Detuner Posted November 21, 2019 Posted November 21, 2019 Сканю в LHG5 диапазон 5650-5900, в scan list'е каналы с шагом 5МГц. Вижу огромное количество MAC-адресов, начинающихся с 06:00:FF:08, только в этом диапазоне их нашлось около двухсот, и не меньше в 5150-5350. Кто-нибудь в курсе, что это такое? Какая-то сеть оператора связи, который прописывает на оборудовании свои MAC-адреса? Вставить ник Quote
Saab95 Posted November 21, 2019 Posted November 21, 2019 Вы обратили внимание на то, что мак адреса повторяются на разных частотах? Отсортируйте по списку частот или по списку маков. Вставить ник Quote
Detuner Posted November 22, 2019 Author Posted November 22, 2019 В том-то и дело, что не повторяются! На скриншоте список как раз отсортирован по макам. У них у всех одинаковые первые четыре октета и часто повторяются одинаковые шестые октеты, идущие по порядку, а пятый всё время меняется. Причём в шестом октете вчера были 28,29,2A,2B,2C,2D, а сегодня там 49,4A,4B,4C,4D. Такое ощущение, что какая-то железка постоянно прыгает по каналам и последовательно перебирает маки, причём шестой октет у неё в переборе является старшим разрядом, а пятый младшим. Вставить ник Quote
TheUser Posted November 22, 2019 Posted November 22, 2019 Быть может, это флудилка, портит кому-то жизнь и нервы? Вставить ник Quote
Detuner Posted November 22, 2019 Author Posted November 22, 2019 2 hours ago, TheUser said: Быть может, это флудилка, портит кому-то жизнь и нервы? Тогда она портит жизнь всем, т.к. видна она на всех каналах. Вживую на отдельно взятом канале это выглядит вот так: Здесь, кстати, видно ещё пару аналогичных с маками A2:06:00:90 и 62:06:00:50. Вставить ник Quote
Saab95 Posted November 22, 2019 Posted November 22, 2019 Не пробовали сделать открытую точку и посмотреть в логах кто-то подключается к ней без пароля? Вставить ник Quote
Detuner Posted November 22, 2019 Author Posted November 22, 2019 Сделать из LHG точку доступа мне не позволяет лицензия Lvl3, только bridge. Я бы понял, если бы кто-то просто сканил. Непонятно, зачем постоянно маки менять, да ещё так бестолково. Вставить ник Quote
TheUser Posted November 22, 2019 Posted November 22, 2019 3 минуты назад, Detuner сказал: Сделать из LHG точку доступа мне не позволяет лицензия Lvl3, только bridge. Я бы понял, если бы кто-то просто сканил. Непонятно, зачем постоянно маки менять, да ещё так бестолково. Можете перехватить пакеты и выложить PCAP-дамп? Интересно содержимое. Вставить ник Quote
Detuner Posted November 22, 2019 Author Posted November 22, 2019 (edited) @TheUser Дамп приложил, и спасибо Вам за дельную мысль! Снял дамп, открыл wireshark'ом, поначитался интернетов и, кажется, начал понимать, что я вижу. Так как я сравнительно мало понимаю в беспроводных сетях, возможно сейчас напишу ерунду :) Как я понял, у ack-фреймов в 802.11 в действительности просто нет src address, а есть только dst address. По-видимому микротиковский сниффер пытается самостоятельно подставить src-адреса, чтобы пользователю было нагляднее, но по какой-то причине не всегда может это сделать. И тогда он просто придумывает src address, и вот эти выдуманные адреса я и вижу в сниффере/снупере. В wireshark их нет, но есть куча ack'ов без src. К тому же, в винбоксе похоже есть проблемы с сортировкой по времени при отображении, порядок немного не совпадает с тем, что видно в консоли (видно у первых четырёх пакетов): sn2.pcap Edited November 22, 2019 by Detuner Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.