Discovery protocol vulnerability?

[ludvik]

Všiml jste si někdo už někdy něčeho takového? Se mi nedaří nic pořádně zjistit. Jde o AirOS 5.6.9 v router módu. Všiml jsem si toho jen proto, že na routeru (jeho gatewayi) zakazuji a loguji přístupy na DNS u klientů. Ten broadcast byl podezřelý, jinak by to prošlo.

Kód: Vybrat vše

22:01:32.337772 IP mta-98-4-62-234.buffalo.rr.com.domain > klient.nekde.cz.10001: [|domain]
22:01:32.391066 IP mta-98-4-62-234.buffalo.rr.com.domain > klient.nekde.cz.10001: [|domain]
22:01:32.391171 IP klient.nekde.cz.10001 > mta-98-4-62-234.buffalo.rr.com.domain: 256% [b2&3=0x95] [2596a] [512q] [42044n] [53898au] Type2816 (Class 1133)? ^JjkM-Q^B^@^J$M-$<M-SM-^J^_M-@M-(M-:^A^A^@^F$M-$<M-RM-^J^_^J^@^D^@^.[|domain]
22:01:32.391423 IP klient.nekde.cz.59462 > 255.255.255.255.domain: 256% [b2&3=0x95] [2596a] [512q] [42044n] [53898au] Type2816 (Class 1133)? ^JjkM-Q^B^@^J$M-$<M-SM-^J^_M-@M-(M-:^A^A^@^F$M-$<M-RM-^J^_^J^@^D^@^.[|domain]
22:01:32.527073 IP klient.nekde.cz.10001 > mta-98-4-62-234.buffalo.rr.com.domain: 256% [b2&3=0x95] [2596a] [512q] [42044n] [53898au] Type2816 (Class 1133)? ^JjkM-Q^B^@^J$M-$<M-SM-^J^_M-@M-(M-:^A^A^@^F$M-$<M-RM-^J^_^J^@^D^@^.[|domain]
22:01:32.527297 IP klient.nekde.cz.49761 > 255.255.255.255.domain: 256% [b2&3=0x95] [2596a] [512q] [42044n] [53898au] Type2816 (Class 1133)? ^JjkM-Q^B^@^J$M-$<M-SM-^J^_M-@M-(M-:^A^A^@^F$M-$<M-RM-^J^_^J^@^D^@^.[|domain]
22:01:32.391912 IP klient.nekde.cz.47189 > dnsserver.nekde.cz.domain: 4+ PTR? 255.255.255.255.in-addr.arpa. (46)
22:01:32.413194 IP dnsserver.nekde.cz.domain > klient.nekde.cz.47189: 4* 0/1/0 (109)


[KoZLiCeK]

Všiml jste si někdo už někdy něčeho takového? Se mi nedaří nic pořádně zjistit. Jde o AirOS 5.6.9 v router módu. Všiml jsem si toho jen proto, že na routeru (jeho gatewayi) zakazuji a loguji přístupy na DNS u klientů. Ten broadcast byl podezřelý, jinak by to prošlo.

Kód: Vybrat vše

22:01:32.337772 IP mta-98-4-62-234.buffalo.rr.com.domain > klient.nekde.cz.10001: [|domain]
22:01:32.391066 IP mta-98-4-62-234.buffalo.rr.com.domain > klient.nekde.cz.10001: [|domain]
22:01:32.391171 IP klient.nekde.cz.10001 > mta-98-4-62-234.buffalo.rr.com.domain: 256% [b2&3=0x95] [2596a] [512q] [42044n] [53898au] Type2816 (Class 1133)? ^JjkM-Q^B^@^J$M-$<M-SM-^J^_M-@M-(M-:^A^A^@^F$M-$<M-RM-^J^_^J^@^D^@^.[|domain]
22:01:32.391423 IP klient.nekde.cz.59462 > 255.255.255.255.domain: 256% [b2&3=0x95] [2596a] [512q] [42044n] [53898au] Type2816 (Class 1133)? ^JjkM-Q^B^@^J$M-$<M-SM-^J^_M-@M-(M-:^A^A^@^F$M-$<M-RM-^J^_^J^@^D^@^.[|domain]
22:01:32.527073 IP klient.nekde.cz.10001 > mta-98-4-62-234.buffalo.rr.com.domain: 256% [b2&3=0x95] [2596a] [512q] [42044n] [53898au] Type2816 (Class 1133)? ^JjkM-Q^B^@^J$M-$<M-SM-^J^_M-@M-(M-:^A^A^@^F$M-$<M-RM-^J^_^J^@^D^@^.[|domain]
22:01:32.527297 IP klient.nekde.cz.49761 > 255.255.255.255.domain: 256% [b2&3=0x95] [2596a] [512q] [42044n] [53898au] Type2816 (Class 1133)? ^JjkM-Q^B^@^J$M-$<M-SM-^J^_M-@M-(M-:^A^A^@^F$M-$<M-RM-^J^_^J^@^D^@^.[|domain]
22:01:32.391912 IP klient.nekde.cz.47189 > dnsserver.nekde.cz.domain: 4+ PTR? 255.255.255.255.in-addr.arpa. (46)
22:01:32.413194 IP dnsserver.nekde.cz.domain > klient.nekde.cz.47189: 4* 0/1/0 (109)


5.6.9??? to je hooodne stary fw.upgraduj

[ludvik]

Tyhle rady si prosím nech od cesty.