O que significa “SSAP Desconhecido” e “DSAP Desconhecido” no tcpdump?

Question

O que significa “SSAP Desconhecido” e “DSAP Desconhecido” no tcpdump?

#1 resposta do (3 votos)
#2 resposta do (0 votos)
#3 resposta do (0 votos)

6

Enquanto tentava consertar um problema com a perda intermitente de conexão com a Internet em uma máquina com conexão sem fio a um roteador, executei o tcpdump e notei que os pacotes com erros "Desconhecido SSAP" e "Desconhecido DSAP" chegavam a uma taxa de alguns por segundo.

20:27:21.703178 00:24:a5:af:24:f6 (oui Unknown) Unknown SSAP 0xde > 1c:65:9d:48:38:95 (oui Unknown) Unknown DSAP 0xe2 Information, send seq 0, rcv seq 16, Flags [Response], length 171
20:27:21.724726 00:24:a5:af:24:f6 (oui Unknown) Unknown SSAP 0xde > 1c:65:9d:48:38:95 (oui Unknown) Unknown DSAP 0xe2 Information, send seq 0, rcv seq 16, Flags [Response], length 104
20:27:21.746449 00:24:a5:af:24:f6 (oui Unknown) Unknown SSAP 0xde > 1c:65:9d:48:38:95 (oui Unknown) Unknown DSAP 0xe4 Information, send seq 0, rcv seq 16, Flags [Response], length 88
20:27:21.970963 00:24:a5:af:24:f6 (oui Unknown) Unknown SSAP 0xde > 1c:65:9d:48:38:95 (oui Unknown) Unknown DSAP 0xe8 Information, send seq 0, rcv seq 16, Flags [Response], length 76
20:27:22.016565 00:24:a5:af:24:f6 (oui Unknown) Unknown SSAP 0xde > 1c:65:9d:48:38:95 (oui Unknown) Unknown DSAP 0xea Information, send seq 0, rcv seq 16, Flags [Response], length 88
20:27:22.038471 00:24:a5:af:24:f6 (oui Unknown) Unknown SSAP 0xde > 1c:65:9d:48:38:95 (oui Unknown) Unknown DSAP 0xea Information, send seq 0, rcv seq 16, Flags [Response], length 171

O que significa "SSAP Desconhecido" e "DSAP Desconhecido" e isso indica um problema?

router tcpdump linux linux-networking

por lacker 17.11.2010 / 05:38

3 respostas

Tags router tcpdump linux linux-networking

Lendo material para arquiteturas de servidor [fechado] iptables - permite conexões apenas da LAN

score 3 · Answer 1

Uma coisa que eles podem significar que os quadros enviados têm cabeçalhos 802.2 seguindo o cabeçalho da camada de link (que é verdade para todos os quadros de dados 802.11 e verdadeiro para os quadros Ethernet em que o campo tipo / tamanho tem um comprimento em vez de um tipo Ethernet) e que a origem e o destino Service Access Points nesses cabeçalhos têm valores que o tcpdump não conhece. (O Wireshark também não sabe sobre eles).

A listagem do IEEE dos valores do Ponto de acesso a serviços não mostra nenhuma atribuição pública para 0xde, 0xe2, 0xe4, 0xe8 ou 0xea.

Eles também podem significar que, por algum motivo, o tcpdump não está dissecando corretamente os dados do pacote, ou que está criptografado na camada de enlace (ou seja, quadros WEP ou WPA / WPA2) e o tcpdump não o reconhece como sendo criptografado.

Qual versão de qual SO é a máquina na qual você rodou o tcpdump rodando (se é Linux, "version" aqui significa "versão do kernel", mas o número de versão de distribuição e distribuição também seria útil), qual versão do tcpdump e libpcap você está usando (o que é tcpdump -h print?), e que tipo de dispositivo você está capturando (802.11 ou Ethernet, e quem o fabrica e que tipo de dispositivo é esse fabricante?)?

O "OUI desconhecido" significa que não encontrou uma organização com o OUI 00: 24: a5, que são os primeiros 3 octetos do endereço MAC da máquina de envio, e não encontrou uma organização com o OUI 1c: 65: 9d, que são os primeiros 3 octetos do endereço MAC da máquina receptora.

O banco de dados IEEE diz 00: 24: a5 é para "Buffalo, Inc" (localizado no Japão, não em Buffalo, Nova York, EUA) e 1c: 65: 9d é para "Liteon Technology Corporation" em Taiwan.

score 0 · Answer 2

Presumivelmente, o DSAP e o SSAP são usados em quadros 802.3 para identificar protocolos de nível mais alto transportados no quadro (não é o mesmo que Ethernet).

score 0 · Answer 3

Eu passei as últimas 4 horas investigando o mesmo problema, eu estava indo para adicionar uma recompensa nesta questão, mas eu finalmente encontrei! Os pacotes malformados foram enviados por uma smart TV LG usando o wlan, depois de desligar a tv não mais desses pacotes que estavam retardando minha rede de 2mbits / s para 4 kb / s)

o próximo problema é descobrir como desabilitar completamente o uso do wifi em smarttvs, mas não é fácil dizer "pare de usar meu wifi" e mesmo se você alterar a senha voltar para a boa senha após um desligamento (provavelmente o cache das chaves de trabalho), então eu adiciono este link, algumas respostas dão bons conselhos sobre como desativar as funções wifi da TV: link

(selecione com fio, encontre uma caixa de ferramentas ou configurações de fábrica)