Bizarre ethernet frames op m'n netwerk

Pikes01 · 03 okt 2017, 18:56

Sinds kort heb ik mn thuisnetwerk vervangen door een managed netwerk (1 managed switch + 1 managed access point). Dit netwerk hangt aan een Linksys E3200 router, die langs wan zijde een PPPoE sessie opzet doorheen een BBOX3.

Doordat ik nu beter zicht heb op wat er in het netwerk gebeurt, merk ik dat er op regelmatige tijdstippen (een paar pakketten per minuut) ongekende ethernet frames doorheen de router komen. zowel het source mac adres als het destination mac adres zijn van een 'unknown' vendor... Iemand die daar iets meer over weet? Ik heb via wireshark zo een pakket onderschept,
zie bijlage ( https://www.dropbox.com/s/ay6aczqsltj54 ... 8.png?dl=0 ).
Op het eind van de payload staat er iets dat me doet denken aan oakla speedtest.net. Die site heb ik idd gebruikt om internet speedtests te doen.
Trouwens, ook als ik m'n PC rechtstreeks aan de BBox3 hang zie ik die pakketten, ze lijken dus echt wel vanuit het Proximus WAN netwerk te komen, en ook de Bbox3 router/firewall houdt deze niet tegen.

Basisvraag: hoe kan een dergelijk pakket door een router met firewall geraken?
Tweede vraag: vanwaar komt dit?

Splitter · 03 okt 2017, 19:42

zo vreemd zijn die niet.
zeker niet als je ook nog eens proximus tv hebt.

meer info over multicast: https://nl.wikipedia.org/wiki/Multicast

bitbite · 03 okt 2017, 19:53

Ben je zeker dat het om multicast traffic gaat?

Mij doet het toch eerder denken aan een slecht werkend/geconfigureerd toestel in je netwerk dat echt dataverkeer onleesbaar presenteert.
Je zou kunnen triëren door 1 voor 1 toestelen uit het dataverkeer te schakelen (te beginnen met de netwerkkaart in je capture-pc, en dan de managed devices).

03 okt 2017, 20:19

Rule number one:
inventariseer al je netwerktoestellen en hun mac adressen

Splitter · 03 okt 2017, 21:04

hmm, nog eens even echt gekeken... is idd toch vreemd.
opgegeven adres (zowel de 45x als de 40x) lijken geen geldige mac's te zijn en het aangegeven protocol lijkt ook niet dadelijk geldig.

hoewel ITnetadmin's regel 1 zeker een waarheid is, lijkt bitbite's antwoord me toch inderdaad de clue, iets dat ergens zichzelf slecht gedraagt op je netwerk.
(zou me geeneens verbazen moest het de bbox zelf zijn)

Pikes01 · 03 okt 2017, 21:16

Awel, alles is al loqgekoppeld geweest, enkel m'n 'capture' PC (MacBook Pro) rechtstreeks via ethernet kabel gekoppeld aan de BBox3. Dus ofwel ligt het aan de capture PC (maar dat heb ik al uitgesloten), ofwel idd de BBox3 zelf, maar is dat echt realistisch?

Alvast bedankt voor het meedenken.

Mvg,

04 okt 2017, 02:47

Effe iets meegeven:
Alle communicatie op je netwerk verloopt via mac adressen.
Je ziet mss wel IP adressen, maar die worden enkel gebruikt door je router. Alle andere netwerktoestellen (switches enzo) leveren packets af via mac adres, op layer 2 van het OSI model.
Er wordt pas op IP (layer 3) gekeken, wanneer een packet het lokale netwerk verlaat.

Daarbij komt nog dat MAC adressen *niet routable* zijn. Dat betekent dat een mac adres jouw netwerk nooit zal verlaten. Wanneer je router een packet "route" naar een ander netwerk, komt zijn MAC adres in de plaats in het pakketje (dit geldt niet voor switches, die doen het lichtjes anders).

Je kan dus concluderen dat *alle* mac adressen die je ziet passeren, wel degelijk vanop jouw netwerk komen.

Als jij dus alles afkoppelt en je laptop rechtstreeks op je modem hangt (ik neem aan dat alle wifi af staat), dan kunnen die mac adressen enkel van jouw pc of je modem afkomstig zijn.

Pikes01 · 04 okt 2017, 07:24

Als niemand anders dergelijke pakketten op z'n netwerk heeft dan moet ik idd concluderen dat de BBOX3 defekt is, maar ik vind dat een 'raar' defect, het is geen random pakket, de payload bevat 'iets', het is geen willekeurige/onleesbare data.

hoe leg je zoiets uit aan Proximus om een nieuwe te krijgen?

Ik zie diezelfde pakketten ook als ik met mijn eigen router een PPPoE sessie opzet doorheen de BBox3. Is de BBox3 dan wel defect? Op die moment doet de Bbox3 toch niet meer dan als modem fungeren, of zie ik dit verkeerd?

@ITnetAdmin: zo dacht ik ook dat het werkt, een puur ethernet frame zonder IP header kan uw lokaal netwerk niet verlaten. Maar toch komt dit pakket niet vanuit mijn devices (of het van de BBox3 komt laten we even in het midden). Kan er ergens binnen Proximus een bridge zijn die specifiek pakketten met mac adress range 40:00:3f:XX:XX:XX 'doorlaat/broadcast'?' Wireshark identifieert het pakket als een broadcast/multicast frame.

04 okt 2017, 08:50

Pikes01 schreef:
hoe leg je zoiets uit aan Proximus om een nieuwe te krijgen?

Wees creatief....

bitbite · 04 okt 2017, 14:06

Pikes01 schreef:Ik zie diezelfde pakketten ook als ik met mijn eigen router een PPPoE sessie opzet doorheen de BBox3.

Lees ik het goed dat je die pakketten ook ziet achter je eigen router+pppoe, én ook als je direct (rechtstreekse koperdraad) aan je bbox3 hangt?

Pikes01 schreef:[...] enkel m'n 'capture' PC[...]

Gewoon als uitsluitsel zou ik dezelfde frames ook eens op een andere pc proberen te capteren.

Pikes01 · 04 okt 2017, 17:34

@bitbite: Dat lees je goed. En ik snap niet hoe dat kan.

Ik moet de frames zelfs niet capteren om te zien dat ze er zijn, in de management software van m'n managed ethernet switch worden ze opgemerkt als 'nieuwe' devices (waar verder niks mee gebeurt, ik denk dat de switch die pakketten gewoon dropt). Het begin van het mac adres is altijd hetzelfde, 40:00:3f, daarna varieert het, waardoor ik in m'n management software reeds duizenden netwerk devices heb. Zo zie ik ook dat het pakket (de 'client') op de poort binnenkomt waar de router aan gekoppeld is. Ook bizar om zien is dat de zogenaamde client maar een 10-tal minuten leeft, daarna komt het mac adres niet meer voor. Een screenshot maakt het misschien wat duidelijker: https://www.dropbox.com/s/yfetn7a1jdyfb ... 4.png?dl=0

Splitter · 04 okt 2017, 18:33

aan de bbox zal het wss ook niet liggen, met de extra info dat het random mac's genereert kan je al iets gerichter googlen:
https://www.snbforums.com/threads/stran ... lem.32218/ (maar, helaas... daar is ook geen oplossing, echter zegt de TS daar wel dat het enkel voorkomt tijdens gebruik van de openvpn tunnel

04 okt 2017, 18:37

Kan je anders de pcap file ns posten?

Pikes01 · 06 okt 2017, 10:36

Ondertussen heel wat captures verder

, en het lijkt toch anders in elkaar te zitten.

Die frames ontstaan namelijk telkens wanneer ik op m'n Mac inlog. Zou hetvolgende kunnen: De mac genereert een frame, maar er zit VLAN tagging op die frame (zie capture: https://www.dropbox.com/s/5w86fk8c1dqof ... capng?dl=0 , als je filtert op protocol staat het desbetreffende frame bovenaan). De router (mijn Linksys) kent niks van VLAN, stript de tag eraf en stuurt het frame terug op mijn netwerk (zie capture https://www.dropbox.com/s/m7f325d45dgvu ... capng?dl=0 in deze capture heb ik meerdere malen aangelogd, vandaar meerdere frames). Dat zou verklaren waarom de switch op de router poort al die 'clients' ziet. Waarom de switch niet hetzelfde reageert op de frame die door de Mac uitgestuurd wordt moet dan allicht ook door die VLAN tag zijn.

De capture is gebeurd via portmirrorring op de switch, maar ik kon maar 1 poort tegelijk capturen, dus chronologisch moet je de 2 captures los van elkaar zien). Alle wifi was disabled, en op de switch was enkel de Mac en de router gekoppeld (en de capture host op de mirroring poort, ook een mac, maar dit speelt voor de capture geen rol denk ik).

Als bovenstaande helemaal nonsens is mag je het ook zeker zeggen, ik leer maar al doende

bitbite · 06 okt 2017, 16:34

Hmm ik volg het even niet meer. Interessant probleem, dat wel.