LINUX.ORG.RU
ФорумAdmin

Найти устройство по IP и MAC


0

1

Какое-то устройство посылает в сетку пакеты по IGMP протоколу, которые заставляют замирать входящее IPTV. Нужно обнаружить это устройство либо во внутренней сети, либо в сети провайдера. IP адрес розыскиваемого IP=172.20.57.2

# tcpdump -i eth0.146 igmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0.146, link-type EN10MB (Ethernet), capture size 96 bytes
11:21:19.122177 IP 172.20.57.2 > 239.1.1.15: igmp query v3 [max resp time 10s] [gaddr 239.1.1.15]
11:21:20.414155 IP 10.0.0.1 > all-routers.mcast.net: igmp leave 239.1.1.15
11:21:20.430817 IP 10.0.0.1 > 239.1.1.15: igmp v2 report 239.1.1.15
11:21:21.071795 IP 10.0.0.1 > 239.1.1.15: igmp v2 report 239.1.1.15
11:21:24.121463 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
11:21:29.703564 IP 10.0.0.1 > 239.1.1.15: igmp v2 report 239.1.1.15
11:21:34.125285 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
11:21:44.121621 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
11:21:49.127643 IP 172.20.57.2 > 239.1.1.15: igmp query v3 [max resp time 10s] [gaddr 239.1.1.15]
11:21:50.122103 IP 172.20.57.2 > 239.1.1.15: igmp query v3 [max resp time 10s] [gaddr 239.1.1.15]
11:21:53.399854 IP 10.0.0.1 > all-routers.mcast.net: igmp leave 239.1.1.15
11:21:54.121186 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
11:22:04.121256 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
11:22:14.122080 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
Вот полная информация по пакету. Как видно есть MAC
# tethereal -n -i eth0.146 -V host 172.20.57.2
Running as user "root" and group "root". This could be dangerous.
Capturing on eth0.146
Frame 1 (60 bytes on wire, 60 bytes captured)
    Arrival Time: Nov 25, 2011 11:22:44.121551000
    [Time delta from previous captured frame: 0.000000000 seconds]
    [Time delta from previous displayed frame: 0.000000000 seconds]
    [Time since reference or first frame: 0.000000000 seconds]
    Frame Number: 1
    Frame Length: 60 bytes
    Capture Length: 60 bytes
    [Frame is marked: False]
    [Protocols in frame: eth:ip:igmp]
Ethernet II, Src: 00:16:4d:71:b1:42 (00:16:4d:71:b1:42), Dst: 01:00:5e:00:00:01 (01:00:5e:00:00:01)
    Destination: 01:00:5e:00:00:01 (01:00:5e:00:00:01)
        Address: 01:00:5e:00:00:01 (01:00:5e:00:00:01)
        .... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
    Source: 00:16:4d:71:b1:42 (00:16:4d:71:b1:42)
        Address: 00:16:4d:71:b1:42 (00:16:4d:71:b1:42)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
    Type: IP (0x0800)
    Trailer: 00000000000000000000
Internet Protocol, Src: 172.20.57.2 (172.20.57.2), Dst: 224.0.0.1 (224.0.0.1)
    Version: 4
    Header length: 24 bytes
    Differentiated Services Field: 0xc0 (DSCP 0x30: Class Selector 6; ECN: 0x00)
        1100 00.. = Differentiated Services Codepoint: Class Selector 6 (0x30)
        .... ..0. = ECN-Capable Transport (ECT): 0
        .... ...0 = ECN-CE: 0
    Total Length: 36
    Identification: 0x0000 (0)
    Flags: 0x04 (Don't Fragment)
        0... = Reserved bit: Not set
        .1.. = Don't fragment: Set
        ..0. = More fragments: Not set
    Fragment offset: 0
    Time to live: 1
    Protocol: IGMP (0x02)
    Header checksum: 0x1efc [correct]
        [Good: True]
        [Bad : False]
    Source: 172.20.57.2 (172.20.57.2)
    Destination: 224.0.0.1 (224.0.0.1)
    Options: (4 bytes)
        Router Alert: Every router examines packet
Internet Group Management Protocol
    IGMP Version: 3
    Type: Membership Query (0x11)
    Max Response Time: 5.0 sec (0x32)
    Header checksum: 0xecc3 [correct]
    Multicast Address: 0.0.0.0 (0.0.0.0)
    QRV=2 S=Do not suppress router side processing
        .... 0... = S: Do not suppress router side processing
        .... .010 = QRV: 2
    QQIC: 10
    Num Src: 0

1 packet captured
Это не один из локальных интерфейсов сервера на который приходит пакет
# ifconfig | grep 00:16:4d:71:b1:42
# 
Провайдер клянется, что его оборудование не может посылать этот сигнал, т.к. оно не поддерживает IGMP v3. Что это может быть. Как выяснить?


Коммутаторы, как я понимаю, неуправляемые ? А то бы просто на портах коммутаторов его поискать. Кстати, tcpdump -e -i eth0.146 igmp тоже мак покажет. Можно попробовать понять по маку, кто производитель железки.

AS ★★★★★
()

Если у тебя в локалке нет оборудования (маршрутизатора) который может работать с igmpv3, то это провайдер. У них наверняка такое стоит.

alikhantara
()
Ответ на: комментарий от AS

Теперь бы понять через какой сетевой интерфейс это приходит. Не может ли этот пакет проскакивать из внутренней сети во внешнюю. Провайдер говорит, что на этот интерфейс он подает ТОЛЬКО IPTV. Может ли так быть, что это устройство есть во внутренней сетке, и посылает пакеты через этот интерфейс?

iptables -A INPUT -i eth1 -p tcp --dport 4022 -j ACCEPT
iptables -A INPUT -i eth0.146 -p udp -s 224.0.0.0/240.0.0.0 -j ACCEPT
iptables -A INPUT -i eth0.146 -p udp -d 224.0.0.0/240.0.0.0 -j ACCEPT
# ip r
80.249.224.56 dev ppp0  proto kernel  scope link  src 80.249.239.3 
192.168.4.0/24 dev eth4  proto kernel  scope link  src 192.168.4.1 
192.168.3.0/24 dev eth3  proto kernel  scope link  src 192.168.3.1 
192.168.2.0/24 dev eth2  proto kernel  scope link  src 192.168.2.1 
192.168.10.0/24 dev eth1  proto kernel  scope link  src 192.168.10.1 
default via 192.168.3.3 dev eth3 

eth0 - интерфейс VLAN
ppp0 - Интернет поднятый на VLAN=eth0.21
VLAN=eth0.146 - IPTV
eth2, eth3 - резервний инет на Multi-WAN
eth4 - DMZ

ZeroCup
() автор топика
Ответ на: комментарий от ZeroCup

Нужно 100% доказательство, что это оборудование провайдера. Он говорит, что их оборудование не может работать с IGMP v3, поэтому, говорит, ищите проблему затыков IPTV на вашей стороне.

ZeroCup
() автор топика
Ответ на: комментарий от ZeroCup

> Нужно 100% доказательство, что это оборудование провайдера.

А чем не устраивает «tcpdump -i eth0.146 igmp» ?
Кстати, то, что vlan, я сразу предположил, но вот где написал, видимо, ерунду, так это про неуправляемый коммутатор, раз vlan-ы используются. Ну так и посмотреть маки на том порту, куда шнурок от провайдера воткнут, если tcpdump -e -i eth0.146 igmp не доказательство.

AS ★★★★★
()
Ответ на: комментарий от ZeroCup

Провайдер говорит, что на этот интерфейс он подает ТОЛЬКО IPTV

кстати в «ТОЛЬКО IPTV» igmp входит. Без него оно просто неработает :)

MKuznetsov ★★★★★
()
Ответ на: комментарий от MKuznetsov

Управляемого маршрутизатора нет. Точнее, им выступает сервер на ClearOS (клон CentOS). Все сдано через vconfig и modprobe 802.1q Ну, под «провайдер говорит», я имел в виду, что он поставляет только IPTV по IGMP v2, т.к. оборудование не поддерживает v3 Поэтому, провайдер пытается мне втолковать что паразитный трафик IGMP v3 приходит как раз с нашей стороны, и ни в коем случае не он является его источником. Мне надо отловить источник этих сигналов (особенно второго):

13:17:24.140161 00:16:4d:71:b1:42 (oui Unknown) > 01:00:5e:00:00:01 (oui Unknown), ethertype IPv4 (0x0800), length 60: 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
13:17:25.767988 00:80:48:ba:d1:30 (oui Unknown) > 01:00:5e:00:00:02 (oui Unknown), ethertype IPv4 (0x0800), length 46: 10.0.0.1 > all-routers.mcast.net: igmp leave 239.1.1.2
полный лог
# tcpdump -e -i eth0.146 igmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0.146, link-type EN10MB (Ethernet), capture size 96 bytes
13:16:51.289384 00:80:48:ba:d1:30 (oui Unknown) > 01:00:5e:01:01:01 (oui Unknown), ethertype IPv4 (0x0800), length 46: 10.0.0.1 > 239.1.1.1: igmp v2 report 239.1.1.1
13:16:54.139982 00:16:4d:71:b1:42 (oui Unknown) > 01:00:5e:00:00:01 (oui Unknown), ethertype IPv4 (0x0800), length 60: 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
13:17:00.551122 00:80:48:ba:d1:30 (oui Unknown) > 01:00:5e:01:01:01 (oui Unknown), ethertype IPv4 (0x0800), length 46: 10.0.0.1 > 239.1.1.1: igmp v2 report 239.1.1.1
13:17:04.140542 00:16:4d:71:b1:42 (oui Unknown) > 01:00:5e:00:00:01 (oui Unknown), ethertype IPv4 (0x0800), length 60: 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
13:17:14.141100 00:16:4d:71:b1:42 (oui Unknown) > 01:00:5e:00:00:01 (oui Unknown), ethertype IPv4 (0x0800), length 60: 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
13:17:19.153875 00:16:4d:71:b1:42 (oui Unknown) > 01:00:5e:01:01:01 (oui Unknown), ethertype IPv4 (0x0800), length 60: 172.20.57.2 > 239.1.1.1: igmp query v3 [max resp time 10s] [gaddr 239.1.1.1]
13:17:20.141838 00:16:4d:71:b1:42 (oui Unknown) > 01:00:5e:01:01:01 (oui Unknown), ethertype IPv4 (0x0800), length 60: 172.20.57.2 > 239.1.1.1: igmp query v3 [max resp time 10s] [gaddr 239.1.1.1]
13:17:20.377761 00:80:48:ba:d1:30 (oui Unknown) > 01:00:5e:00:00:02 (oui Unknown), ethertype IPv4 (0x0800), length 46: 10.0.0.1 > all-routers.mcast.net: igmp leave 239.1.1.1
13:17:20.382455 00:16:4d:71:b1:42 (oui Unknown) > 01:00:5e:01:01:01 (oui Unknown), ethertype IPv4 (0x0800), length 60: 172.20.57.2 > 239.1.1.1: igmp query v3 [max resp time 10s] [gaddr 239.1.1.1]
13:17:20.528572 00:80:48:ba:d1:30 (oui Unknown) > 01:00:5e:01:01:02 (oui Unknown), ethertype IPv4 (0x0800), length 46: 10.0.0.1 > 239.1.1.2: igmp v2 report 239.1.1.2
13:17:24.140161 00:16:4d:71:b1:42 (oui Unknown) > 01:00:5e:00:00:01 (oui Unknown), ethertype IPv4 (0x0800), length 60: 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
13:17:25.767988 00:80:48:ba:d1:30 (oui Unknown) > 01:00:5e:00:00:02 (oui Unknown), ethertype IPv4 (0x0800), length 46: 10.0.0.1 > all-routers.mcast.net: igmp leave 239.1.1.2
13:17:25.772023 00:1e:49:98:89:03 (oui Unknown) > 01:00:5e:01:01:02 (oui Unknown), ethertype IPv4 (0x0800), length 60: 172.20.57.2 > 239.1.1.2: igmp query v3 [max resp time 10s] [gaddr 239.1.1.2]
13:17:26.778477 00:1e:49:98:89:03 (oui Unknown) > 01:00:5e:01:01:02 (oui Unknown), ethertype IPv4 (0x0800), length 60: 172.20.57.2 > 239.1.1.2: igmp query v3 [max resp time 10s] [gaddr 239.1.1.2]
13:17:27.785677 00:16:4d:71:b1:42 (oui Unknown) > 01:00:5e:01:01:02 (oui Unknown), ethertype IPv4 (0x0800), length 60: 172.20.57.2 > 239.1.1.2: igmp query v3 [max resp time 10s] [gaddr 239.1.1.2]
13:17:28.842603 00:16:4d:71:b1:42 (oui Unknown) > 01:00:5e:01:01:02 (oui Unknown), ethertype IPv4 (0x0800), length 60: 172.20.57.2 > 239.1.1.2: igmp query v3 [max resp time 10s] [gaddr 239.1.1.2]

16 packets captured
20 packets received by filter
0 packets dropped by kernel

ZeroCup
() автор топика
Ответ на: комментарий от ZeroCup

> Управляемого маршрутизатора нет.

Я про коммутатор. Или именно прямо в eth0 этого компьютера с ClearOS и воткнут провод от провайдера, и это провайдер двумя (или больше - не важно) vlan трафик подаёт, и именно на нём tcpdump запускается ?

AS ★★★★★
()
Ответ на: комментарий от ZeroCup

> Да, именно так

Так какие тогда сомнения могут быть ? Без вариантов, от провайдера.
Может быть ситуация, что это клиент-сосед, но вывод «от провайдера» это никак не меняет. Пусть ищет.

AS ★★★★★
()

У меня от провайдерского свича ходят IGMP пакеты. Провайдер IPTV предоставляет. Сомнений нет, что от него.

adriano32 ★★★
()
Ответ на: комментарий от ZeroCup

tcpdump -i <interface> ether src <source_mac>

предъявить прову, если там есть таки igmp v3

MKuznetsov ★★★★★
()
Ответ на: комментарий от ZeroCup

> Подскажите правило, пожалуйста

Можно как-то так: iptables -I INPUT -s 172.20.57.2 -j DROP
Если надо, ещё iptables -I FORWARD -s 172.20.57.2 -j DROP
Не знаю, как там iptv работает...

AS ★★★★★
()
Ответ на: комментарий от AS

Да, действительно, пакеты от провайдера

# tcpdump -i eth0.146 ether src 00:16:4d:71:b1:42
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0.146, link-type EN10MB (Ethernet), capture size 96 bytes
12:36:44.959512 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
12:36:54.958052 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
12:37:04.956873 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
12:37:14.958184 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
12:37:24.956248 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
12:37:34.981798 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
12:37:44.988355 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
12:37:54.986169 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
12:38:04.986731 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
12:38:14.988043 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
12:38:24.986606 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
12:38:34.986410 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
12:38:44.987222 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
12:38:54.986785 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
12:39:04.986347 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
12:39:14.986409 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
12:39:24.986472 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
12:39:34.986534 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
12:39:44.990344 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
12:39:54.986909 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
12:40:04.986471 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
12:40:14.986533 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
12:40:24.986596 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
12:40:34.986408 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
12:40:44.988470 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
12:40:54.987033 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
12:41:04.990843 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
12:41:15.006397 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
12:41:25.006958 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
12:41:35.007271 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]
12:41:45.007083 IP 172.20.57.2 > all-systems.mcast.net: igmp query v3 [max resp time 50s]

ZeroCup
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.