réseau - trame capturée d'une source inconnue

[jjacques68]

Hello tout le monde, 

 

Je viens de faire un petit check de mon réseau local (vérification des IP... réservations, nouvelles adresses... bref...)

 

Et je me suis aperçu que j'en ai une que je n'arrive pas à identifier.

J'ai réfléchit à tout, mais rien à faire.

Elle est présente et se ping.

 

du coup j'ai fait une petite capture wireshark :

 

et voici le résultat :

 

Trame UDP, émise en broadcast, toutes les 5 secondes en moyenne et voici son contenu : (j'ai masqué de XXXX certain champs au cas où  )

{"ip":"192.168.2.45","gwId":"XXXXXXXXdc4f2285e1ba","active":2,"ability":0,"mode":0,"encrypt":true,"productKey":"keyXXXXXXXXXXXXcfu","version":"3.1"}

Aucune idée de ce que ça pourrait être !!!!!

 

Dans le doute, j'ai bloquer le trafic de cette @mac dans le routeur...

Pour le moment je ne constate rien d'anormale...

 

Si vous avez une idée de ce que ça pourrait être ?

 

Merci à vous !!

Modifié le 22 août 2019 par jjacques68

[Nico]

Mais l'adresse IP doit bien correspondre à qque chose sur ton réseau non ?

Et si tu ne sais pas, tu vas devant le switch, tu débranches une prise après l'autre, et tu verras bien quand cela s'arrête, cela te permettra de trouver l'équipement en question.

[Lazer]

Et si tu as un switch manageable, tu interroges la table ARP pour savoir directement sur quel port se trouve l'adresse MAC en question.

 

D'ailleurs l'adresse MAC peut te donner une indication sur l'appareil en question, car les premiers chiffres correspondent au fabricant de la puce.

 

Avec nmap, un outil libre, tu peux lancer un scan de son adresse IP en mode d’identification, il devrait pouvoir détecter de quel type de système d'exploitation il s'agit.

[jjacques68]

@Nico : si je peux éviter ça  

 

@Lazer : pas de switch manageable  

 

voici le résultat : ça m'aide pas trop ! si ?

 

[Lazer]

Ah un ESP8266, là c'est très clair.

Tu joues avec ça toi ?

 

 

[jjacques68]

attend c'est quoi ça ?

[jjacques68]

alors : 

J'ai aussi un switch manageable POE.

D'après ce que je voie sr le switch, cette @mac est connectée sur le port 4.

Sur ce port 4 j'ai le point d'accès wifi de la cave.

D'après ce que je vois sur le point d'accès de la cave, j'ai bien ce device !!!!

 

donc en wifi !!

 

Mais c'est quoi ! j'ai pas 40 truc wireless !!!

[Lazer]

Ah....

 

Un microcontrôleur, compatible avec Arduino, mais en mieux (plus de mémoire, il intègre le Wi-Fi en standard, etc)

 

 

Très utilisé par les bidouilleurs et domoticiens en herbe.

 

Bon si tu ne sais pas que tu en as un, c'est qu'il doit être intégré dans l'un de tes objets connectés.

 

Du coup tu ne le verras pas sur un port du switch.... enfin si, mais sur le port sur lequel est connecté le point d'accès Wi-Fi

 

 

EDIT : ah bah voilà, tu as posté entre temps

[jjacques68]

nan mais attend c'est du délire !

 

J'ai coupé TOUS les device wifi ! et il est encore là !!

 

Pas moyen de savor qui c'est !!

[Lazer]

Trouver un objet caché en Wi-Fi, ça ne va pas être simple !

 

Faut jouer à tu chauffes / tu brules

 

Tu met un long câble réseau sur ta borne Wi-Fi (alimentée en POE), tu la déplaces, puis tu attends quelques instants, et tu regardes dans l'outil d'admin (c'est quoi ta borne, une Unifi ? Donc Unifi Controller) quand le signal RSSI de l'ESP augmente ou baisse.

Par exemple -90 dB tu es très loin, et à -50 dB tu es proche

 

Bon courage !

[jjacques68]

attend il me reste Jeedom et un raspberry !

 

Mais ils sont en filaire !!

 

c'est possible que quand même ce soit l'un d'entre eux ?

[jjacques68]

ben non je viens de les couper !

 

le ping continue...

[jjacques68]

oooooh punaise j'ai trouvé !

 

C'est la prise Wifi qui alimente le HC2 !!

 

Hé ben celle-là... 

 

En tout cas merci les gars !

 

Et nickel le soft Nmap...

[Lazer]

Ah une prise Wi-Fi, c'est logique qu'ils utilisent ce genre de composant

 

[Lazer]

Du coup cette prise elle a une API locale ou elle dépend du cloud ?

 

Parce qu'avec un ESP, c'est ultra standard, donc tu pourrais la reprogrammer entièrement. Tu as regardé s'il existe déjà des hacks pour cette prise sur Internet ?

C'est une pratique très courante pour les objets connectés chinois low-cost..... par exemple les très populaires Sonoff qui utilisent aussi des micro-contrôleurs ESP.

[jjacques68]

alors ça dépend du cloud. en tout cas il me semble...

 

Le but c'est de pouvoir la piloter depuis la 4G.. donc... je sais si ça me sera utile !

 

Et puis je serai pas comment faire  

[Nico]

Voilà, nickel !

Sinon c'est qu'un pirate était chez toi

[Lazer]

Alors si la prise dépend du cloud, il ne faut pas que tu bloques son trafic Internet au niveau du routeur, sinon tu ne pourras plus la piloter à distance (cf ton premier message de ce topic)

[jjacques68]

@Nico : tu rigoles mais j'y ai pensé...

@Lazer : oui j'ai enlevé le blocage sur le routeur du coup... merci !

[Nico]

Moi j'ai pris l'habitude de nommer le tout sur mon DHCP, comme ça je sais ce qu'ai chaque, car il commence à y avoir du monde. Et là je bascule tout sur Unifi, donc je les nommes aussi au fur et à mesure.

[jjacques68]

ben j'ai pas encore ce système, mais je pense qu'avant le fin de l'année je vais m'y mettre.

Routeur, Contrôleur, borne AP...

ça va faire mal au porte-feuille, mais il faut bien évoluer...  

 

Mon bon vieux système tout en netgear fonctionne bien, mais bon... 

[Nico]

Et sur ton routeur NETGEAR, au niveau de la partie DHCP, tu peux nommer tous les périph non ?

[jjacques68]

oui oui en effet !

mais cette prise wifi n’était pas réservée dans le DHCP, justement...

[Nico]

Ahh et du coup tu peux rien saisir ? Sur mon DSM ou sur Unifi, tu peux tout de même les nommer, IP fixe ou DHCP.

[jjacques68]

nan, elle apparaît, avec sa MAC, c’est tout...