[Detuner]

Сканю в LHG5 диапазон 5650-5900, в scan list'е каналы с шагом 5МГц.

Вижу огромное количество MAC-адресов, начинающихся с 06:00:FF:08, только в этом диапазоне их нашлось около двухсот, и не меньше в 5150-5350.

Кто-нибудь в курсе, что это такое? Какая-то сеть оператора связи, который прописывает на оборудовании свои MAC-адреса?

[Saab95]

Вы обратили внимание на то, что мак адреса повторяются на разных частотах?

Отсортируйте по списку частот или по списку маков.

[Detuner]

В том-то и дело, что не повторяются! На скриншоте список как раз отсортирован по макам. У них у всех одинаковые первые четыре октета и часто повторяются одинаковые шестые октеты, идущие по порядку, а пятый всё время меняется.

Причём в шестом октете вчера были 28,29,2A,2B,2C,2D, а сегодня там 49,4A,4B,4C,4D. Такое ощущение, что какая-то железка постоянно прыгает по каналам и последовательно перебирает маки, причём шестой октет у неё в переборе является старшим разрядом, а пятый младшим.

[TheUser]

Быть может, это флудилка, портит кому-то жизнь и нервы?

[Detuner]

2 hours ago, TheUser said:

Быть может, это флудилка, портит кому-то жизнь и нервы?

Тогда она портит жизнь всем, т.к. видна она на всех каналах. Вживую на отдельно взятом канале это выглядит вот так:

 

Здесь, кстати, видно ещё пару аналогичных с маками A2:06:00:90 и 62:06:00:50.

[Saab95]

Не пробовали сделать открытую точку и посмотреть в логах кто-то подключается к ней без пароля?

[Detuner]

Сделать из LHG точку доступа мне не позволяет лицензия Lvl3, только bridge.

Я бы понял, если бы кто-то просто сканил. Непонятно, зачем постоянно маки менять, да ещё так бестолково.

[TheUser]

3 минуты назад, Detuner сказал:

Сделать из LHG точку доступа мне не позволяет лицензия Lvl3, только bridge.

Я бы понял, если бы кто-то просто сканил. Непонятно, зачем постоянно маки менять, да ещё так бестолково.

Можете перехватить пакеты и выложить PCAP-дамп? Интересно содержимое.

[Detuner]

@TheUser Дамп приложил, и спасибо Вам за дельную мысль! Снял дамп, открыл wireshark'ом, поначитался интернетов и, кажется, начал понимать, что я вижу. Так как я сравнительно мало понимаю в беспроводных сетях, возможно сейчас напишу ерунду :)

Как я понял, у ack-фреймов в 802.11 в действительности просто нет src address, а есть только dst address. По-видимому микротиковский сниффер пытается самостоятельно подставить src-адреса, чтобы пользователю было нагляднее, но по какой-то причине не всегда может это сделать. И тогда он просто придумывает src address, и вот эти выдуманные адреса я и вижу в сниффере/снупере. В wireshark их нет, но есть куча ack'ов без src.

К тому же, в винбоксе похоже есть проблемы с сортировкой по времени при отображении, порядок немного не совпадает с тем, что видно в консоли (видно у первых четырёх пакетов):

sn2.pcap

Изменено 22 ноября, 2019 пользователем Detuner