+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Странные IP-адреса 129.0.0.x?

Странные IP-адреса 129.0.0.x?, RouterOS

src386

Guest

16.06.2016 15:37:00

Всем привет! Смотрел трафик с помощью сниффера на своём CCR1009-8G-1S-1S+ и заметил странные IP-адреса: 129.0.0.10, 129.0.0.20, 129.0.0.30, 129.0.0.40.

Почему странные? Из-за последних цифр — слишком ровные, чтобы быть настоящими IP — и из-за того, что устройство (CCR1009-8G-1S-1S+) находится за строгим шлюзом, который не пропускает входящий трафик с этих адресов. Этот трафик появляется только если фильтр интерфейса пуст.

Сниффинг трафика на каждом отдельном интерфейсе (ether1, ether2, sfp1) не показывает никаких пакетов с 129.0.0.x.

Анализ файла захвата в Wireshark выявил плохие кадры уровня 2: Src: 00:00:00_00:00:00 (00:00:00:00:00:00), Dst: 00:00:00_00:00:00 (00:00:00:00:00:00).

Есть идеи? С уважением.

akschu

Guest

13.07.2016 20:31:00

У меня тоже такое наблюдается. И разобраться, откуда идет трафик, сложно, потому что sniffer в RouterOS либо неправильно работает, либо меня обманывает — он показывает трафик на bond1 при условии, что интерфейс любой: 1 0.035 bond1 129.0.0.71:49320 172.28.0.15:1891 tcp 188 1 нет. Но если я смотрю sniffer прямо на bond1, этого трафика не видно. И ещё это никак не совпадает с правилами:

/ip firewall mangle add action=log chain=postrouting log-prefix=TEST src-address=129.0.0.0/16
add action=log chain=prerouting log-prefix=TEST src-address=129.0.0.0/16
add action=log chain=input log-prefix=TEST src-address=129.0.0.0/16
add action=log chain=output log-prefix=TEST src-address=129.0.0.0/16
add action=log chain=forward log-prefix=TEST src-address=129.0.0.0/16
add action=log chain=postrouting dst-address=129.0.0.0/16 log-prefix=TEST
add action=log chain=prerouting dst-address=129.0.0.0/16 log-prefix=TEST
add action=log chain=input dst-address=129.0.0.0/16 log-prefix=TEST
add action=log chain=output dst-address=129.0.0.0/16 log-prefix=TEST
add action=log chain=forward dst-address=129.0.0.0/16 log-prefix=TEST

Что-то здесь явно не так…

swissiws Guest	#3 0 24.09.2016 07:13:00 У меня такая же ситуация — на x86 интерфейсе ether1 не назначен IP-адрес, к нему подключены VLAN-интерфейсы — может, в этом проблема?

IntrusDave

Guest

24.09.2016 17:53:00

Это действительные IP-адреса... Мои honeypots не раз фиксировали трафик с них.

NetRange: 129.0.0.0 - 129.0.255.255
CIDR: 129.0.0.0/16
NetName: AFRINIC-ERX-129-0-0-0
NetHandle: NET-129-0-0-0-1
Parent: NET129 (NET-129-0-0-0-0)
NetType: Перепередано в AfriNIC
Organization: African Network Information Center (AFRINIC)
Ref: > https://whois.arin.net/rest/net/NET-129-0-0-0-1
OrgId: AFRINIC
Address: Level 11ABC
Address: Raffles Tower
Address: Lot 19, Cybercity
City: Ebene
Country: MU

swissiws Guest	#5 0 24.09.2016 18:39:00 Допустимый диапазон IP-адресов не объясняет, почему эти пакеты не перехватываются никаким фильтром фаервола, и я также не вижу эти пакеты в Wireshark.

BartoszP Guest	#6 0 24.09.2016 18:56:00 Я подозреваю, что у кого-то есть два одновременных подключения к Интернету: одно через вашу локальную сеть, а второе, например, через LTE, и часть трафика LTE "просачивается" на интерфейс локальной сети.

swissiws

Guest

24.09.2016 20:41:00

Счётчики байт просто невероятные — 4 ГБ, причём я запускаю сниффер всего на примерно 5 секунд каждый раз (я подключаюсь к VLAN через PtP, около 40 Мбит/с). Когда я меняю VLANID, адреса источника 129.0.x.x в захваченных соединениях тоже меняются, если только существующее соединение возникло до переключения на несуществующий vlanXXX — почему так?

BartoszP Guest	#8 0 24.09.2016 20:45:00 Что за устройство с IP-адресом 10.10.219.2?

swissiws

Guest

24.09.2016 21:46:00

Это локальный IP-адрес, назначенный vlan219.
\ /snip sep/24/2016 11:32:46 by RouterOS 6.37

/interface bridge
add mtu=1500 name=BridgeLOCAL
add name=bridgeVLAN219

/interface vlan
add arp=enabled interface=ether2 mac-address=00:0C:42:D3:D3:97 name=vlan219 vlan-id=219

/interface bridge port
add bridge=BridgeLOCAL interface=ether3
add bridge=BridgeLOCAL interface=ether4
add bridge=bridgeVLAN219 interface=vlan219

/ip address
add address=172.17.3.1/24 interface=BridgeLOCAL network=172.17.3.0
add address=10.10.219.2/24 interface=bridgeVLAN219 network=10.10.219.0

/ip firewall nat
add action=masquerade chain=srcnat dst-address=10.0.0.0/8 out-interface=bridgeVLAN219

/ip route
add distance=1 dst-address=10.0.0.0/8 gateway=10.10.219.1

swissiws Guest	#10 0 11.10.2016 10:46:00 Кто-нибудь из Mikrotik?

mauricioesilva

Guest

#11

20.10.2016 14:43:00

Привет, я отлаживал свою конфигурацию с помощью инструмента «Packet Sniffer» на двух роутерах «RB2011UiAS-2HnD-IN» с ОС 6.37.1 и заметил, что вижу похожий трафик. В моём случае исходящий IP всегда 129.0.0.3. Самое странное: направление всегда TX. Я не вижу этот трафик по адресам назначения (сниффил с tcpdump на хосте назначения). Трафик не проходит через роутеры. На одном роутере трафик всегда TCP, на другом — всегда UDP. Это происходит на интерфейсах, которые используются как TRUNK, но пакеты идут по родительскому интерфейсу, а не в VLAN. Я приложил сырые данные одного из пакетов. Вижу похожие сырые данные и в валидном трафике между ПК и IP-камерой. Надеюсь, это поможет решить проблему.

coylh Guest	#12 0 11.11.2016 03:52:00 У меня тоже в захватах появляется 129 адресов. Похоже, что пакеты повреждены или запись о пакете повреждена. У меня в сети общается 172.16.. устройств, а Wireshark показывает исходный адрес как 129.0.0.*.

coylh Guest	#13 0 11.11.2016 04:03:00 Это происходит на CCR с ROS версии 6.36.3, но не происходит на 450G с той же версией.

ricotoh

Guest

#14

26.11.2016 06:38:00

Привет, у меня точно такая же ситуация. Внутри VLAN происходит странная рассылка пакетов с адресом 129.0.0.vlanid. Иногда, когда пользователям нужно больше сетевых ресурсов, поток растёт вместе с потребляемой полосой пропускания. Иногда у меня наблюдалось более 10 Мбит/с или даже 20 Мбит странного трафика. Это не ловит фаервол и не видно в Wireshark. Это не интернет-трафик, потому что мы отключили интернет-интерфейс при перезагрузке роутера и коммутатора. Если у кого-то есть новая информация или советы… спасибо.

ricotoh Guest	#15 0 27.11.2016 20:58:00 Чтобы проиллюстрировать эти пакеты и соединение:

ricotoh Guest	#16 0 27.11.2016 22:24:00 Чтобы чуть подробнее: сверху в сети у меня есть два DSL-канала с mangle в режиме LB (ECMP) на RB2011, один транковый порт с 5 VLAN на RB2011, который идёт к CRS с access-портами и транковым портом, соответствующим этим VLAN-ам. Все IP-адреса из диапазона 129.0.0.X общаются с клиентами во всех VLAN и сетевыми устройствами на одном порту. Думаю, это какой-то широковещательный трафик от устройства Mikrotik, связанный с маршрутизацией или скрытыми процессами. Когда трафик немного увеличивается, «широковещание» происходит на access-портах с одинаковой пропускной способностью передачи.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры