90 и 62:06:00:50. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted November 22, 2019 · Report post Не пробовали сделать открытую точку и посмотреть в логах кто-то подключается к ней без пароля? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Detuner Posted November 22, 2019 · Report post Сделать из LHG точку доступа мне не позволяет лицензия Lvl3, только bridge. Я бы понял, если бы кто-то просто сканил. Непонятно, зачем постоянно маки менять, да ещё так бестолково. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
TheUser Posted November 22, 2019 · Report post 3 минуты назад, Detuner сказал: Сделать из LHG точку доступа мне не позволяет лицензия Lvl3, только bridge. Я бы понял, если бы кто-то просто сканил. Непонятно, зачем постоянно маки менять, да ещё так бестолково. Можете перехватить пакеты и выложить PCAP-дамп? Интересно содержимое. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Detuner Posted November 22, 2019 (edited) · Report post @TheUser Дамп приложил, и спасибо Вам за дельную мысль! Снял дамп, открыл wireshark'ом, поначитался интернетов и, кажется, начал понимать, что я вижу. Так как я сравнительно мало понимаю в беспроводных сетях, возможно сейчас напишу ерунду :) Как я понял, у ack-фреймов в 802.11 в действительности просто нет src address, а есть только dst address. По-видимому микротиковский сниффер пытается самостоятельно подставить src-адреса, чтобы пользователю было нагляднее, но по какой-то причине не всегда может это сделать. И тогда он просто придумывает src address, и вот эти выдуманные адреса я и вижу в сниффере/снупере. В wireshark их нет, но есть куча ack'ов без src. К тому же, в винбоксе похоже есть проблемы с сортировкой по времени при отображении, порядок немного не совпадает с тем, что видно в консоли (видно у первых четырёх пакетов): sn2.pcap Edited November 22, 2019 by Detuner Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...