Paquets WAN UDP 169.254.234.247:49150

bOLEMO · 28 Octobre 2020 à 13:03:55

Bonjour,

Je reçois constamment des paquets (plusieurs par minute) udp par mon WAN depuis 169.254.234.247 (port 49150) qui sont destinés à tout le broadcast (255.255.255.255) sur le port 49152.

Un traceroute remonte jusqu'au routeur de collecte de K-Net, mais ce dernier interrompt le traceroute.

169.254.234.247 est une adresse privée, donc elle provient du réseau interne Covage/K-Net. Je doute qu'elle vienne de plus loin, car ce serait une adresse bogon qui passerait les mailles.

Je bloque ces paquets, mais j'aimerais comprendre à quoi ils correspondent ? Des paquets destinés à la K-Box ?

Drywan · 28 Octobre 2020 à 14:07:23

Salut,

169.254.x sont des adresses APIPA
Et oui ça spam aussi mon WAN depuis la coupure de K-Net/Covage 14.

bOLEMO · 28 Octobre 2020 à 14:55:51

Citation de: Drywan le 28 Octobre 2020 à 14:07:23
Salut,

169.254.x sont des adresses APIPA
Et oui ça spam aussi mon WAN depuis la coupure de K-Net/Covage 14.

Comment ces adresses se retrouvent-elles sur le réseau K-Net/Covage si elle ne viennent pas de chez eux ?
Ne devraient-elles pas être refusées par leur routeurs ?
J'ai toujours eu ces paquets UDP, avant ou après coupures, toujours la même IP.

Steph · 28 Octobre 2020 à 15:01:02

Jamais vu ce genre de paquet sur Covage 74.

Steph · 28 Octobre 2020 à 15:11:38

Citation de: bOLEMO le 28 Octobre 2020 à 13:03:55
169.254.234.247 est une adresse privée, donc elle provient du réseau interne Covage/K-Net. Je doute qu'elle vienne de plus loin, car ce serait une adresse bogon qui passerait les mailles.

Je crois bien que les adresse APIPA sont seulement locale à une machine. non?
Je sais qu'un des routeurs Covage répond une APIPA : https://forum.caps.services/index.php/topic,7534.msg99186.html#msg99186

Depuis la DSP Covage en Essonne :
# traceroute -4 1.1.1.1 -n
traceroute to 1.1.1.1 (1.1.1.1), 30 hops max, 60 byte packets
1 172.16.100.15 1.587 ms 1.479 ms 1.491 ms
2 169.254.254.1 2.237 ms 2.387 ms 2.496 ms
3 10.2.0.5 1.875 ms 1.848 ms 1.779 ms
4 37.49.237.49 31.274 ms 31.253 ms 31.187 ms
5 1.1.1.1 2.953 ms 2.900 ms 2.858 ms

Drywan · 28 Octobre 2020 à 16:11:39

Je dirais que le(s) Box(s) étant en DHCP-client ne trouvant pas de DHCP-Server bascule en APIPA le temps que celui-ci veuille bien répondre.
Les box n'étant pas toutes des Icotéra .. j'ai même vu passer hier soir du NBT (Netbios sur IP) .. pour dire qu'on trouve de tout dès que tu permets aux gens (dont je fais partie) de mettre leur propre matos.

bOLEMO · 28 Octobre 2020 à 17:16:43

Citation de: Drywan le 28 Octobre 2020 à 16:11:39
Je dirais que le(s) Box(s) étant en DHCP-client ne trouvant pas de DHCP-Server bascule en APIPA le temps que celui-ci veuille bien répondre.
Les box n'étant pas toutes des Icotéra .. j'ai même vu passer hier soir du NBT (Netbios sur IP) .. pour dire qu'on trouve de tout dès que tu permets aux gens (dont je fais partie) de mettre leur propre matos.

Intéressant ! Cela explique pourquoi je reçois ces paquets puisqu'ils sont destinés à toutes les adresses (255.255.255.255). Ça viendrait donc de la box (ou du matos d'un client perso).

Cela explique aussi pourquoi vous avez plus de paquets après les coupures (matériel qui est passé en autoconfig APIPA car pas d'arp/dhcp).
Du coup, pourquoi (et comment) les routeurs K-Net et Covage laissent-ils passer les paquets APIPA ?

En principe, seule notre adresse IP assignée est autorisée sur le réseau.
Ça veut dire que je peux m'attribuer manuellement une adresse APIPA et avoir quand même accès au réseau K-Net/Covage ?

Drywan · 28 Octobre 2020 à 19:03:27

Ton WAN va s'auto-attribuer une APIPA en 169.254.x si aucun DHCP ne lui répond.
Un Windows ou un linux/Mac le font par ex .. sachant que pas mal de box sont des Unix-like.

bOLEMO · 28 Octobre 2020 à 19:37:56

Ce n'est pas le cas ici, ça ne vient pas de chez moi.

J'utilise un routeur R7800 auquel j'ai un accès total.
J'ai une IP attribuée sur le WAN (celle donnée par K-Net), et une IP attribuée sur le LAN (IP locale choisie par moi).

Je log ce qui entre dans iptables sur INPUT et FORWARD pour l'interface WAN.
J'ai des paquets qui arrivent de l'extérieur (WAN, côté ONT) vers mon routeur (qui est direct sur l'ONT) depuis l'adresse 169.254.234.247:49150 destinés à 255.255.255.255:49152
Si je traceroute, je remonte bien côté WAN vers le routeur de collecte 14, puis le routeur de livraison Covage, puis le routeur de collecte K-Net qui lui interrompt le traceroute !N (logique, il refuse de router vers une IP locale APIPA).

Mon routeur n'a aucune interface avec cette adresse APIPA (ifconfig), ni personne sur mon LAN, qui est de toute façon exclu du log.

Donc ça vient d'un voisin numérique sur le réseau Covage/K-Net. Pas vraiment une menace, car tout paquet envoyé à cette adresse est bloqué par le routeur de collecte K-Net (j'ai fait udp et tcp traceroute, sur les ports concernés), mais ça reste curieux que ça vienne jusqu'à chez moi.

bOLEMO · 29 Octobre 2020 à 11:28:15

Maintenant c'est 169.254.64.208
Donc à priori le même appareil qui a changé son APIPA.
Comme le routeur de K-Net bloque (comme il se doit), c'est je pense quelque part sur la boucle de collecte locale ou départementale (voire un matos Covage), sauf si le routeur K-Net autorise cet IP à sortir vers Covage.

Comme je ne peux faire un Ping dessus, je ne peux mesurer la distance en ms.

Un tcpdump pendant 10 secondes me donne ceci :

Code Sélectionner

 root@HERMES:~$ tcpdump -i brwan udp port 49150 -vv -X
tcpdump: listening on brwan, link-type EN10MB (Ethernet), capture size 96 bytes
11:25:05.417880 IP (tos 0x0, ttl 64, id 63302, offset 0, flags [DF], proto UDP (17), length 48) 169.254.64.208.49150 > 255.255.255.255.49152: [udp sum ok] UDP, length 20
        0x0000:  4500 0030 f746 4000 4011 58a8 a9fe 40d0  E..0.F@.@.X...@.
        0x0010:  ffff ffff bffe c000 001c 9952 5245 4e53  ...........RRENS
        0x0020:  4f4e 5f44 4556 4943 452f 4a53 4f4e 3f00  ON_DEVICE/JSON?.
11:25:15.421035 IP (tos 0x0, ttl 64, id 63939, offset 0, flags [DF], proto UDP (17), length 48) 169.254.64.208.49150 > 255.255.255.255.49152: [udp sum ok] UDP, length 20
        0x0000:  4500 0030 f9c3 4000 4011 562b a9fe 40d0  E..0..@.@.V+..@.
        0x0010:  ffff ffff bffe c000 001c 9952 5245 4e53  ...........RRENS
        0x0020:  4f4e 5f44 4556 4943 452f 4a53 4f4e 3f00  ON_DEVICE/JSON?.
^C
2 packets captured
2 packets received by filter
0 packets dropped by kernel

bOLEMO · 29 Octobre 2020 à 11:59:03

Ah, ça répond à un arping !

Code Sélectionner

 root@HERMES:~$ arping -I brwan 169.254.64.208
ARPING 169.254.64.208 from 2.59.XX.XX brwan
Unicast reply from 169.254.64.208 [00:11:2a:22:48:e7] 5.905ms
Unicast reply from 169.254.64.208 [00:11:2a:22:48:e7] 5.342ms
Unicast reply from 169.254.64.208 [00:11:2a:22:48:e7] 5.373ms
Unicast reply from 169.254.64.208 [00:11:2a:22:48:e7] 5.373ms
Unicast reply from 169.254.64.208 [00:11:2a:22:48:e7] 5.374ms
Unicast reply from 169.254.64.208 [00:11:2a:22:48:e7] 5.530ms
Unicast reply from 169.254.64.208 [00:11:2a:22:48:e7] 5.530ms
Unicast reply from 169.254.64.208 [00:11:2a:22:48:e7] 5.467ms
^CSent 8 probe(s) (1 broadcast(s))
Received 8 response(s) (0 request(s), 0 broadcast(s))

Du coup, je connais le MAC de l'appareil (définitivement pas chez moi) : 00:11:2a:22:48:e7
Le routeur Covage 14, ainsi que la passerelle sont à 2.5 ms de mon routeur.
Les routeurs d'échange Covage/K-Net sont à 7 ms de mon routeur.

Cet appareil étant à 5.5 ms, il est situé avant K-Net, quelque part dans la boucle de collecte 14 (comme je pensais).

Steph · 29 Octobre 2020 à 12:06:46

Adresse MAC résultats de la recherche - 00:11:2a:22:48:e7

00:11:2A
[be - ベルギー] Niko NV
Industriepark West 40
Sint-Niklaas O/V 9100
BE

https://www.niko.eu/fr-fr

Je dirais que cela sent un matos de particulier pas à sa place?

bOLEMO · 29 Octobre 2020 à 12:45:39

Oui, clairement !

Ce qui est curieux, c'est qu'à priori ce matos n'est probablement pas connecté directement sur l'ONT...
Ou quelqu'un a placé un switch avant leur box/routeur.
Dans tous les cas, cet appareil ne fonctionne probablement même pas chez la personne s'il a une adresse APIPA...

Comme c'est sur le réseau Covage, ça peut être n'importe quel client de n'importe quel FAI...
Curieux que les routeurs de Covage ne bloquent pas.

bOLEMO · 29 Octobre 2020 à 18:34:09

Comme ce n'est pas spécifique à K-Net, mais plus lié à Covage 14 (offre active), j'ai créé un sujet ici : https://lafibre.info/fibre-calvados/paquets-udp-apipa-dans-la-boucle-locale-covage-14/

Steph · 31 Octobre 2020 à 17:24:40

Citation de: Steph le 28 Octobre 2020 à 15:11:38
Citation de: bOLEMO le 28 Octobre 2020 à 13:03:55
169.254.234.247 est une adresse privée, donc elle provient du réseau interne Covage/K-Net. Je doute qu'elle vienne de plus loin, car ce serait une adresse bogon qui passerait les mailles.
Je crois bien que les adresse APIPA sont seulement locale à une machine. non?

J'ai dit une bêtise : Les adresses APIPA sont locales au sous réseau.
https://en.wikipedia.org/wiki/Reserved_IP_addresses#IPv4

Rechercher