Nietypowy ruch sieciowy w Wireshark - analiza adresów IP

Question

Witam, Odpaliłem ostatnio Wireshark'a żęby sprawdzić pewną rzecz i natknąłem się na dziwną sytuację. Mianowicie dziwny ruch z różnych adresów na jeden ten sam adres. Dzieje się to cały czas mimo iż do sieci wpięty jest jedynie mój komputer. Skany różnymi antymalware (Spyhunter, ADWcleaner itp.)...

cysiekw · Accepted Answer

Masz itunes? Lub usługa Bonjour?

lukaszd82 · Accepted Answer

Sprawdz jakie usługi korzystaja z portów wymienionych przy tych ramkach, pełna analiza wymaga całości wpisów i dostępu do fizycznych maszyn. Poza tym identyczne paczki z wireshark są już opisane w necie... Wystarczy przetiltrować wg informacji nawet z tego zrzutu i wyskakuje kilka podpowiedzi gdzie należy szukać problemu.
Tu masz źródło informacji:
Link
Popatrz na to:
Link

To że coś odinstalowałeś w windows nie znaczy że nie zostały powiązane z tym śmieci...
Bardzo często trzeba przeczyścić rejestr i usówać pliki ręcznie.

lukaszd82 · Accepted Answer

Adres docelowy to multicast mdns, port 5353 rowniez jest defaultowym portem tej usługi. Skoro to idzie z zewnątrz twojej sieci to tylko blokada portu, filtrowanie ruchu... Co to za router co nie ma podstawowych funkcjonalności? Stare routery już miały takie możliwości. Może da się mu wgrać inny, nieoficjalny soft? A jak nie to zapytaj dostawcy co to za ruch z zewnątrz i w jakim celu. Jak pisałem bez większej ilości informacji o ruchu i konfiguracji sieci oraz dostępu do sieci to taka pomoc w ciemno.

lukaszd82 · Answer

Popatrz tutaj i zdecyduj czy aby dobrze zruty ruchu sieciowego zamieszczać na forum:
Link

Coś ci mówi nazwa:
INTERKAM SZCZEPANIK SPOLKA KOMANDYTOWA
Władysława Grabskiego 1b
96-500 Sochaczew

Chyba to twój dostawca telewizji i internetu......

Rafcio_3D · Answer

Tak to mój dostawca, ale tak czy inaczej co to może być? i dlaczego jest w mojej sieci lokalnej za NAT,em

Rafcio_3D · Answer

Nie posiadam, kiedyś miałem ale odinstalowałem. Przeszukałem usługi i nie znalazłem usługi Bonjour.
Znalazłem trzy dozwolone reguły mDNS w zaporze Windows. Jednak ich wyłączenie nic nie zmienia.

Znalazłem również poradnik jak wyłączyć mDNS w rejestrze jednak nic to nie dało.

Rafcio_3D · Answer

Z portu 5353 nie korzysta żadna usługa na moim komputerze, który jest jako jedyny podłączony do sieci lokalnej.
Wyłączyłem mDNS przez wpis w rejestrze tak jak pisali w wygoglowanym artykule, jednak sytuacja nie ustała.
Wydaje mi się jakby te pakiety przychodziły z zewnątrz mojej sieci i dobijały się do routera, (Router pracuje jako końcówka sieciowa).
Pakiety przychodzą cały czas z tych samych adresów i mają różne porty źródłowe jednak taki sam port docelowy 5353.
Mogę spróbować jakoś dodać do zapory routera te adresy i sprawdzić co się stanie.

Linki które podałeś mi nie pomogły.

Dodano po 23 [minuty]:

Niestety nie mam możliwości zablokowania portu na moim routerze

Rafcio_3D · Answer

Router to tplink model TL-WR841N. I udało mi się ustalić tylko tyle że po podmianie go na NETGEAR'a WGR614 v6 takowy ruch ustał. Za chwile będę testował dalej co może powodować takowe zachowanie sieci gdy zarządza nią tplink.

Dodano po 42 [minuty]:

Zresetowałem tplinka do ustawień fabrycznych wgrałem starszy soft po czym wgrałem najnowszy, podłączyłem go z powrotem tak jak było na początku i znowu w sieci zaczęły latać mDNS'y

Dodano po 11 [minuty]:

Logi z tplinka za raz po jego uruchomieniu, może to coś pomoże, mi się wydają podejrzane te 12-16 i 20-22, chyba że to pobieranie adresu publicznego.

lukaszd82 · Answer

To jest router WR841N chyba a nie WR8412N? Proponuje zmienic soft na nieoficjalny, choćby coś takiego: Link Tylko trzeba dobrać odpowiednią do wersji hardware wersję.... Pomyłka = ubity sprzęt.

Rafcio_3D · Answer

Tak masz racje niechcący kliknąłem 2, już poprawiam. Co do softa to pokombinuje z nim jeśli nie wyjdzie mi blokowanie portów na mikrotiku przed routerem. Pomyłka przy wgrywaniu sofra nie zawsze równa się ubity sprzęt, zawsze można próbować uratować przez TTL .

Rafcio_3D · Answer

Tak masz racje niechcący kliknąłem 2, już poprawiam. Co do softa to pokombinuje z nim jeśli nie wyjdzie mi blokowanie portów na mikrotiku przed routerem. Pomyłka przy wgrywaniu sofra nie zawsze równa się ubity sprzęt, zawsze można próbować uratować przez TTL . Dodano po 2 [godziny] 4 [minuty]:Po długotrwałych kombinacjach z mikrotikiem wpiętym jako most przed routerem końcowym udało mi się pozbyć multicast'ów z sieci. Nie mogłem tego zrobić przez firewall i blokowanie portów, nie wiem, może coś źle robiłem albo to nie działa w przypadku switch'a. Udało się to osiągnąć wyłączając na porcie wyjściowym opcje unknown multicast flood i włączając IGMP snooping, teraz żadne mDNS'y nie latają po mojej sieci lokalnej. Dziękuję za pomoc i pozdrawiam

Rafcio_3D · Answer

Tak masz racje niechcący kliknąłem 2, już poprawiam. Co do softa to pokombinuje z nim jeśli nie wyjdzie mi blokowanie portów na mikrotiku przed routerem. Pomyłka przy wgrywaniu sofra nie zawsze równa się ubity sprzęt, zawsze można próbować uratować przez TTL . Dodano po 2 [godziny] 4 [minuty]:Po długotrwałych kombinacjach z mikrotikiem wpiętym jako most przed routerem końcowym udało mi się pozbyć multicast'ów z sieci. Nie mogłem tego zrobić przez firewall i blokowanie portów, nie wiem, może coś źle robiłem albo to nie działa w przypadku switch'a. Udało się to osiągnąć wyłączając na porcie wyjściowym opcje unknown multicast flood i włączając IGMP snooping, teraz żadne mDNS'y nie latają po mojej sieci lokalnej. Dziękuję za pomoc i pozdrawiam :) Dodano po 9 [godziny] 50 [minuty]:Udało mi się dodać reguły firewall'a, które również blokują mdns,y dobijające się do sieci lokalnej. Takie ustawienia zastosowałem na moście: Przy dodawaniu filtra do transparentnego mostu na mikrotiku należy pamiętać o wyłączeniu opcji Hardware Offload. Oba rozwiązania skutecznie blokują napływające do sieci lokalnej zapytania mdns. Dziękuję i pozdrawiam

[Rozwiązano] Nietypowy ruch sieciowy w Wireshark - analiza adresów IP

Post #1

Post #2

Post #3

Post #4

Post #5

Post #6

Post #7

Post #8

Post #9

Post #10

Post #11

Post #12

Post #13

Podsumowanie tematu