Назад | Перейти на главную страницу

Что означают «Неизвестный SSAP» и «Неизвестный DSAP» в tcpdump?

Пытаясь исправить проблему с периодической потерей интернет-соединения на машине с беспроводным подключением к маршрутизатору, я запустил tcpdump и заметил пакеты с ошибками «Неизвестный SSAP» и «Неизвестный DSAP», приходящие со скоростью несколько раз в секунду.

20:27:21.703178 00:24:a5:af:24:f6 (oui Unknown) Unknown SSAP 0xde > 1c:65:9d:48:38:95 (oui Unknown) Unknown DSAP 0xe2 Information, send seq 0, rcv seq 16, Flags [Response], length 171
20:27:21.724726 00:24:a5:af:24:f6 (oui Unknown) Unknown SSAP 0xde > 1c:65:9d:48:38:95 (oui Unknown) Unknown DSAP 0xe2 Information, send seq 0, rcv seq 16, Flags [Response], length 104
20:27:21.746449 00:24:a5:af:24:f6 (oui Unknown) Unknown SSAP 0xde > 1c:65:9d:48:38:95 (oui Unknown) Unknown DSAP 0xe4 Information, send seq 0, rcv seq 16, Flags [Response], length 88
20:27:21.970963 00:24:a5:af:24:f6 (oui Unknown) Unknown SSAP 0xde > 1c:65:9d:48:38:95 (oui Unknown) Unknown DSAP 0xe8 Information, send seq 0, rcv seq 16, Flags [Response], length 76
20:27:22.016565 00:24:a5:af:24:f6 (oui Unknown) Unknown SSAP 0xde > 1c:65:9d:48:38:95 (oui Unknown) Unknown DSAP 0xea Information, send seq 0, rcv seq 16, Flags [Response], length 88
20:27:22.038471 00:24:a5:af:24:f6 (oui Unknown) Unknown SSAP 0xde > 1c:65:9d:48:38:95 (oui Unknown) Unknown DSAP 0xea Information, send seq 0, rcv seq 16, Flags [Response], length 171

Что означают «Неизвестный SSAP» и «Неизвестный DSAP» и указывает ли это на проблему?

Они могли иметь в виду, что отправляемые кадры Заголовки 802.2 после заголовка канального уровня (что верно для всех кадров данных 802.11 и верно для кадров Ethernet, где поле типа / длины имеет длину, а не тип Ethernet), и что источник и место назначения Точки доступа к сервису в этих заголовках есть значения, о которых tcpdump не знает. (Wireshark о них тоже не знает.)

В Список IEEE значений точки доступа к услугам не показывает общедоступное назначение для 0xde, 0xe2, 0xe4, 0xe8 или 0xea.

Они также могут означать, что по какой-то причине tcpdump не анализирует пакетные данные должным образом или что они зашифрованы на канальном уровне (т. Е. Кадры WEP или WPA / WPA2), а tcpdump не распознает их как зашифрованные.

Какая версия какой ОС используется на компьютере, на котором запущен tcpdump (если это Linux, «версия» здесь означает «версия ядра», но также будет полезен номер версии дистрибутива и дистрибутива), какая у вас версия tcpdump и libpcap использование (что делает tcpdump -h print?), и на каком типе устройства вы выполняете захват (802.11 или Ethernet, и кто его производит, и какое это устройство от этого производителя?)?

«Неизвестный OUI» означает, что не удалось найти организацию с OUI 00: 24: a5, которые являются первыми 3 октетами MAC-адреса отправляющей машины, и не удалось найти организацию с OUI 1c: 65 : 9d - первые 3 октета MAC-адреса принимающей машины.

В базе данных IEEE указано, что 00: 24: a5 - для Buffalo, Inc (которые находятся в Японии, а не в Буффало, штат Нью-Йорк, США), а 1c: 65: 9d - для «Liteon Technology Corporation» на Тайване.

Я только что провел последние 4 часа, исследуя ту же проблему, я даже собирался добавить вознаграждение за этот вопрос, но, наконец, нашел его! Неправильные пакеты были отправлены LG Smart TV с использованием wlan, после выключения телевизора больше не было тех пакетов, которые замедляли мою сеть с 2 Мбит / с до 4 Кбит / с)

следующая проблема заключается в том, чтобы найти, как полностью отключить использование Wi-Fi на этих глупых smarttvs, это далеко не так просто, нет возможности сказать «прекратить использование моего Wi-Fi», и даже если вы измените пароль, он вернется к хороший пароль после выключения (возможно, кеширование рабочих ключей), поэтому я добавляю эту ссылку, некоторые ответы дают хорошие советы о том, как отключить функции Wi-Fi на телевизоре: http://www.cnet.com/forums/discussions/how-to-disable-wi-fi-on-a-lg-smarttv-604718/

(выберите проводной, найдите набор инструментов или заводские настройки)

Предположительно, DSAP и SSAP используются в кадрах 802.3 для идентификации протоколов более высокого уровня, передаваемых в кадре (не то же самое, что Ethernet).