Router TPLink MR3220 i niezrozumiały adres IP

WItam,
Podłączyłem się do rutera z tematu żeby w wiresharku zobaczyć sobie pierwsze pakiety - świeży windows, ruter zresetowany, nie podłączony do internetu ani innych urządzeń poza moim komputerem. Ruter przydzielił mi adres 192.168.1.100. Nagle wyskoczyło takie połączenie:

83 10.051664 1.0.158.38 192.168.1.100 ICMP 104 Destination unreachable (Host unreachable)

Source to: 1.0.158.38
Destination to: 192.168.1.100

Co to za połączenie?

Ta adresacja IP jest przydzielana przez APNIC (Azja). TP Link to chiński producent, dlaczego z tego adresu wysyła zapytania ICMP do sieci prywatnej, do której ruch z publicznego IP nie powinien być dozwolony, zapytaj producenta.

Dzięki, ale o co w tym w ogóle chodzi? Po rozwinięciu ICMP jest DNS:

Internet Control Message Protocol
Type: 3 (Destination unreachable)
Code: 1 (Host unreachable)
Checksum: 0x80f0 [correct]
[Checksum Status: Good]
Unused: 00000000
Internet Protocol Version 4, Src: 192.168.1.100, Dst: 192.168.1.1
User Datagram Protocol, Src Port: 55786, Dst Port: 53
Domain Name System (query)
Transaction ID: 0x8e0a
[Expert Info (Warning/Protocol): DNS query retransmission. Original request in frame 72]
[DNS query retransmission. Original request in frame 72]
[Severity level: Warning]
[Group: Protocol]
Flags: 0x0100 Standard query
0… … … … = Response: Message is a query
.000 0… … … = Opcode: Standard query (0)
… …0. … … = Truncated: Message is not truncated
… …1 … … = Recursion desired: Do query recursively
… … .0… … = Z: reserved (0)
… … …0 … = Non-authenticated data: Unacceptable
Questions: 1
Answer RRs: 0
Authority RRs: 0
Additional RRs: 0
Queries
www.msftncsi.com: type A, class IN
Name: www.msftncsi.com
[Name Length: 16]
[Label Count: 3]
Type: A (Host Address) (1)
Class: IN (0x0001)
[Retransmitted request. Original request in: 72]

Twój komputer wysyła zapytania ICMP na adres www.msftncsi.com, ale nie pokrywa się on adresem, który podałeś wcześniej.

W nagłówku ICMP jest:
Internet Protocol Version 4, Src: 192.168.1.100, Dst: 192.168.1.1

W nagłówku IP:
Internet Protocol Version 4, Src: 1.0.158.38, Dst: 192.168.1.100

To może całość (bez FRAME i ETHERNET II, tam są tylko adresy mac):

Internet Protocol Version 4, Src: 1.0.158.38, Dst: 192.168.1.100
0100 … = Version: 4
… 0101 = Header Length: 20 bytes (5)
Differentiated Services Field: 0xc0 (DSCP: CS6, ECN: Not-ECT)
Total Length: 90
Identification: 0x613b (24891)
Flags: 0x0000
0… … … … = Reserved bit: Not set
.0… … … … = Don’t fragment: Not set
…0. … … … = More fragments: Not set
Fragment offset: 0
Time to live: 64
Protocol: ICMP (1)
Header checksum: 0xb775 [validation disabled]
[Header checksum status: Unverified]
Source: 1.0.158.38
Destination: 192.168.1.100
Internet Control Message Protocol
Type: 3 (Destination unreachable)
Code: 1 (Host unreachable)
Checksum: 0x80f0 [correct]
[Checksum Status: Good]
Unused: 00000000
Internet Protocol Version 4, Src: 192.168.1.100, Dst: 192.168.1.1
0100 … = Version: 4
… 0101 = Header Length: 20 bytes (5)
Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
Total Length: 62
Identification: 0x0031 (49)
Flags: 0x0000
0… … … … = Reserved bit: Not set
.0… … … … = Don’t fragment: Not set
…0. … … … = More fragments: Not set
Fragment offset: 0
Time to live: 127
Protocol: UDP (17)
Header checksum: 0xb7c8 [validation disabled]
[Header checksum status: Unverified]
Source: 192.168.1.100
Destination: 192.168.1.1
User Datagram Protocol, Src Port: 55786, Dst Port: 53
Source Port: 55786
Destination Port: 53
Length: 42
Checksum: 0x0aa0 [unverified]
[Checksum Status: Unverified]
[Stream index: 11]
Domain Name System (query)
Transaction ID: 0x8e0a
[Expert Info (Warning/Protocol): DNS query retransmission. Original request in frame 72]
[DNS query retransmission. Original request in frame 72]
[Severity level: Warning]
[Group: Protocol]
Flags: 0x0100 Standard query
0… … … … = Response: Message is a query
.000 0… … … = Opcode: Standard query (0)
… …0. … … = Truncated: Message is not truncated
… …1 … … = Recursion desired: Do query recursively
… … .0… … = Z: reserved (0)
… … …0 … = Non-authenticated data: Unacceptable
Questions: 1
Answer RRs: 0
Authority RRs: 0
Additional RRs: 0
Queries
www.msftncsi.com: type A, class IN
Name: www.msftncsi.com
[Name Length: 16]
[Label Count: 3]
Type: A (Host Address) (1)
Class: IN (0x0001)
[Retransmitted request. Original request in: 72]

Najpierw fakty, potem prawdopodobieństwo.
Nie masz routera podłaczonego do sieci.

Adres 1.0.158.38 jest z puli adresów przydzielonych firmie TP-Link.

msftnsci.com nalezy do microsoftu i jest używany przez system Windows 8.1 i starsze wersje do testowania, czy masz działające połączenie internetowe.
Win 10 ponoć uzywa msftconnecttest.com.

System Windows ma wewnętrzny składnik do wykrywania zmian w łączności sieciowej o nazwie „Network Connectivity Status Indicator” (NCSI). Ten składnik, między innymi, wykonuje testy w tle, aby ustalić, czy maszyna ma połączenie z Internetem, angażuje też, Network Location Awareness NLA), w celu określenia, czy znajduje się w domenie, czy w sieci publicznej, w celu zdefiniowania prawidłowego profilu zapory itp.

Wyglada na to ze poniewaz nie ma internetu to firmware routera uzyło adresacji tplinka do przydzielenia ci adresu. Stąd to
Źródło: 1.0.158.38
Cel : 192.168.1.100

W drugim przypadku Windows sprawdza twoje połączenie z siecią. I nie znajduje.
Co do pierwszego to jest to moje przypuszczenie.

  1. Komputer 192.168.1.100 pyta urządzenie 192.168.1.1 o adres www.msftncsi.com
  2. Urządzenie odpowiada z adresu 1.0.158.38 do 192.168.1.100
    Type: 3 (Destination unreachable)
    Code: 1 (Host unreachable)

Dlaczego z takiego adresu? Nie wiem.

To jest zapytanie DNS. Możliwe, że firmware ma zapisany ten adres.