Conversas discretas de um Modem e suas Geishas

[lemene]

O tópico não trata do título de um bom livro, mas até podia ser.

Trata-se de desvendar certas conversas que o modem tem com outros devices sem nos aperceber-mos, até que um dia activamos o wireshark e escutamos as conversas.

O meu modem tem a mania dos broadcasts

Descobri a razão de tantos broadcasts do meu modem ST645v6, que representava cerca de 8% dos pacotes na LAN.

Cada broadcast ARP do modem aos devices lá definidos, ligados ou não, tinha um custo de 60 bytes, e cada device ligado respondia com um custo de 42 bytes.

Basicamente o modem pergunta: Quem tem o IP tal?
Isto por cada device, é assim o ARP, para traduzir IPs para MAC.
E recebia a resposta: Tenho eu (MAC tal) o IP.
Passado alguns segundo, pergunta tudo de novo.

Eu reduzi isto para 4% limpando alguns devices que configurei no modem por achar que dava jeito saber os nomes de todos os devices em vez dos MACs.
HOME-> Home Network -> Devices

As conversas não são só ARP.....
- Estou agora a escutar as conversas IGMP do router, mas isso são apenas 0,55%.
- 76.99% são TCP e grande parte dados.

Mais perigoso são os pacotes UDP com outros IPs exteriores.
Tenho cerca de 17.45% pacotes UDP.
- Sendo metade derivado de DNS e outra de Dados.
- Alguns pacotes surgem depois de abrir o google e fazer uma pequena pesquisa.
Sim, os pacotes UDP surgem depois, depois do resultado da pesquisa e de ficar quieto.
Sim, mesmo com firewall, da MSFT, do Modem, do Router ligados.

[AdSense]

[Dracula]

Não encontraste nada de novo..

Todos os pacotes que encontraste são necessários ao bom funcionamento da tua net e do teu modem.

Os ARP permitem ao teu pc ou mesmo o modem construir a trama ethernet. Sem eles, tal não pode ser possível.

Se tens serviço TV, o IGMP é também necessário. É o protocolo que controla a subscrição de grupos e que permite ao router/switch saber para que portas deverá enviar os pacotes multicast.
_________________
Be sure to engage your brain before open your mouth!

[lemene]

Claro, não encontrei nada de novo, ou quase nada...

Apenas, noob como sou em TCP/IP e esta coisa de ADSL (bom, noob na minha escala), ando a reduzir o desnecessário:

- Metade dos ARPs causados pela minha ignorancia na definição de Nomes aos Devices que tenho cá em casa. Se não os tiver definidos no modem não são invocados.

- Agora quero ver o que são aqueles UDPs que aparecem dos diversos IPs externos.

Alguns pacotes UDP estão associados a sites que de forma directa ou indirecta visito, e depois continuam a enviar uns pacotes UDP.
- Basta abrir o google e tenho uma porrada de IPs a enviar UDPs.

Mais que ver, quero acabar com eles, e ainda não descobri por que raio o meu laptop responde com UDPs
- O UDP, não é TCP, não requer resposta, e responde se houver do meu lado algo, neste caso na Netbios, à escuta e responder para satisfação alheia.
Daí o nome no título geisha o qual dou aos devices por cá. Tenho que descobrir o okiya delas.
Cheira-me que são coisas não solicitadas, para obter IPs e enfins para registo de interesses, etc.

- Já o TCP compreenderia haver um acordo de dá-cá e toma-lá.

[yutip]

Tambem me apercebi destas ligações e como tal utilizei o wireshark.
Mas na minha ligação é diferente, talvez nas vossas seja igual.

Desligo a firewall, activo o netbios na placa onde o router esta ligado, e abro o wireshark na mesma placa de rede.
Ponho o router em modo bridge com o ip 192.168.1.2, espero que a linha adsl sincronize e passado um bocado comeca-se a ver no wireshark ligações a chegar, principalmente ligações da partilha de ficheiros do windows (netbios).
Depois basta ver os ips destas ligações que sejam ips privados (192.168.xxx.xxx - a maior parte dos routers usam estes ips) e por o router e o pc dentro da mesma rede dos ips que apareceram no wireshark.
Se o ip do computador que fez a ligação for por ex: 192.168.2.2, ponho o meu pc em ip fixo 192.168.2.4 e o router no ip 192.168.2.3 depois no wireshark aparece o netbios do meu pc
a negociar com o do outro pc e é só ir "aos meus locais na rede" (XP) e começar a ver que computadores são aqueles e que ficheiros partilhados podem ser acedidos.... lol

Isto só acontece em modo brigde e so com a linha sincronizada, sem ligação à internet. Apercebi-me disto quando tinha um huawei mt882 da clix em modo bridge e passadas algumas horas com o emule ligado o modem passava-se e sempre que eu tentava aceder a pagina de configuração (192.168.1.1) ia ter a um outro huawei que nao era o meu de quem era nao sei mas tem/tinha uma ligação de 4megas. Já me liguei a print servers da dlink (ate por telnet), servidores samba...

Isto é normal? Ou é por essas pessoas utilizarem o modo bridge?
Mesmo assim a central nao devia deixar passar estas ligações.

[lemene]

O serviço TCP/IP netbios não necessita estar activo no sistema.
Eu tenho o meu desactivado.