Auteur Sujet: igmp querier de chez SFR ayant 1.1.1.1 comme adresse (Lu 2387 fois)

maximushugus · « **le:** 22 avril 2021 à 23:47:59 »

Bonsoir à tous.
Je viens de découvrir un comportement que je trouve étrange sur le réseau SFR en FTTH.
J'ai un bypass de ma neufbox, je peux donc analyser en direct ce qui arrive sur la patte WAN de mon routeur.
En filtrant les packets pour ne montrer que du mutlicast, je me suis rendu compte que (en tout cas chez moi) l'IGMP querier de chez SFR porte 1.1.1.1 comme adresse IPv4.
Je trouve cela étrange, et je doute fortement que l'adresse 1.1.1.1 (normalement le DNS Cloudflare) appartiennent à SFR ou que ce soit le DNS Cloudflare qui joue le rôle d'IGMP querier sur le réseau SFR.
Qu'en pensez vous ?
D’ailleurs on voit que mon routeur (avec l'IP masquée) lui répond qu'il adhère à 2 groupes multicast dont je ne connais pas le but.
Voici la capture wireshark :

kgersen · « **Réponse #1 le:** 23 avril 2021 à 00:30:54 »

C'est dans un VLAN a part non ? sinon l'ip source importe souvent peu pour de l'igmp. Ca sert juste a ouvrir des flux multicast dans les switch/routeur en amont et c'est l'adresse MAC qui importe pas l'IP (elle joue que si y'a plusieurs queriers pour l’élection par exemple).
Cela n'a pas d'impact sur le trafic unicast.

224.2.127.254 c'est SAP ( https://www.ietf.org/rfc/rfc2974.txt ) qui permet de lister les flux multicast dispo.
et l'autre c'est pour l'UPnP il me semble.

maximushugus · « **Réponse #2 le:** 23 avril 2021 à 00:40:29 »

Non non, c'est sur mon interface Wan non marquée par un VLAN.

Ah oui j'ai bien un serveur SAP sur mon réseau, et pour l'Upnp je suis avoir quelque-chose sur mon réseau qui demande.

Sinon oui je sais bien que l'IP importe peu en multicast, mais c'est un peu crade d'utiliser des IP qui ne leur appartiennent pas, surtout quand elles sont attribuées pour des trucs aussi largement utilisé. C'est probablement comme ça qu'on se retrouve avec des conflits/erreurs de routage. Il me semble que récemment chez un opérateur SFR ou free (je sais plus) il y avait eu des difficultés pour accéder à cloudflaredns.

kgersen · « **Réponse #3 le:** 23 avril 2021 à 00:45:46 »

je ne pense pas que l'IP soit sur l'interface wan de cet équipement donc utilisée pour autre chose.
souvent c'est 0.0.0.0 qui est utilisée d'ailleurs.
ca importe peu et ce n'est pas grave si c'est juste l'igmp proxy qui utilise cette IP.

d'ailleurs tu peux joindre https://1.1.1.1/ normalement non ?

maximushugus · « **Réponse #4 le:** 23 avril 2021 à 00:51:18 »

J'accède bien sans problème à cette adresse. Je précise que ma capture a bien été réalisée directement sur mon routeur sur son interface wan, donc l'IP source semble bien être 1.1.1.1 (à mon sens). Ça ne pose chez moi aucun soucis cette configuration de SFR, c'est juste que je trouvais ça étrange

kgersen · « **Réponse #5 le:** 23 avril 2021 à 12:06:57 »

Citation de: maximushugus le 23 avril 2021 à 00:51:18

J'accède bien sans problème à cette adresse. Je précise que ma capture a bien été réalisée directement sur mon routeur sur son interface wan, donc l'IP source semble bien être 1.1.1.1 (à mon sens). Ça ne pose chez moi aucun soucis cette configuration de SFR, c'est juste que je trouvais ça étrange

Tu vois passé autre chose que de l'igmp avec 1.1.1.1 comme IP source ? un igmp proxy peut se configurer une IP différente de celle de l'interface au niveau de l'OS (parametre "altnet" de la configuration).

regarde plutôt quelle adresse MAC émet avec 1.1.1.1 comme IP source et regarde si cette même MAC utilise aussi une autre IP source.

maximushugus · « **Réponse #6 le:** 23 avril 2021 à 12:17:59 »

Je viens de faire une capture Wireshark en filtrant uniquement avec l'adresse mac qui joue le rôle d'IGMP querier en 1.1.1.1 : les seuls packets que je reçois de cette adresse mac ont comme IP source 1.1.1.1. D'ailleurs je ne reçois de cette adresse mac que les requêtes IGMP et rien d'autre.

J'ai essayé de filtrer en excluant l'adresse mac qui est probablement l'OLT (un Ericsson) : je n'obtiens plus que les requêtes IGMP en réponse à 1.1.1.1 sur l'adresse mac en question qui correspond à du matériel Thomson

kgersen · « **Réponse #7 le:** 23 avril 2021 à 12:24:45 »

oui donc pas de souci alors.

maximushugus · « **Réponse #8 le:** 23 avril 2021 à 12:31:00 »

Oui cela ne semble pas poser de problème, c'est juste étonnant comme choix de prendre 1.1.1.1 comme IP d'IGMP. Peut être parce que cette IP est moins susceptible d'être bloquée de par son statut d'utilisation comme DNS en temps normal ?

kgersen · « **Réponse #9 le:** 23 avril 2021 à 13:17:04 »

Citation de: maximushugus le 23 avril 2021 à 12:31:00

Oui cela ne semble pas poser de problème, c'est juste étonnant comme choix de prendre 1.1.1.1 comme IP d'IGMP. Peut être parce que cette IP est moins susceptible d'être bloquée de par son statut d'utilisation comme DNS en temps normal ?

non c'est juste que c'est simple a taper et a se rappeler...et c'est citer dans beaucoup d'exemples (chez Cisco notamment) que les gens recopient quand il mettent en prod...
1.1.1.1 fait partie du bloc 1.0.0.0/8 qui jusqu'en 2010 était non assigné d'ou son utilisation un peu sauvage.

Dans une zone privée comme l'igmp chez SFR ca ne pose pas de problème particulier.

maximushugus · « **Réponse #10 le:** 23 avril 2021 à 13:23:37 »

ok je comprends. Je m'attendais à ce qu'ils utilisent un IP locale ou de leur AS.
Au final ça ne change rien, ça m'avait juste fait tiqué de voir que je recevais des requêtes igmp de cette adresse 🙂