Activité massive et suspecte sur boucle Covage 14

Démarré par bOLEMO, 16 Novembre 2020 à 17:26:04

« précédent - suivant »

0 Membres et 2 Invités sur ce sujet

D'un seul coup, la boucle 14 de Covage est inondée de paquets provenants d'adresses 192.168.14.*
La destination est le broadcast 255.255.255.255, protocole UDP et les ports visés sont 6666 et 6667 (ports utilisés fréquemment par des chevaux de Troie).
Les machines ont des MAC variées, mais toutes sont des constructeurs : Espressif Inc. et  AIXIANGJI TECHNOLOGY CO., LTD

Échantillon sur 16 secondes :
[noae] 1391202:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:ec:fa:bc:a4:8e:d9:08:00 SRC=192.168.14.158 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=46636 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391202:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:b4:e6:2d:64:4e:c7:08:00 SRC=192.168.14.212 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=37750 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391202:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:84:0d:8e:9b:be:79:08:00 SRC=192.168.14.153 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=39352 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391202:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:ec:fa:bc:a4:8e:18:08:00 SRC=192.168.14.114 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=38590 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391202:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:84:0d:8e:9b:7f:56:08:00 SRC=192.168.14.198 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=2055 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391202:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:b4:e6:2d:64:59:64:08:00 SRC=192.168.14.199 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=38022 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391203:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:b4:e6:2d:64:54:53:08:00 SRC=192.168.14.220 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=6438 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391203:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:ec:fa:bc:a4:91:09:08:00 SRC=192.168.14.226 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=4689 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391204:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:50:02:91:58:e8:1c:08:00 SRC=192.168.14.111 DST=255.255.255.255 LEN=216 TOS=0x00 PREC=0x00 TTL=255 ID=9901 PROTO=UDP SPT=49154 DPT=6667 LEN=196
1391204:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:b4:e6:2d:64:4d:52:08:00 SRC=192.168.14.176 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=18446 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391204:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:b4:e6:2d:64:58:8a:08:00 SRC=192.168.14.171 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=35224 PROTO=UDP SPT=49155 DPT=6666 LEN=184
1391204:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:68:57:2d:38:26:9f:08:00 SRC=192.168.14.113 DST=255.255.255.255 LEN=200 TOS=0x00 PREC=0x00 TTL=255 ID=8515 PROTO=UDP SPT=49153 DPT=6667 LEN=180
1391204:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:b4:e6:2d:64:4d:9e:08:00 SRC=192.168.14.102 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=3555 PROTO=UDP SPT=49155 DPT=6666 LEN=184
1391205:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:ec:fa:bc:a4:8e:d9:08:00 SRC=192.168.14.158 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=46637 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391205:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:b4:e6:2d:64:4e:c7:08:00 SRC=192.168.14.212 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=37751 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391205:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:84:0d:8e:9b:be:79:08:00 SRC=192.168.14.153 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=39353 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391205:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:68:57:2d:72:3d:40:08:00 SRC=192.168.14.207 DST=255.255.255.255 LEN=200 TOS=0x00 PREC=0x00 TTL=255 ID=13767 PROTO=UDP SPT=49154 DPT=6667 LEN=180
1391205:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:00:11:2a:22:48:e7:08:00 SRC=169.254.151.13 DST=255.255.255.255 LEN=48 TOS=0x00 PREC=0x00 TTL=64 ID=41202 DF PROTO=UDP SPT=49150 DPT=49152 LEN=28
1391205:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:ec:fa:bc:a4:8e:18:08:00 SRC=192.168.14.114 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=38591 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391205:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:84:0d:8e:9b:7f:56:08:00 SRC=192.168.14.198 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=2056 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391205:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:b4:e6:2d:64:59:64:08:00 SRC=192.168.14.199 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=38023 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391206:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:b4:e6:2d:64:54:53:08:00 SRC=192.168.14.220 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=6441 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391206:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:ec:fa:bc:a4:91:09:08:00 SRC=192.168.14.226 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=4693 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391206:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:68:57:2d:3a:f9:cc:08:00 SRC=192.168.14.237 DST=255.255.255.255 LEN=200 TOS=0x00 PREC=0x00 TTL=255 ID=47013 PROTO=UDP SPT=49154 DPT=6667 LEN=180
1391206:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:68:57:2d:3a:fd:39:08:00 SRC=192.168.14.106 DST=255.255.255.255 LEN=200 TOS=0x00 PREC=0x00 TTL=255 ID=16878 PROTO=UDP SPT=49153 DPT=6667 LEN=180
1391207:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:b4:e6:2d:64:4d:52:08:00 SRC=192.168.14.176 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=18447 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391207:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:b4:e6:2d:64:58:8a:08:00 SRC=192.168.14.171 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=35225 PROTO=UDP SPT=49155 DPT=6666 LEN=184
1391207:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:b4:e6:2d:64:4d:9e:08:00 SRC=192.168.14.102 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=3556 PROTO=UDP SPT=49155 DPT=6666 LEN=184
1391208:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:ec:fa:bc:a4:8e:d9:08:00 SRC=192.168.14.158 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=46638 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391208:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:b4:e6:2d:64:4e:c7:08:00 SRC=192.168.14.212 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=37752 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391208:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:84:0d:8e:9b:be:79:08:00 SRC=192.168.14.153 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=39354 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391208:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:ec:fa:bc:a4:8e:18:08:00 SRC=192.168.14.114 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=38592 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391208:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:84:0d:8e:9b:7f:56:08:00 SRC=192.168.14.198 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=2057 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391208:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:b4:e6:2d:64:59:64:08:00 SRC=192.168.14.199 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=38024 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391209:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:b4:e6:2d:64:54:53:08:00 SRC=192.168.14.220 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=6442 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391209:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:50:02:91:58:e8:1c:08:00 SRC=192.168.14.111 DST=255.255.255.255 LEN=216 TOS=0x00 PREC=0x00 TTL=255 ID=9902 PROTO=UDP SPT=49154 DPT=6667 LEN=196
1391209:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:ec:fa:bc:a4:91:09:08:00 SRC=192.168.14.226 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=4694 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391209:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:68:57:2d:38:26:9f:08:00 SRC=192.168.14.113 DST=255.255.255.255 LEN=200 TOS=0x00 PREC=0x00 TTL=255 ID=8516 PROTO=UDP SPT=49153 DPT=6667 LEN=180
1391210:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:b4:e6:2d:64:4d:52:08:00 SRC=192.168.14.176 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=18448 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391210:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:b4:e6:2d:64:58:8a:08:00 SRC=192.168.14.171 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=35226 PROTO=UDP SPT=49155 DPT=6666 LEN=184
1391210:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:b4:e6:2d:64:4d:9e:08:00 SRC=192.168.14.102 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=3557 PROTO=UDP SPT=49155 DPT=6666 LEN=184
1391211:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:ec:fa:bc:a4:8e:d9:08:00 SRC=192.168.14.158 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=46639 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391211:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:b4:e6:2d:64:4e:c7:08:00 SRC=192.168.14.212 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=37753 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391211:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:84:0d:8e:9b:be:79:08:00 SRC=192.168.14.153 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=39355 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391211:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:68:57:2d:72:3d:40:08:00 SRC=192.168.14.207 DST=255.255.255.255 LEN=200 TOS=0x00 PREC=0x00 TTL=255 ID=13768 PROTO=UDP SPT=49154 DPT=6667 LEN=180
1391211:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:ec:fa:bc:a4:8e:18:08:00 SRC=192.168.14.114 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=38596 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391211:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:84:0d:8e:9b:7f:56:08:00 SRC=192.168.14.198 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=2058 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391211:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:68:57:2d:3a:f9:cc:08:00 SRC=192.168.14.237 DST=255.255.255.255 LEN=200 TOS=0x00 PREC=0x00 TTL=255 ID=47014 PROTO=UDP SPT=49154 DPT=6667 LEN=180
1391211:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:68:57:2d:3a:fd:39:08:00 SRC=192.168.14.106 DST=255.255.255.255 LEN=200 TOS=0x00 PREC=0x00 TTL=255 ID=16879 PROTO=UDP SPT=49153 DPT=6667 LEN=180
1391211:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:b4:e6:2d:64:59:64:08:00 SRC=192.168.14.199 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=38025 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391212:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:b4:e6:2d:64:54:53:08:00 SRC=192.168.14.220 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=6443 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391212:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:ec:fa:bc:a4:91:09:08:00 SRC=192.168.14.226 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=4695 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391213:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:b4:e6:2d:64:4d:52:08:00 SRC=192.168.14.176 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=18449 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391213:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:b4:e6:2d:64:4d:9e:08:00 SRC=192.168.14.102 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=3558 PROTO=UDP SPT=49155 DPT=6666 LEN=184
1391214:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:50:02:91:58:e8:1c:08:00 SRC=192.168.14.111 DST=255.255.255.255 LEN=216 TOS=0x00 PREC=0x00 TTL=255 ID=9905 PROTO=UDP SPT=49154 DPT=6667 LEN=196
1391214:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:ec:fa:bc:a4:8e:d9:08:00 SRC=192.168.14.158 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=46640 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391214:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:b4:e6:2d:64:4e:c7:08:00 SRC=192.168.14.212 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=37754 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391214:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:84:0d:8e:9b:be:79:08:00 SRC=192.168.14.153 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=39356 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391214:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:ec:fa:bc:a4:8e:18:08:00 SRC=192.168.14.114 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=38597 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391214:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:84:0d:8e:9b:7f:56:08:00 SRC=192.168.14.198 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=2059 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391214:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:68:57:2d:38:26:9f:08:00 SRC=192.168.14.113 DST=255.255.255.255 LEN=200 TOS=0x00 PREC=0x00 TTL=255 ID=8519 PROTO=UDP SPT=49153 DPT=6667 LEN=180
1391214:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:b4:e6:2d:64:59:64:08:00 SRC=192.168.14.199 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=38026 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391215:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:b4:e6:2d:64:54:53:08:00 SRC=192.168.14.220 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=6444 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391215:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:ec:fa:bc:a4:91:09:08:00 SRC=192.168.14.226 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=4696 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391215:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:00:11:2a:22:48:e7:08:00 SRC=169.254.151.13 DST=255.255.255.255 LEN=48 TOS=0x00 PREC=0x00 TTL=64 ID=41996 DF PROTO=UDP SPT=49150 DPT=49152 LEN=28
1391216:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:b4:e6:2d:64:4d:52:08:00 SRC=192.168.14.176 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=18451 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391216:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:b4:e6:2d:64:58:8a:08:00 SRC=192.168.14.171 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=35228 PROTO=UDP SPT=49155 DPT=6666 LEN=184
1391216:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:68:57:2d:3a:f9:cc:08:00 SRC=192.168.14.237 DST=255.255.255.255 LEN=200 TOS=0x00 PREC=0x00 TTL=255 ID=47015 PROTO=UDP SPT=49154 DPT=6667 LEN=180
1391216:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:b4:e6:2d:64:4d:9e:08:00 SRC=192.168.14.102 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=3559 PROTO=UDP SPT=49155 DPT=6666 LEN=184
1391216:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:68:57:2d:3a:fd:39:08:00 SRC=192.168.14.106 DST=255.255.255.255 LEN=200 TOS=0x00 PREC=0x00 TTL=255 ID=16882 PROTO=UDP SPT=49153 DPT=6667 LEN=180
1391217:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:ec:fa:bc:a4:8e:d9:08:00 SRC=192.168.14.158 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=46641 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391217:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:b4:e6:2d:64:4e:c7:08:00 SRC=192.168.14.212 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=37755 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391217:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:84:0d:8e:9b:be:79:08:00 SRC=192.168.14.153 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=39357 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391217:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:68:57:2d:72:3d:40:08:00 SRC=192.168.14.207 DST=255.255.255.255 LEN=200 TOS=0x00 PREC=0x00 TTL=255 ID=13769 PROTO=UDP SPT=49154 DPT=6667 LEN=180
1391217:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:ec:fa:bc:a4:8e:18:08:00 SRC=192.168.14.114 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=38598 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391217:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:84:0d:8e:9b:7f:56:08:00 SRC=192.168.14.198 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=2061 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391217:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:b4:e6:2d:64:59:64:08:00 SRC=192.168.14.199 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=38027 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391218:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:b4:e6:2d:64:54:53:08:00 SRC=192.168.14.220 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=6445 PROTO=UDP SPT=49154 DPT=6666 LEN=184
1391218:[aegis] IN=brwan OUT= PHYSIN=ethwan MAC=ff:ff:ff:ff:ff:ff:ec:fa:bc:a4:91:09:08:00 SRC=192.168.14.226 DST=255.255.255.255 LEN=204 TOS=0x00 PREC=0x00 TTL=255 ID=4697 PROTO=UDP SPT=49154 DPT=6666 LEN=184
[/noae]
Abonnement : Covage - Forfait fibre optique 1Gbs (formule AVI)
Routeur : perso ; Netgear R7800, micro logiciel Voxel
Téléphonie : Boîtier SPA112
Télévision : CoreElec - Kodi
Sondes : https://smokeping.brigadoon.fr/
Uptime : https://status.brigadoon.fr/

Toujours actif.

Ça semble correspondre à ça : https://www.reddit.com/r/IOT/comments/7ab58b/iot_question_and_how_iot_works/

Que font ces paquets dans la boucle de collecte ???
Abonnement : Covage - Forfait fibre optique 1Gbs (formule AVI)
Routeur : perso ; Netgear R7800, micro logiciel Voxel
Téléphonie : Boîtier SPA112
Télévision : CoreElec - Kodi
Sondes : https://smokeping.brigadoon.fr/
Uptime : https://status.brigadoon.fr/

Ça n'arrête pas !

Et voici un tcpdump :
[noae]tcpdump -i brwan -X net 192.168.14.0/24     
listening on brwan, link-type EN10MB (Ethernet), capture size 96 bytes
10:45:11.131115 IP 192.168.14.153.49154 > 255.255.255.255.6666: UDP, length 176
        0x0000:  4500 00cc 054e 0000 ff11 e691 c0a8 0e99  E....N..........
        0x0010:  ffff ffff c002 1a0a 00b8 d1fa 0000 55aa  ..............U.
        0x0020:  0000 0000 0000 0000 0000 00a0 0000 0000  ................
        0x0030:  7b22 6970 223a 2231 3932 2e31 3638 2e31  {"ip":"192.168.1
        0x0040:  342e 3135 3322 2c22 6777 4964            4.153","gwId
10:45:11.148141 IP 192.168.14.219.mdns > 224.0.0.251.mdns: 0 [5q] [1au] PTR (QU)? _companion-link._tcp.local.[|domain]
        0x0000:  4500 00a2 be98 0000 ff11 4c33 c0a8 0edb  E.........L3....
        0x0010:  e000 00fb 14e9 14e9 008e a51b 0000 0000  ................
        0x0020:  0005 0000 0000 0001 0f5f 636f 6d70 616e  ........._compan
        0x0030:  696f 6e2d 6c69 6e6b 045f 7463 7005 6c6f  ion-link._tcp.lo
        0x0040:  6361 6c00 000c 8001 045f 6861            cal......_ha
10:45:11.148453 IP 192.168.14.219.mdns > 224.0.0.251.mdns: 0*- [0q] 3/0/4[|domain]
        0x0000:  4500 0150 2a19 0000 ff11 e004 c0a8 0edb  E..P*...........
        0x0010:  e000 00fb 14e9 14e9 013c 72d0 0000 8400  .........<r.....
        0x0020:  0000 0003 0000 0004 0137 0133 0137 0139  .........7.3.7.9
        0x0030:  0142 0137 0142 0134 0136 0131 0135 0141  .B.7.B.4.6.1.5.A
        0x0040:  0136 0132 0134 0130 0130 0130            .6.2.4.0.0.0
10:45:11.203842 arp who-has 192.168.14.219 tell 192.168.14.203
        0x0000:  0001 0800 0604 0001 70ee 501b ff3a c0a8  ........p.P..:..
        0x0010:  0ecb 0000 0000 0000 c0a8 0edb 0000 0000  ................
        0x0020:  0000 0000 0000 0000 0000 0000 0000       ..............
10:45:11.301530 IP 192.168.14.198.49154 > 255.255.255.255.6666: UDP, length 176
        0x0000:  4500 00cc 651c 0000 ff11 8696 c0a8 0ec6  E...e...........
        0x0010:  ffff ffff c002 1a0a 00b8 82f1 0000 55aa  ..............U.
        0x0020:  0000 0000 0000 0000 0000 00a0 0000 0000  ................
        0x0030:  7b22 6970 223a 2231 3932 2e31 3638 2e31  {"ip":"192.168.1
        0x0040:  342e 3139 3822 2c22 6777 4964            4.198","gwId
10:45:11.385535 arp who-has 192.168.14.219 tell 192.168.14.205
        0x0000:  0001 0800 0604 0001 70ee 5011 dc8a c0a8  ........p.P.....
        0x0010:  0ecd 0000 0000 0000 c0a8 0edb 0000 0000  ................
        0x0020:  0000 0000 0000 0000 0000 0000 0000       ..............
10:45:11.470134 IP 192.168.14.219.mdns > 224.0.0.251.mdns: 0 [2q] [4n] [1au][|domain]
        0x0000:  4500 00f9 f31b 0000 ff11 1759 c0a8 0edb  E..........Y....
        0x0010:  e000 00fb 14e9 14e9 00e5 17c5 0000 0000  ................
        0x0020:  0002 0000 0004 0001 2b62 303a 6361 3a36  ........+b0:ca:6
        0x0030:  383a 3834 3a35 633a 6563 4066 6538 303a  8:84:5c:ec@fe80:
        0x0040:  3a62 3263 613a 3638 6666 3a66            :b2ca:68ff:f
10:45:11.670852 IP 192.168.14.199.49154 > 255.255.255.255.6666: UDP, length 176
        0x0000:  4500 00cc f974 0000 ff11 f23c c0a8 0ec7  E....t.....<....
        0x0010:  ffff ffff c002 1a0a 00b8 6e0c 0000 55aa  ..........n...U.
        0x0020:  0000 0000 0000 0000 0000 00a0 0000 0000  ................
        0x0030:  7b22 6970 223a 2231 3932 2e31 3638 2e31  {"ip":"192.168.1
        0x0040:  342e 3139 3922 2c22 6777 4964            4.199","gwId
10:45:11.695657 IP 192.168.14.249.55132 > 192.168.14.255.32414: UDP, length 21
        0x0000:  4500 0031 dd61 4000 4011 be11 c0a8 0ef9  E..1.a@.@.......
        0x0010:  c0a8 0eff d75c 7e9e 001d 9431 4d2d 5345  .....\~....1M-SE
        0x0020:  4152 4348 202a 2048 5454 502f 312e 310d  ARCH.*.HTTP/1.1.
        0x0030:  0a                                       .
10:45:11.699874 IP 192.168.14.226.49154 > 255.255.255.255.6666: UDP, length 176
        0x0000:  4500 00cc 8afe 0000 ff11 6098 c0a8 0ee2  E.........`.....
        0x0010:  ffff ffff c002 1a0a 00b8 9566 0000 55aa  ...........f..U.
        0x0020:  0000 0000 0000 0000 0000 00a0 0000 0000  ................
        0x0030:  7b22 6970 223a 2231 3932 2e31 3638 2e31  {"ip":"192.168.1
        0x0040:  342e 3232 3622 2c22 6777 4964            4.226","gwId
10:45:11.707716 IP 192.168.14.114.49154 > 255.255.255.255.6666: UDP, length 176
        0x0000:  4500 00cc fac1 0000 ff11 f144 c0a8 0e72  E..........D...r
        0x0010:  ffff ffff c002 1a0a 00b8 7f1f 0000 55aa  ..............U.
        0x0020:  0000 0000 0000 0000 0000 00a0 0000 0000  ................
        0x0030:  7b22 6970 223a 2231 3932 2e31 3638 2e31  {"ip":"192.168.1
        0x0040:  342e 3131 3422 2c22 6777 4964            4.114","gwId
10:45:11.760762 IP 192.168.14.157.49154 > 255.255.255.255.6666: UDP, length 176
        0x0000:  4500 00cc c11a 0000 ff11 2ac1 c0a8 0e9d  E.........*.....
        0x0010:  ffff ffff c002 1a0a 00b8 bbe5 0000 55aa  ..............U.
        0x0020:  0000 0000 0000 0000 0000 00a0 0000 0000  ................
        0x0030:  7b22 6970 223a 2231 3932 2e31 3638 2e31  {"ip":"192.168.1
        0x0040:  342e 3135 3722 2c22 6777 4964            4.157","gwId
10:45:11.822867 IP 192.168.14.219.mdns > 224.0.0.251.mdns: 0 [2q] [4n] [1au][|domain]
        0x0000:  4500 00f9 b5e1 0000 ff11 5493 c0a8 0edb  E.........T.....
        0x0010:  e000 00fb 14e9 14e9 00e5 9845 0000 0000  ...........E....
        0x0020:  0002 0000 0004 0001 2b62 303a 6361 3a36  ........+b0:ca:6
        0x0030:  383a 3834 3a35 633a 6563 4066 6538 303a  8:84:5c:ec@fe80:
        0x0040:  3a62 3263 613a 3638 6666 3a66            :b2ca:68ff:f
10:45:11.865760 IP 192.168.14.249.35467 > 192.168.14.255.32412: UDP, length 21
        0x0000:  4500 0031 ddec 4000 4011 bd86 c0a8 0ef9  E..1..@.@.......
        0x0010:  c0a8 0eff 8a8b 7e9c 001d e104 4d2d 5345  ......~.....M-SE
        0x0020:  4152 4348 202a 2048 5454 502f 312e 310d  ARCH.*.HTTP/1.1.
        0x0030:  0a                                       .
10:45:11.999437 IP 192.168.14.219.mdns > 224.0.0.251.mdns: 0 [2q] [4n] [1au][|domain]
        0x0000:  4500 00f9 5bdd 0000 ff11 ae97 c0a8 0edb  E...[...........
        0x0010:  e000 00fb 14e9 14e9 00e5 9845 0000 0000  ...........E....
        0x0020:  0002 0000 0004 0001 2b62 303a 6361 3a36  ........+b0:ca:6
        0x0030:  383a 3834 3a35 633a 6563 4066 6538 303a  8:84:5c:ec@fe80:
        0x0040:  3a62 3263 613a 3638 6666 3a66            :b2ca:68ff:f
10:45:12.346329 IP 192.168.14.220.49155 > 255.255.255.255.6666: UDP, length 176
        0x0000:  4500 00cc 7558 0000 ff11 7644 c0a8 0edc  E...uX....vD....
        0x0010:  ffff ffff c003 1a0a 00b8 cc43 0000 55aa  ...........C..U.
        0x0020:  0000 0000 0000 0000 0000 00a0 0000 0000  ................
        0x0030:  7b22 6970 223a 2231 3932 2e31 3638 2e31  {"ip":"192.168.1
        0x0040:  342e 3232 3022 2c22 6777 4964            4.220","gwId
10:45:12.350640 IP 192.168.14.219.mdns > 224.0.0.251.mdns: 0 [6a] [5q] [1au] PTR (QM)? _companion-link._tcp.local.[|domain]
        0x0000:  4500 0158 6c7d 0000 ff11 9d98 c0a8 0edb  E..Xl}..........
        0x0010:  e000 00fb 14e9 14e9 0144 6b27 0000 0000  .........Dk'....
        0x0020:  0005 0006 0000 0001 0f5f 636f 6d70 616e  ........._compan
        0x0030:  696f 6e2d 6c69 6e6b 045f 7463 7005 6c6f  ion-link._tcp.lo
        0x0040:  6361 6c00 000c 0001 045f 6861            cal......_ha
10:45:12.351952 IP 192.168.14.219.mdns > 224.0.0.251.mdns: 0*- [0q] 13/0/6[|domain]
        0x0000:  4500 029f 3245 0000 ff11 d689 c0a8 0edb  E...2E..........
        0x0010:  e000 00fb 14e9 14e9 028b ed9d 0000 8400  ................
        0x0020:  0000 000d 0000 0006 2b62 303a 6361 3a36  ........+b0:ca:6
        0x0030:  383a 3834 3a35 633a 6563 4066 6538 303a  8:84:5c:ec@fe80:
        0x0040:  3a62 3263 613a 3638 6666 3a66            :b2ca:68ff:f
10:45:12.472383 IP 192.168.14.106.49153 > 255.255.255.255.6667: UDP, length 172
        0x0000:  4500 00c8 79f2 0000 ff11 7220 c0a8 0e6a  E...y.....r....j
        0x0010:  ffff ffff c001 1a0b 00b4 18d1 0000 55aa  ..............U.
        0x0020:  0000 0000 0000 0013 0000 009c 0000 0000  ................
        0x0030:  d097 6667 6f33 69eb 10b5 e9f1 32fd 802a  ..fgo3i.....2..*
        0x0040:  70f0 76b2 f329 c371 4ac0 8d64            p.v..).qJ..d
10:45:12.606810 arp who-has 192.168.14.1 tell 192.168.14.205
        0x0000:  0001 0800 0604 0001 70ee 5011 dc8a c0a8  ........p.P.....
        0x0010:  0ecd 0000 0000 0000 c0a8 0e01 0000 0000  ................
        0x0020:  0000 0000 0000 0000 0000 0000 0000       ..............
10:45:12.925304 IP 192.168.14.207.49154 > 255.255.255.255.6667: UDP, length 172
        0x0000:  4500 00c8 69b5 0000 ff11 81f8 c0a8 0ecf  E...i...........
        0x0010:  ffff ffff c002 1a0b 00b4 3c94 0000 55aa  ..........<...U.
        0x0020:  0000 0000 0000 0013 0000 009c 0000 0000  ................
        0x0030:  d097 6667 6f33 69eb 10b5 e9f1 32fd 802a  ..fgo3i.....2..*
        0x0040:  70ae 10d0 0a73 aa19 eb0d e417            p....s......
10:45:12.942361 IP 192.168.14.176.49154 > 255.255.255.255.6666: UDP, length 176
        0x0000:  4500 00cc a437 0000 ff11 4791 c0a8 0eb0  E....7....G.....
        0x0010:  ffff ffff c002 1a0a 00b8 6a75 0000 55aa  ..........ju..U.
        0x0020:  0000 0000 0000 0000 0000 00a0 0000 0000  ................
        0x0030:  7b22 6970 223a 2231 3932 2e31 3638 2e31  {"ip":"192.168.1
        0x0040:  342e 3137 3622 2c22 6777 4964            4.176","gwId
10:45:13.055263 IP 192.168.14.219.mdns > 224.0.0.251.mdns: 0*- [0q] 10/0/3[|domain]
        0x0000:  4500 01a0 b01f 0000 ff11 59ae c0a8 0edb  E.........Y.....
        0x0010:  e000 00fb 14e9 14e9 018c e828 0000 8400  ...........(....
        0x0020:  0000 000a 0000 0003 2b62 303a 6361 3a36  ........+b0:ca:6
        0x0030:  383a 3834 3a35 633a 6563 4066 6538 303a  8:84:5c:ec@fe80:
        0x0040:  3a62 3263 613a 3638 6666 3a66            :b2ca:68ff:f
10:45:13.185004 arp who-has 192.168.14.1 (Broadcast) tell 192.168.14.201
        0x0000:  0001 0800 0604 0001 f406 8d73 2fe0 c0a8  ...........s/...
        0x0010:  0ec9 ffff ffff ffff c0a8 0e01 0000 0000  ................
        0x0020:  0000 0000 0000 0000 0000 0000 0000       ..............
10:45:13.494845 IP 192.168.14.111.49154 > 255.255.255.255.6667: UDP, length 188
        0x0000:  4500 00d8 61dc 0000 ff11 8a21 c0a8 0e6f  E...a......!...o
        0x0010:  ffff ffff c002 1a0b 00c4 3439 0000 55aa  ..........49..U.
        0x0020:  0000 0000 0000 0013 0000 00ac 0000 0000  ................
        0x0030:  d097 6667 6f33 69eb 10b5 e9f1 32fd 802a  ..fgo3i.....2..*
        0x0040:  b617 5e3d c0aa f37f efa4 5e13            ..^=......^.
10:45:13.534988 IP 192.168.14.171.49156 > 255.255.255.255.6666: UDP, length 176
        0x0000:  4500 00cc f50b 0000 ff11 f6c1 c0a8 0eab  E...............
        0x0010:  ffff ffff c004 1a0a 00b8 889c 0000 55aa  ..............U.
        0x0020:  0000 0000 0000 0000 0000 00a0 0000 0000  ................
        0x0030:  7b22 6970 223a 2231 3932 2e31 3638 2e31  {"ip":"192.168.1
        0x0040:  342e 3137 3122 2c22 6777 4964            4.171","gwId
10:45:13.853545 IP 192.168.14.102.49156 > 255.255.255.255.6666: UDP, length 176
        0x0000:  4500 00cc 6f73 0000 ff11 7c9f c0a8 0e66  E...os....|....f
        0x0010:  ffff ffff c004 1a0a 00b8 faf4 0000 55aa  ..............U.
        0x0020:  0000 0000 0000 0000 0000 00a0 0000 0000  ................
        0x0030:  7b22 6970 223a 2231 3932 2e31 3638 2e31  {"ip":"192.168.1
        0x0040:  342e 3130 3222 2c22 6777 4964            4.102","gwId
10:45:14.009653 IP 192.168.14.212.49154 > 255.255.255.255.6666: UDP, length 176
        0x0000:  4500 00cc eee7 0000 ff11 fcbc c0a8 0ed4  E...............
        0x0010:  ffff ffff c002 1a0a 00b8 6799 0000 55aa  ..........g...U.
        0x0020:  0000 0000 0000 0000 0000 00a0 0000 0000  ................
        0x0030:  7b22 6970 223a 2231 3932 2e31 3638 2e31  {"ip":"192.168.1
        0x0040:  342e 3231 3222 2c22 6777 4964            4.212","gwId
10:45:14.133864 IP 192.168.14.153.49154 > 255.255.255.255.6666: UDP, length 176
        0x0000:  4500 00cc 054f 0000 ff11 e690 c0a8 0e99  E....O..........
        0x0010:  ffff ffff c002 1a0a 00b8 d1fa 0000 55aa  ..............U.
        0x0020:  0000 0000 0000 0000 0000 00a0 0000 0000  ................
        0x0030:  7b22 6970 223a 2231 3932 2e31 3638 2e31  {"ip":"192.168.1
        0x0040:  342e 3135 3322 2c22 6777 4964            4.153","gwId
10:45:14.228553 IP 192.168.14.219.mdns > 224.0.0.251.mdns: 0*- [0q] 13/0/6[|domain]
        0x0000:  4500 029f aa7e 0000 ff11 5e50 c0a8 0edb  E....~....^P....
        0x0010:  e000 00fb 14e9 14e9 028b ed9d 0000 8400  ................
        0x0020:  0000 000d 0000 0006 2b62 303a 6361 3a36  ........+b0:ca:6
        0x0030:  383a 3834 3a35 633a 6563 4066 6538 303a  8:84:5c:ec@fe80:
        0x0040:  3a62 3263 613a 3638 6666 3a66            :b2ca:68ff:f
10:45:14.301593 IP 192.168.14.198.49154 > 255.255.255.255.6666: UDP, length 176
        0x0000:  4500 00cc 651d 0000 ff11 8695 c0a8 0ec6  E...e...........
        0x0010:  ffff ffff c002 1a0a 00b8 82f1 0000 55aa  ..............U.
        0x0020:  0000 0000 0000 0000 0000 00a0 0000 0000  ................
        0x0030:  7b22 6970 223a 2231 3932 2e31 3638 2e31  {"ip":"192.168.1
        0x0040:  342e 3139 3822 2c22 6777 4964            4.198","gwId
10:45:14.673508 IP 192.168.14.199.49154 > 255.255.255.255.6666: UDP, length 176
        0x0000:  4500 00cc f975 0000 ff11 f23b c0a8 0ec7  E....u.....;....
        0x0010:  ffff ffff c002 1a0a 00b8 6e0c 0000 55aa  ..........n...U.
        0x0020:  0000 0000 0000 0000 0000 00a0 0000 0000  ................
        0x0030:  7b22 6970 223a 2231 3932 2e31 3638 2e31  {"ip":"192.168.1
        0x0040:  342e 3139 3922 2c22 6777 4964            4.199","gwId
10:45:14.699218 IP 192.168.14.226.49154 > 255.255.255.255.6666: UDP, length 176
        0x0000:  4500 00cc 8aff 0000 ff11 6097 c0a8 0ee2  E.........`.....
        0x0010:  ffff ffff c002 1a0a 00b8 9566 0000 55aa  ...........f..U.
        0x0020:  0000 0000 0000 0000 0000 00a0 0000 0000  ................
        0x0030:  7b22 6970 223a 2231 3932 2e31 3638 2e31  {"ip":"192.168.1
        0x0040:  342e 3232 3622 2c22 6777 4964            4.226","gwId
10:45:14.716244 IP 192.168.14.114.49154 > 255.255.255.255.6666: UDP, length 176
        0x0000:  4500 00cc fac2 0000 ff11 f143 c0a8 0e72  E..........C...r
        0x0010:  ffff ffff c002 1a0a 00b8 7f1f 0000 55aa  ..............U.
        0x0020:  0000 0000 0000 0000 0000 00a0 0000 0000  ................
        0x0030:  7b22 6970 223a 2231 3932 2e31 3638 2e31  {"ip":"192.168.1
        0x0040:  342e 3131 3422 2c22 6777 4964            4.114","gwId
10:45:14.767884 IP 192.168.14.157.49154 > 255.255.255.255.6666: UDP, length 176
        0x0000:  4500 00cc c11b 0000 ff11 2ac0 c0a8 0e9d  E.........*.....
        0x0010:  ffff ffff c002 1a0a 00b8 bbe5 0000 55aa  ..............U.
        0x0020:  0000 0000 0000 0000 0000 00a0 0000 0000  ................
        0x0030:  7b22 6970 223a 2231 3932 2e31 3638 2e31  {"ip":"192.168.1
        0x0040:  342e 3135 3722 2c22 6777 4964            4.157","gwId
10:45:15.229803 IP 192.168.14.219.mdns > 224.0.0.251.mdns: 0 [6a] [5q] [1au] PTR (QM)? _companion-link._tcp.local.[|domain]
        0x0000:  4500 0158 59d6 0000 ff11 b03f c0a8 0edb  E..XY......?....
        0x0010:  e000 00fb 14e9 14e9 0144 7430 0000 0000  .........Dt0....
        0x0020:  0005 0006 0000 0001 0f5f 636f 6d70 616e  ........._compan
        0x0030:  696f 6e2d 6c69 6e6b 045f 7463 7005 6c6f  ion-link._tcp.lo
        0x0040:  6361 6c00 000c 0001 045f 6861            cal......_ha
10:45:15.346079 IP 192.168.14.220.49155 > 255.255.255.255.6666: UDP, length 176
        0x0000:  4500 00cc 7559 0000 ff11 7643 c0a8 0edc  E...uY....vC....
        0x0010:  ffff ffff c003 1a0a 00b8 cc43 0000 55aa  ...........C..U.
        0x0020:  0000 0000 0000 0000 0000 00a0 0000 0000  ................
        0x0030:  7b22 6970 223a 2231 3932 2e31 3638 2e31  {"ip":"192.168.1
        0x0040:  342e 3232 3022 2c22 6777 4964            4.220","gwId
10:45:15.560137 IP 192.168.14.113.49153 > 255.255.255.255.6667: UDP, length 172
        0x0000:  4500 00c8 58c7 0000 ff11 9344 c0a8 0e71  E...X......D...q
        0x0010:  ffff ffff c001 1a0b 00b4 eaa6 0000 55aa  ..............U.
        0x0020:  0000 0000 0000 0013 0000 009c 0000 0000  ................
        0x0030:  d097 6667 6f33 69eb 10b5 e9f1 32fd 802a  ..fgo3i.....2..*
        0x0040:  2ccd 3a32 d780 57e6 607a 51db            ,.:2..W.`zQ.
10:45:15.702249 arp who-has 192.168.14.111 tell 192.168.14.111
        0x0000:  0001 0800 0604 0001 5002 9158 e81c c0a8  ........P..X....
        0x0010:  0e6f 0000 0000 0000 c0a8 0e6f 0000 0000  .o.........o....
        0x0020:  0000 0000 0000 0000 0000 0000 0000       ..............
10:45:15.731927 arp who-has 192.168.14.1 tell 192.168.14.203
        0x0000:  0001 0800 0604 0001 70ee 501b ff3a c0a8  ........p.P..:..
        0x0010:  0ecb 0000 0000 0000 c0a8 0e01 0000 0000  ................
        0x0020:  0000 0000 0000 0000 0000 0000 0000       ..............
10:45:15.938394 IP 192.168.14.176.49154 > 255.255.255.255.6666: UDP, length 176
        0x0000:  4500 00cc a438 0000 ff11 4790 c0a8 0eb0  E....8....G.....
        0x0010:  ffff ffff c002 1a0a 00b8 6a75 0000 55aa  ..........ju..U.
        0x0020:  0000 0000 0000 0000 0000 00a0 0000 0000  ................
        0x0030:  7b22 6970 223a 2231 3932 2e31 3638 2e31  {"ip":"192.168.1
        0x0040:  342e 3137 3622 2c22 6777 4964            4.176","gwId
10:45:16.138519 IP 192.168.14.237.49154 > 255.255.255.255.6667: UDP, length 172
        0x0000:  4500 00c8 f331 0000 ff11 f85d c0a8 0eed  E....1.....]....
        0x0010:  ffff ffff c002 1a0b 00b4 f867 0000 55aa  ...........g..U.
        0x0020:  0000 0000 0000 0013 0000 009c 0000 0000  ................
        0x0030:  d097 6667 6f33 69eb 10b5 e9f1 32fd 802a  ..fgo3i.....2..*
        0x0040:  2f3d bca9 3bb9 71dd e62a e140            /=..;.q..*.@
10:45:16.273351 IP 192.168.14.249.mdns > 224.0.0.251.mdns: 0 [1a] A (QM)? Freebox-Server.local. (54)
        0x0000:  4500 0052 de18 4000 ff11 ece4 c0a8 0ef9  E..R..@.........
        0x0010:  e000 00fb 14e9 14e9 003e 9345 0000 0000  .........>.E....
        0x0020:  0001 0001 0000 0000 0e46 7265 6562 6f78  .........Freebox
        0x0030:  2d53 6572 7665 7205 6c6f 6361 6c00 0001  -Server.local...
        0x0040:  0001 c00c 0001 0001 0000 0078            ...........x
10:45:16.336644 arp who-has 192.168.14.1 (Broadcast) tell 192.168.14.201
        0x0000:  0001 0800 0604 0001 f406 8d73 2fe0 c0a8  ...........s/...
        0x0010:  0ec9 ffff ffff ffff c0a8 0e01 0000 0000  ................
        0x0020:  0000 0000 0000 0000 0000 0000 0000       ..............
10:45:16.394501 arp who-has 192.168.14.1 tell 192.168.14.30
        0x0000:  0001 0800 0604 0001 405b d8a7 1fd1 c0a8  ........@[......
        0x0010:  0e1e 0000 0000 0000 c0a8 0e01 0000 0000  ................
        0x0020:  0000 0000 0000 0000 0000 0000 0000       ..............
[/noae]

J'ai vu passer de la freebox (Free utilise Covage ?), du Netatmo...
Tout ça provenant du sous-réseau 192.168.14.XX
Abonnement : Covage - Forfait fibre optique 1Gbs (formule AVI)
Routeur : perso ; Netgear R7800, micro logiciel Voxel
Téléphonie : Boîtier SPA112
Télévision : CoreElec - Kodi
Sondes : https://smokeping.brigadoon.fr/
Uptime : https://status.brigadoon.fr/

CitationJ'ai vu passer de la freebox (Free utilise Covage ?)
Des gens utilisent leur freebox tv sur le réseaux K-NET.
https://forum.caps.services/index.php/topic,4430.0.html (je ne sais pas, si ça fonctionne encore)
Ces trames concerne à 99.9% un client K-NET.(De mémoire sur Covage, c'est des VLAN)

Merci thedark, je me doutais que cela devait provenir d'un même client FAI. Pas forcément K-Net cependant, car tous les clients de FAI actifs sont sur cette boucle de collecte, non ?

Un arping sur le gateway 192.168.14.1 me donne la MAC d'un Raspberry Pi: dc:a6:32:da:03:e8 et il est à 3,5 / 4 ms de chez moi, donc proche de la collecte Calvados qui est à 2,4 ms de chez moi.

Maintenant, pourquoi puis-je faire des arpings sur les appareils de ce client ? Son routeur laisse tout passer sur la boucle locale ? Et comment a-t'il une adresse 192.168.14.xx et non une IP K-Net ou autre ?
Abonnement : Covage - Forfait fibre optique 1Gbs (formule AVI)
Routeur : perso ; Netgear R7800, micro logiciel Voxel
Téléphonie : Boîtier SPA112
Télévision : CoreElec - Kodi
Sondes : https://smokeping.brigadoon.fr/
Uptime : https://status.brigadoon.fr/

Et sur ce réseau, voici ce qui répond à arping:

Unicast reply from 192.168.14.1 [dc:a6:32:da:03:e8] 3.749ms
Unicast reply from 192.168.14.10 [f0:9f:c2:a9:99:6e] 3.405ms
Unicast reply from 192.168.14.11 [f0:9f:c2:f6:0c:05] 3.905ms
Unicast reply from 192.168.14.12 [f0:9f:c2:a9:9a:4f] 3.999ms
Unicast reply from 192.168.14.13 [78:8a:20:4b:9a:73] 3.967ms
Unicast reply from 192.168.14.14 [78:8a:20:4b:94:c8] 3.999ms
Unicast reply from 192.168.14.102 [b4:e6:2d:64:4d:9e] 130.741ms
Unicast reply from 192.168.14.106 [68:57:2d:3a:fd:39] 322.649ms
Unicast reply from 192.168.14.111 [50:02:91:58:e8:1c] 14.527ms
Unicast reply from 192.168.14.114 [ec:fa:bc:a4:8e:18] 46.173ms
Unicast reply from 192.168.14.130 [c6:ea:1d:e3:9e:fc] 3.874ms
Unicast reply from 192.168.14.152 [70:ee:50:36:54:a4] 5.405ms
Unicast reply from 192.168.14.153 [84:0d:8e:9b:be:79] 204.936ms
Unicast reply from 192.168.14.157 [ec:fa:bc:a4:8e:d9] 302.624ms
Unicast reply from 192.168.14.163 [b8:e9:37:dc:98:3e] 24.211ms
Unicast reply from 192.168.14.165 [94:9f:3e:6e:81:cd] 3.686ms
Unicast reply from 192.168.14.167 [5c:aa:fd:25:2e:3a] 4.311ms
Unicast reply from 192.168.14.168 [5c:aa:fd:81:b3:a2] 4.593ms
Unicast reply from 192.168.14.171 [b4:e6:2d:64:58:8a] 23.055ms
Unicast reply from 192.168.14.176 [b4:e6:2d:64:4d:52] 263.261ms
Unicast reply from 192.168.14.185 [80:5e:c0:27:a1:51] 3.936ms
Unicast reply from 192.168.14.187 [00:15:65:9b:97:00] 4.155ms
Unicast reply from 192.168.14.188 [00:15:65:9b:97:12] 4.061ms
Unicast reply from 192.168.14.189 [80:5e:c0:06:9a:d1] 3.811ms
Unicast reply from 192.168.14.190 [80:5e:c0:06:a1:f9] 3.842ms
Unicast reply from 192.168.14.191 [80:5e:c0:0a:96:4d] 3.874ms
Unicast reply from 192.168.14.193 [80:5e:c0:79:cb:b4] 3.467ms
Unicast reply from 192.168.14.196 [80:5e:c0:3a:ab:2c] 4.061ms
Unicast reply from 192.168.14.198 [84:0d:8e:9b:7f:56] 221.025ms
Unicast reply from 192.168.14.199 [b4:e6:2d:64:59:64] 223.868ms
Unicast reply from 192.168.14.201 [f4:06:8d:73:2f:e0] 5.935ms
Unicast reply from 192.168.14.203 [70:ee:50:1b:ff:3a] 5.280ms
Unicast reply from 192.168.14.205 [70:ee:50:11:dc:8a] 268.541ms
Unicast reply from 192.168.14.207 [68:57:2d:72:3d:40] 320.744ms
Unicast reply from 192.168.14.209 [70:ee:50:18:11:1b] 181.444ms
Unicast reply from 192.168.14.212 [b4:e6:2d:64:4e:c7] 122.931ms
Unicast reply from 192.168.14.214 [70:ee:50:36:04:f6] 7.591ms
Unicast reply from 192.168.14.220 [b4:e6:2d:64:54:53] 71.852ms
Unicast reply from 192.168.14.226 [ec:fa:bc:a4:91:09] 258.825ms
Unicast reply from 192.168.14.248 [b8:ae:ed:eb:f5:10] 3.749ms
Unicast reply from 192.168.14.249 [00:11:32:6a:f7:99] 2.937ms
Unicast reply from 192.168.14.250 [38:c9:86:2d:84:74] 4.123ms
Unicast reply from 192.168.14.251 [00:11:32:09:af:07] 3.842ms
Unicast reply from 192.168.14.253 [00:03:50:a8:a8:5a] 251.359ms
Abonnement : Covage - Forfait fibre optique 1Gbs (formule AVI)
Routeur : perso ; Netgear R7800, micro logiciel Voxel
Téléphonie : Boîtier SPA112
Télévision : CoreElec - Kodi
Sondes : https://smokeping.brigadoon.fr/
Uptime : https://status.brigadoon.fr/


Citation de: thedark le 17 Novembre 2020 à 20:05:46
Un routeur Perso mal configuré ?
Peut-être, le routeur semble être un Rapsberry Pi.
Il y a du matos derrière (5 Ubiquitis, 2 Synology...)

Plus de détails :
192.168.14.1 [dc:a6:32:da:03:e8] Raspberry Pi Trading Ltd
192.168.14.10 [f0:9f:c2:a9:99:6e] Ubiquiti Networks Inc.
192.168.14.11 [f0:9f:c2:f6:0c:05] Ubiquiti Networks Inc.
192.168.14.12 [f0:9f:c2:a9:9a:4f] Ubiquiti Networks Inc.
192.168.14.13 [78:8a:20:4b:9a:73] Ubiquiti Networks Inc.
192.168.14.14 [78:8a:20:4b:94:c8] Ubiquiti Networks Inc.
192.168.14.102 [b4:e6:2d:64:4d:9e] Espressif Inc. / port 49156 > 255.255.255.255.6666: UDP, length 176
192.168.14.106 [68:57:2d:3a:fd:39] HANGZHOU AIXIANGJI TECHNOLOGY CO., LTD / port 49153 > 255.255.255.255.6667: UDP, length 172
192.168.14.111 [50:02:91:58:e8:1c] Espressif Inc. / port 49154 > 255.255.255.255.6667: UDP, length 188
192.168.14.113 [] / port 49153 > 255.255.255.255.6667: UDP, length 172
192.168.14.114 [ec:fa:bc:a4:8e:18] Espressif Inc. / 49154 > 255.255.255.255.6666: UDP, length 176
192.168.14.130 [c6:ea:1d:e3:9e:fc] -
192.168.14.152 [70:ee:50:36:54:a4] Netatmo
192.168.14.153 [84:0d:8e:9b:be:79] Espressif Inc. / port 49154 > 255.255.255.255.6666: UDP, length 176
192.168.14.157 [ec:fa:bc:a4:8e:d9] Espressif Inc. / port 49154 > 255.255.255.255.6666: UDP, length 176
192.168.14.163 [b8:e9:37:dc:98:3e] Sonos, Inc.
192.168.14.165 [94:9f:3e:6e:81:cd] Sonos, Inc.
192.168.14.167 [5c:aa:fd:25:2e:3a] Sonos, Inc.
192.168.14.168 [5c:aa:fd:81:b3:a2] Sonos, Inc.
192.168.14.171 [b4:e6:2d:64:58:8a] Espressif Inc. / port 49156 > 255.255.255.255.6666: UDP, length 176
192.168.14.176 [b4:e6:2d:64:4d:52] Espressif Inc. / port 49154 > 255.255.255.255.6666: UDP, length 176
192.168.14.185 [80:5e:c0:27:a1:51] YEALINK(XIAMEN) NETWORK TECHNOLOGY CO.,LTD.
192.168.14.187 [00:15:65:9b:97:00] XIAMEN YEALINK NETWORK TECHNOLOGY CO.,LTD
192.168.14.188 [00:15:65:9b:97:12] XIAMEN YEALINK NETWORK TECHNOLOGY CO.,LTD
192.168.14.189 [80:5e:c0:06:9a:d1] YEALINK(XIAMEN) NETWORK TECHNOLOGY CO.,LTD.
192.168.14.190 [80:5e:c0:06:a1:f9] YEALINK(XIAMEN) NETWORK TECHNOLOGY CO.,LTD.
192.168.14.191 [80:5e:c0:0a:96:4d] YEALINK(XIAMEN) NETWORK TECHNOLOGY CO.,LTD.
192.168.14.193 [80:5e:c0:79:cb:b4] YEALINK(XIAMEN) NETWORK TECHNOLOGY CO.,LTD.
192.168.14.196 [80:5e:c0:3a:ab:2c] YEALINK(XIAMEN) NETWORK TECHNOLOGY CO.,LTD.
192.168.14.198 [84:0d:8e:9b:7f:56] Espressif Inc. / port 49154 > 255.255.255.255.6666: UDP, length 176
192.168.14.199 [b4:e6:2d:64:59:64] Espressif Inc. / port 49154 > 255.255.255.255.6666: UDP, length 176
192.168.14.201 [f4:06:8d:73:2f:e0] devolo AG
192.168.14.203 [70:ee:50:1b:ff:3a] Netatmo
192.168.14.205 [70:ee:50:11:dc:8a] Netatmo
192.168.14.207 [68:57:2d:72:3d:40] HANGZHOU AIXIANGJI TECHNOLOGY CO., LTD / port 49154 > 255.255.255.255.6667: UDP, length 172
192.168.14.209 [70:ee:50:18:11:1b] Netatmo
192.168.14.212 [b4:e6:2d:64:4e:c7] Espressif Inc. / port 49154 > 255.255.255.255.6666: UDP, length 176
192.168.14.214 [70:ee:50:36:04:f6] Netatmo
192.168.14.220 [b4:e6:2d:64:54:53] Espressif Inc. / port 49155 > 255.255.255.255.6666: UDP, length 176
192.168.14.226 [ec:fa:bc:a4:91:09] Espressif Inc. / port 49154 > 255.255.255.255.6666: UDP, length 176
192.168.14.248 [b8:ae:ed:eb:f5:10] Elitegroup Computer Systems Co.,Ltd.
192.168.14.249 [00:11:32:6a:f7:99] Synology Incorporated / > 192.168.14.255: UDP, length 21, HTTP1.1
                                                         / > mdns > 224.0.0.251.mdns: Freebox-Server.local.
192.168.14.250 [38:c9:86:2d:84:74] Apple, Inc.
192.168.14.251 [00:11:32:09:af:07] Synology Incorporated
192.168.14.253 [00:03:50:a8:a8:5a] BTICINO SPA
Abonnement : Covage - Forfait fibre optique 1Gbs (formule AVI)
Routeur : perso ; Netgear R7800, micro logiciel Voxel
Téléphonie : Boîtier SPA112
Télévision : CoreElec - Kodi
Sondes : https://smokeping.brigadoon.fr/
Uptime : https://status.brigadoon.fr/

Je dirais que son LAN et WAN sont sur le même switch non managé?
Tu vois passé du DHCP, udp 67 ou 68 ?

Je me pose d'ailleurs une question à propos des switchs managés avec VLAN : L'adresse locale de management du switch est accessible sur toutes les interfaces du switch. Du coup, comment cela se passe quand on fait un trunc WAN+LAN?
Offre Pulse, Réseau Covage74, Kbox V2b i4850_1.16.3, routeurs Asus AC52U pour AP et secours, PC Zotac Zbox PI223 et VLC sur K-net en secours.
Up-down : http://uptime.stef.cloudns.cl/
Ping : https://prtg.stef.cloudns.cl/public/mapshow.htm?id=2444&mapid=B942004D-735D-4AE6-BF48-70F7DC5EF8A8

Citation de: bOLEMO le 18 Novembre 2020 à 01:42:29
Citation de: thedark le 17 Novembre 2020 à 20:05:46
Un routeur Perso mal configuré ?
Peut-être, le routeur semble être un Rapsberry Pi.
Il y a du matos derrière (5 Ubiquitis, 2 Synology...)

Une société ou un pirate?
Bizarre que k-net n'arrive pas de son côté à l'identifier.

#10
Je n'ai pas vu passer de trames DHCP, mais si les baux sont longs, il faudrait que j'écoute au bon moment...
Beaucoup de messages ARP.

Je ne pense pas un pirate, plutôt une petite entreprise, ou un particulier bien équipé.
La plus grosse partie des appareils sont domotiques (prises connectées, thermostats...)

Clairement, le LAN de ce client est ouvert sur son WAN. Ça sent le switch branché sur l'ONT ou un routeur mal configuré.

J'ai pu découvrir 687 clients K-Net sur ma boucle (IP et MAC), dont 632 avec une Icotera (ou clone MAC Icotera), 31 avec un Netgear, 6 Synology, 4 ASUSTek, 2 Ubiquiti, 2 Fortinet, 1 TP-Link, 1 PC Engines, 1 IBM, 1 Turris, 1 Xiaomi, 1 Buffalo, 1 Apple, 1 Fritzbox et deux indéfinissable par leur MAC.
Je peux donc étudier les 55 non Icotera et avec les temps de latence peur-être trouver le client concerné, car je doute qu'il ait une Icotera.
Abonnement : Covage - Forfait fibre optique 1Gbs (formule AVI)
Routeur : perso ; Netgear R7800, micro logiciel Voxel
Téléphonie : Boîtier SPA112
Télévision : CoreElec - Kodi
Sondes : https://smokeping.brigadoon.fr/
Uptime : https://status.brigadoon.fr/

#11
Bon, aucun progrès dans mes recherches.
C'est toujours actif.

Maintenant, ça permet d'apprendre sur l'infrastructure Covage/K-Net.

L'infra est très certainement un VLAN, car je ne vois que des clients K-Net derrière le WAN. En fait, le voisinage ARP inclus toutes les IP du même sous réseau (IP publique), et je suis voisin direct sur le réseau avec environ 700 autres clients, tous sur le même sous réseau, localisés dans le Calvados ou à Paris. Le voisinage est donc virtuel.

Donc toutes les trames que je reçois par la WAN avec des addresses locales 192.168... 169.254... viennent de clients K-Net qui sont sur ce VLAN, donc possèdent j'imagine une MAC enregistrée chez K-Net (le sésame pour être dans le voisinage) et affectée à la plage d'IP publique K-Net dans laquelle je suis aussi.

Voilà, ça permet de rétrécir le champ de recherche. Si Vincent O. passe par ici, il saura probablement retrouver le client à l'origine de ces trames LAN qui fuitent sur le WAN/VLAN et l'informer du problème.

Car ce sont quand même environ 700 clients qui reçoivent ces requêtes broadcast, et je pense que ça peut perturber les boxes où certain matos perso qui iraient router ces trames dans les LAN.
je ne partage pas ici la liste des IPs K-Net et MACs associées.

Maintenant, en désactivant mon pare-feu perso, je ne peux pas faire de ping ICMP sur les appareils 192.168.14.xx, ni faire de requête HTTP par exemple. Je pense que le VLAN bloque bien comme il se doit les paquets envoyés directement vers ce type d'adresse locale. Mais la faille vient des paquets broadcast (255.255.255.255) venant de ces appareils qui eux passent et sont routés partout. Donc ça peut être un routeur perso qui reçoit ces paquets depuis le LAN de ce client et les renvoie vers le WAN car il obéit à l'ordre d'un paquet broadcast qui doit être renvoyé partout. Bien sûr un routeur bien paramétré interdit d'envoyer vers 255.255.255.255 vers le WAN. Mais cela n'explique pas l'autre passoire : l'ARP, puisque je peux arpinger tous ces appareils, et que je reçois les trames arping que ces appareils s'envoient entre eux.
Cela semble confirmer le switch... et si la personne en utilise un avec ONT et LAN connectés dessus, et un appareil perso (peut être le Raspberry Pi qui est en 192.168.14.1) pour effectuer le routage, et bien le switch lui ne distingue pas WAN et LAN...
Cela m'étonne quand même vu le matos présent, c'est un client qui devrait s'y connaître et aurait tendance à vouloir bien séparer son LAN de son WAN...

C'est seulement depuis le 16 novembre, donc soit un nouveau client ? soit quelqu'un qui a changé sa config.
Abonnement : Covage - Forfait fibre optique 1Gbs (formule AVI)
Routeur : perso ; Netgear R7800, micro logiciel Voxel
Téléphonie : Boîtier SPA112
Télévision : CoreElec - Kodi
Sondes : https://smokeping.brigadoon.fr/
Uptime : https://status.brigadoon.fr/

Citation de: bOLEMO le 20 Novembre 2020 à 16:59:44
En fait, le voisinage ARP inclus toutes les IP du même sous réseau (IP publique), et je suis voisin direct sur le réseau avec environ 700 autres clients, tous sur le même sous réseau, localisés dans le Calvados ou à Paris. Le voisinage est donc virtuel.

ARP est utilisé pour faire la relation entre adresses MAC et IP dans un même subnet, oui. Vous êtes dans un /22, 1021 IPs "utiles" ici.

Mais attention, ça ne veut pas dire qu'ils sont dans le même VLAN. Si vous regardez votre table ARP de plus près, je suspecte que vous verrez qu'une grande partie des IP ont la même adresse MAC (très probablement du Nokia). Et que c'est la même adresse MAC que celle de votre passerelle ; celle-ci faisait proxy-ARP vers les autres clients dans d'autres zones.

D'un autre côte, il y a d'autres subnets que le votre dans votre domaine de diffusion, et les clients qui ont des IP dans ces autres subnets (mais qui sont dans le même domaine de diffusion) recevront aussi ces paquets.

Citation de: bOLEMO le 20 Novembre 2020 à 16:59:44
Donc toutes les trames que je reçois par la WAN avec des addresses locales 192.168... 169.254... viennent de clients K-Net qui sont sur ce VLAN, donc possèdent j'imagine une MAC enregistrée chez K-Net (le sésame pour être dans le voisinage) et affectée à la plage d'IP publique K-Net dans laquelle je suis aussi.

Aucune des MAC données dans https://forum.caps.services/index.php/topic,8171.msg103671.html#msg103671 n'est attribuée à un client dans notre SI / serveur DHCP, pas même en enlevant les 2 derniers caractères. De même, les MAC des Yealink ne sont pas connues dans notre base de provisionning des téléphones.

On a aussi fait le tour des KBox, aucun client Covage n'a configuré 192.168.14.0/24 pour son LAN, et on ne détecte aucune des MAC en question sur le LAN des Icotera Covage.

Comme c'est une collecte L3, ces paquets ne remontent même pas jusqu'à notre porte de collecte, ce qui nous aurait permis, au cas où un des équipements fasse des requêtes DHCP, de voir l'option 82 rajoutée par les équipements Covage, qui identifie de façon unique une ligne.

La seule option fiable serait de demander à Covage de trouver sur quel ONT remonte les MAC en question

Merci Vincent O. de regarder cela de plus près.

Citation de: Vincent O le 20 Novembre 2020 à 23:55:15
ARP est utilisé pour faire la relation entre adresses MAC et IP dans un même subnet, oui. Vous êtes dans un /22, 1021 IPs "utiles" ici.

Mais attention, ça ne veut pas dire qu'ils sont dans le même VLAN. Si vous regardez votre table ARP de plus près, je suspecte que vous verrez qu'une grande partie des IP ont la même adresse MAC (très probablement du Nokia). Et que c'est la même adresse MAC que celle de votre passerelle ; celle-ci faisait proxy-ARP vers les autres clients dans d'autres zones.

En fait, les arpings sur une même IP du subnet me retournent deux MACs, celle de la passerelle en effet, et une autre qui est probablement celle du matériel du client, puisque la majorité sont des Icotera, et quelques autres qui correspondent à des routeurs Netgear, TP-Link, Asus...
Pour info, je vais vous transmettre ce que j'ai scanné en MP, comme ça vous savez ce que je peux voir.

Citation
D'un autre côte, il y a d'autres subnets que le votre dans votre domaine de diffusion, et les clients qui ont des IP dans ces autres subnets (mais qui sont dans le même domaine de diffusion) recevront aussi ces paquets.

Je n'ai pas vu passer ceux-là, mais je n'ai pas cherché non plus. Je vois pas mal de 169.254...

Citation
Aucune des MAC données dans https://forum.caps.services/index.php/topic,8171.msg103671.html#msg103671 n'est attribuée à un client dans notre SI / serveur DHCP, pas même en enlevant les 2 derniers caractères. De même, les MAC des Yealink ne sont pas connues dans notre base de provisionning des téléphones.

On a aussi fait le tour des KBox, aucun client Covage n'a configuré 192.168.14.0/24 pour son LAN, et on ne détecte aucune des MAC en question sur le LAN des Icotera Covage.

Comme c'est une collecte L3, ces paquets ne remontent même pas jusqu'à notre porte de collecte, ce qui nous aurait permis, au cas où un des équipements fasse des requêtes DHCP, de voir l'option 82 rajoutée par les équipements Covage, qui identifie de façon unique une ligne.

La seule option fiable serait de demander à Covage de trouver sur quel ONT remonte les MAC en question
Donc pas un client K-Net, ou un client K-Net qui n'a pas de K-Box et n'utilise pas le provisioning pour les Yealink. Et si son interface MAC déclarée chez vous possède logiquement une IP K-Net, je ne peux pas l'associer au 192.168.14... sauf si la MAC WAN et proche de la MAC LAN, mais vous avez déjà essayé en retirant les deux derniers caractères...

En effet, pas simple de trouver chez Covage, ni de votre côté, ni du mien. Le temps de latence bas (3,5ms) indique que physiquement, c'est pas très loin.
Si pensez à des tests que je pourrais faire de mon côté qui peuvent aider, n'hésitez pas à m'en faire part.
Abonnement : Covage - Forfait fibre optique 1Gbs (formule AVI)
Routeur : perso ; Netgear R7800, micro logiciel Voxel
Téléphonie : Boîtier SPA112
Télévision : CoreElec - Kodi
Sondes : https://smokeping.brigadoon.fr/
Uptime : https://status.brigadoon.fr/

Bon, j'ai pu scanner toutes les IP des plages réservées pour AS24904 (K-Net/Kwaoo).

En supprimant les réponses données par la passerelle, je trouve 1059 réponses uniques, donc 1059 clients K-Net. La majorité sur le même sous-réseau que moi et ma passerelle, mais aussi, comme le prédisait Vincent O. sur d'autres plages d'IP appartenant à K-Net. Bref, ce sont toutes les IP voisines K-Net dans mon domaine de diffusion.
J'ai laissé ce résultat à un endroit que Vincent O. peut accéder si besoin (fichier AS24904.arpscan.txt)

Je trouve aussi 153 associations uniques MAC et adresses en 192.168.0.0/16 et 54 associations uniques MAC et adresses en 169.254.0.0/254

Un grand nombre de ces addresses privées ont la même MAC que des addresses publiques K-Net, principalement des 192.168.1.1 et 169.254.1.1, mais quelques autres aussi.

Pas de correspondance entre MAC en 192.168.14.xx qui continue d'envoyer ses nombreux paquets et MAC K-Net, comme l'avait déjà remarqué Vincent O. qui a fait son investigation.

J'ai fait des scans sur des plages d'autres FAI, mais je ne trouve rien. Il semble que je ne puisse voir que du K-Net en ARP, donc mon domaine de diffusion, et ça laisse supposer que ces machines en 192.168.14.xx seraient donc chez un client K-Net. Sauf si Covage laisse fuiter ces paquets vers mon domaine de diffusion depuis un autre FAI.

Il y a un client qui est sur le même sous réseau IP K-Net que moi, dont la MAC est 00:1e:80:3f:4c:XX, qui répond aussi en ARP pour l'IP 192.168.13.1 (même MAC que l'IP publique K-Net) et qui est à 3.499ms, soit dans la même fourchette que ces 192.168.14.xx.
Sans certitude, ce pourrait être le client concerné,  avec son LAN K-Box en 192.168.13.0 (ou son routeur perso avec un spoof MAC K-Box) et derrière utilise aussi du 192.168.14.0 pour une partie de son LAN...

Bref, à suivre...
Abonnement : Covage - Forfait fibre optique 1Gbs (formule AVI)
Routeur : perso ; Netgear R7800, micro logiciel Voxel
Téléphonie : Boîtier SPA112
Télévision : CoreElec - Kodi
Sondes : https://smokeping.brigadoon.fr/
Uptime : https://status.brigadoon.fr/