Interesting Traces - firewall cluster

Blue Bar separator

This trace was taken with packet_monitor on a Stratus VOS operating system. The trace shows some broadcast frames with (I think) some very strange features.
  1. The Ethernet source address has an OUI of 00:00:00. This technically belongs to Xerox but I don't believe that any Xerox NICs are being used
  2. The ID field in the IP header is 0
  3. The destination IP address has a host number of 0. Since this Ethernet destination address is the broadcast address I figure that the source is configured for a 0's broadcast.
  4. The source IP address has network and host numbers of 0s.
The network admin for this network thought that these frames belonged to a pair (00:00:00:00:fe:00 and fe:01) of Solaris systems that were running some kind of clustering firewall. The frequency of broadcast packets allowed for seamless failover if the primary member of the pair failed. He was very reluctant to give any more information for security reasons.

When I first posted this trace I was pretty sure that these packets had something to do with checkpoint firewall clusters but was unsure about the reasons for the all the zero fields. I've since been told that these packets are indeed used to keep the two members of the cluster in sync. The primary member uses the fe:00 address and the fe:01 is the secondary. The reason for all the zero fields is basically speed, they are not used so they don't need to be set.

15:25:25.676 Rcvd Ether Dst ff:ff:ff:ff:ff:ff  Src 00:00:00:00:fe:01 Type 0800
+(IP)
IP   Ver/HL 45, ToS  0, Len   40, ID    0, Flg/Frg    0, TTL 3c,  Prtl 11
          Cksum  3805, Src 00000000, Dst c0a88600
UDP from 0.0.0.0.8116 to 192.168.134.0.8116 Cksum da3d, 44. data bytes.
     offset 0  .  .  .  4  .  .  .   8  .  .  .  C  .  .  .  0...4... 8...C...
      0    1a 90  0  6  8 2c  0  1   0  2 a7 41  0  1 ff ff  <> <<, <  <'A <>>
     10    c6 d1  0  0  0  2  0  3   0  3  0 64  4  2  3  0  FQ   < <  < d<<<
     20     3  0  4  0                                       < <
 
15:25:25.821 Rcvd Ether Dst ff:ff:ff:ff:ff:ff  Src 00:00:00:00:fe:00 Type 0800
+(IP)
IP   Ver/HL 45, ToS  0, Len   40, ID    0, Flg/Frg    0, TTL 3c,  Prtl 11
          Cksum  3e05, Src 00000000, Dst c0a88000
UDP from 0.0.0.0.8116 to 192.168.128.0.8116 Cksum 45fc, 44. data bytes.
     offset 0  .  .  .  4  .  .  .   8  .  .  .  C  .  .  .  0...4... 8...C...
      0    1a 90  0  6  8 2c  0  1   0  1 45 83  0  0 ff ff  <> <<, <    >>
     10    c6 d1  0  0  0  2  0  3   0  3  0 64  4  2  3  0  FQ   < <  < d<<<
     20     3  0  0  2                                       <  <
 
15:25:29.488 Rcvd Ether Dst ff:ff:ff:ff:ff:ff  Src 00:00:00:00:fe:01 Type 0800
+(IP)
IP   Ver/HL 45, ToS  0, Len   40, ID    0, Flg/Frg    0, TTL 3c,  Prtl 11
          Cksum  3805, Src 00000000, Dst c0a88600
UDP from 0.0.0.0.8116 to 192.168.134.0.8116 Cksum da3d, 44. data bytes.
     offset 0  .  .  .  4  .  .  .   8  .  .  .  C  .  .  .  0...4... 8...C...
      0    1a 90  0  6  8 2c  0  1   0  2 a7 41  0  1 ff ff  <> <<, <  <'A <>>
     10    c6 d1  0  0  0  2  0  3   0  3  0 64  4  2  3  0  FQ   < <  < d<<<
     20     3  0  4  0                                       < <
 
15:25:29.491 Rcvd Ether Dst ff:ff:ff:ff:ff:ff  Src 00:00:00:00:fe:01 Type 0800
+(IP)
IP   Ver/HL 45, ToS  0, Len   40, ID    0, Flg/Frg    0, TTL 3c,  Prtl 11
          Cksum  3805, Src 00000000, Dst c0a88600
UDP from 0.0.0.0.8116 to 192.168.134.0.8116 Cksum 1561, 44. data bytes.
     offset 0  .  .  .  4  .  .  .   8  .  .  .  C  .  .  .  0...4... 8...C...
      0    1a 90  0  6  8 2c  0  6   0  2 a7 41  0  1 ff ff  <> <<, <  <'A <>>
     10    c6 d1  0  0  0  0  0  1   0  3 ba 29 d2 68  0  0  FQ     <  <:)Rh
     20    c0 a8 86  6                                       @(><
 
15:25:29.493 Rcvd Ether Dst ff:ff:ff:ff:ff:ff  Src 00:00:00:00:fe:00 Type 0800
+(IP)
IP   Ver/HL 45, ToS  0, Len   40, ID    0, Flg/Frg    0, TTL 3c,  Prtl 11
          Cksum  3e05, Src 00000000, Dst c0a88000
UDP from 0.0.0.0.8116 to 192.168.128.0.8116 Cksum 45fd, 44. data bytes.
     offset 0  .  .  .  4  .  .  .   8  .  .  .  C  .  .  .  0...4... 8...C...
      0    1a 90  0  6  8 2c  0  1   0  1 45 83  0  0 ff ff  <> <<, <    >>
     10    c6 d1  0  0  0  2  0  3   0  3  0 64  4  2  3  0  FQ   < <  < d<<<
     20     3  0  0  1                                       <  <
 
15:25:30.860 Rcvd Ether Dst ff:ff:ff:ff:ff:ff  Src 00:00:00:00:fe:00 Type 0800
+(IP)
IP   Ver/HL 45, ToS  0, Len   40, ID    0, Flg/Frg    0, TTL 3c,  Prtl 11
          Cksum  3e05, Src 00000000, Dst c0a88000
UDP from 0.0.0.0.8116 to 192.168.128.0.8116 Cksum 7d21, 44. data bytes.
     offset 0  .  .  .  4  .  .  .   8  .  .  .  C  .  .  .  0...4... 8...C...
      0    1a 90  0  6  8 2c  0  6   0  1 45 83  0  0 ff ff  <> <<, <    >>
     10    c6 d1  0  0  0  0  0  1   0  3 ba 29 d2 68  0  0  FQ     <  <:)Rh
     20    c0 a8 86  6                                       @(><
 
15:25:30.863 Rcvd Ether Dst ff:ff:ff:ff:ff:ff  Src 00:00:00:00:fe:01 Type 0800
+(IP)
IP   Ver/HL 45, ToS  0, Len   40, ID    0, Flg/Frg    0, TTL 3c,  Prtl 11
          Cksum  3805, Src 00000000, Dst c0a88600
UDP from 0.0.0.0.8116 to 192.168.134.0.8116 Cksum dd3d, 44. data bytes.
     offset 0  .  .  .  4  .  .  .   8  .  .  .  C  .  .  .  0...4... 8...C...
      0    1a 90  0  6  8 2c  0  1   0  2 a7 41  0  1 ff ff  <> <<, <  <'A <>>
     10    c6 d1  0  0  0  2  0  3   0  3  0 64  4  2  3  0  FQ   < <  < d<<<
     20     3  0  1  0                                       < <
 
15:25:32.319 Rcvd Ether Dst ff:ff:ff:ff:ff:ff  Src 00:00:00:00:fe:00 Type 0800
+(IP)
IP   Ver/HL 45, ToS  0, Len   40, ID    0, Flg/Frg    0, TTL 3c,  Prtl 11
          Cksum  3e05, Src 00000000, Dst c0a88000
UDP from 0.0.0.0.8116 to 192.168.128.0.8116 Cksum 45fc, 44. data bytes.
     offset 0  .  .  .  4  .  .  .   8  .  .  .  C  .  .  .  0...4... 8...C...
      0    1a 90  0  6  8 2c  0  1   0  1 45 83  0  0 ff ff  <> <<, <    >>
     10    c6 d1  0  0  0  2  0  3   0  3  0 64  4  2  3  0  FQ   < <  < d<<<
     20     3  0  0  2                                       <  <
 
15:25:32.321 Rcvd Ether Dst ff:ff:ff:ff:ff:ff  Src 00:00:00:00:fe:01 Type 0800
+(IP)
IP   Ver/HL 45, ToS  0, Len   40, ID    0, Flg/Frg    0, TTL 3c,  Prtl 11
          Cksum  3805, Src 00000000, Dst c0a88600
UDP from 0.0.0.0.8116 to 192.168.134.0.8116 Cksum da3d, 44. data bytes.
     offset 0  .  .  .  4  .  .  .   8  .  .  .  C  .  .  .  0...4... 8...C...
      0    1a 90  0  6  8 2c  0  1   0  2 a7 41  0  1 ff ff  <> <<, <  <'A <>>
     10    c6 d1  0  0  0  2  0  3   0  3  0 64  4  2  3  0  FQ   < <  < d<<<
     20     3  0  4  0                                       < <
 
15:25:33.699 Rcvd Ether Dst ff:ff:ff:ff:ff:ff  Src 00:00:00:00:fe:00 Type 0800
+(IP)
IP   Ver/HL 45, ToS  0, Len   40, ID    0, Flg/Frg    0, TTL 3c,  Prtl 11
          Cksum  3e05, Src 00000000, Dst c0a88000
UDP from 0.0.0.0.8116 to 192.168.128.0.8116 Cksum 45fc, 44. data bytes.
     offset 0  .  .  .  4  .  .  .   8  .  .  .  C  .  .  .  0...4... 8...C...
      0    1a 90  0  6  8 2c  0  1   0  1 45 83  0  0 ff ff  <> <<, <    >>
     10    c6 d1  0  0  0  2  0  3   0  3  0 64  4  2  3  0  FQ   < <  < d<<<
     20     3  0  0  2                                       <  <
 
15:25:33.701 Rcvd Ether Dst ff:ff:ff:ff:ff:ff  Src 00:00:00:00:fe:01 Type 0800
+(IP)
IP   Ver/HL 45, ToS  0, Len   40, ID    0, Flg/Frg    0, TTL 3c,  Prtl 11
          Cksum  3805, Src 00000000, Dst c0a88600
UDP from 0.0.0.0.8116 to 192.168.134.0.8116 Cksum da3d, 44. data bytes.
     offset 0  .  .  .  4  .  .  .   8  .  .  .  C  .  .  .  0...4... 8...C...
      0    1a 90  0  6  8 2c  0  1   0  2 a7 41  0  1 ff ff  <> <<, <  <'A <>>
     10    c6 d1  0  0  0  2  0  3   0  3  0 64  4  2  3  0  FQ   < <  < d<<<
     20     3  0  4  0                                       < <
 
15:25:33.703 Rcvd Ether Dst ff:ff:ff:ff:ff:ff  Src 00:00:00:00:fe:01 Type 0800
+(IP)
IP   Ver/HL 45, ToS  0, Len   40, ID    0, Flg/Frg    0, TTL 3c,  Prtl 11
          Cksum  3805, Src 00000000, Dst c0a88600
UDP from 0.0.0.0.8116 to 192.168.134.0.8116 Cksum 1561, 44. data bytes.
     offset 0  .  .  .  4  .  .  .   8  .  .  .  C  .  .  .  0...4... 8...C...
      0    1a 90  0  6  8 2c  0  6   0  2 a7 41  0  1 ff ff  <> <<, <  <'A <>>
     10    c6 d1  0  0  0  0  0  1   0  3 ba 29 d2 68  0  0  FQ     <  <:)Rh
     20    c0 a8 86  6                                       @(><
 
15:25:34.994 Rcvd Ether Dst ff:ff:ff:ff:ff:ff  Src 00:00:00:00:fe:00 Type 0800
+(IP)
IP   Ver/HL 45, ToS  0, Len   40, ID    0, Flg/Frg    0, TTL 3c,  Prtl 11
          Cksum  3e05, Src 00000000, Dst c0a88000
UDP from 0.0.0.0.8116 to 192.168.128.0.8116 Cksum 45fd, 44. data bytes.
     offset 0  .  .  .  4  .  .  .   8  .  .  .  C  .  .  .  0...4... 8...C...
      0    1a 90  0  6  8 2c  0  1   0  1 45 83  0  0 ff ff  <> <<, <    >>
     10    c6 d1  0  0  0  2  0  3   0  3  0 64  4  2  3  0  FQ   < <  < d<<<
     20     3  0  0  1                                       <  <
 
15:25:34.996 Rcvd Ether Dst ff:ff:ff:ff:ff:ff  Src 00:00:00:00:fe:00 Type 0800
+(IP)
IP   Ver/HL 45, ToS  0, Len   40, ID    0, Flg/Frg    0, TTL 3c,  Prtl 11
          Cksum  3e05, Src 00000000, Dst c0a88000
UDP from 0.0.0.0.8116 to 192.168.128.0.8116 Cksum 7d21, 44. data bytes.
     offset 0  .  .  .  4  .  .  .   8  .  .  .  C  .  .  .  0...4... 8...C...
      0    1a 90  0  6  8 2c  0  6   0  1 45 83  0  0 ff ff  <> <<, <    >>
     10    c6 d1  0  0  0  0  0  1   0  3 ba 29 d2 68  0  0  FQ     <  <:)Rh
     20    c0 a8 86  6                                       @(><
 
15:25:37.478 Rcvd Ether Dst ff:ff:ff:ff:ff:ff  Src 00:00:00:00:fe:01 Type 0800
+(IP)
IP   Ver/HL 45, ToS  0, Len   40, ID    0, Flg/Frg    0, TTL 3c,  Prtl 11
          Cksum  3805, Src 00000000, Dst c0a88600
UDP from 0.0.0.0.8116 to 192.168.134.0.8116 Cksum dd3d, 44. data bytes.
     offset 0  .  .  .  4  .  .  .   8  .  .  .  C  .  .  .  0...4... 8...C...
      0    1a 90  0  6  8 2c  0  1   0  2 a7 41  0  1 ff ff  <> <<, <  <'A <>>
     10    c6 d1  0  0  0  2  0  3   0  3  0 64  4  2  3  0  FQ   < <  < d<<<
     20     3  0  1  0                                       < <
 
15:25:37.480 Rcvd Ether Dst ff:ff:ff:ff:ff:ff  Src 00:00:00:00:fe:00 Type 0800
+(IP)
IP   Ver/HL 45, ToS  0, Len   40, ID    0, Flg/Frg    0, TTL 3c,  Prtl 11
          Cksum  3e05, Src 00000000, Dst c0a88000
UDP from 0.0.0.0.8116 to 192.168.128.0.8116 Cksum 45fc, 44. data bytes.
     offset 0  .  .  .  4  .  .  .   8  .  .  .  C  .  .  .  0...4... 8...C...
      0    1a 90  0  6  8 2c  0  1   0  1 45 83  0  0 ff ff  <> <<, <    >>
     10    c6 d1  0  0  0  2  0  3   0  3  0 64  4  2  3  0  FQ   < <  < d<<<
     20     3  0  0  2                                       <  <
 
15:25:39.183 Rcvd Ether Dst ff:ff:ff:ff:ff:ff  Src 00:00:00:00:fe:01 Type 0800
+(IP)
IP   Ver/HL 45, ToS  0, Len   40, ID    0, Flg/Frg    0, TTL 3c,  Prtl 11
          Cksum  3805, Src 00000000, Dst c0a88600
UDP from 0.0.0.0.8116 to 192.168.134.0.8116 Cksum da3d, 44. data bytes.
     offset 0  .  .  .  4  .  .  .   8  .  .  .  C  .  .  .  0...4... 8...C...
      0    1a 90  0  6  8 2c  0  1   0  2 a7 41  0  1 ff ff  <> <<, <  <'A <>>
     10    c6 d1  0  0  0  2  0  3   0  3  0 64  4  2  3  0  FQ   < <  < d<<<
     20     3  0  4  0                                       < <
 
15:25:39.186 Rcvd Ether Dst ff:ff:ff:ff:ff:ff  Src 00:00:00:00:fe:00 Type 0800
+(IP)
IP   Ver/HL 45, ToS  0, Len   40, ID    0, Flg/Frg    0, TTL 3c,  Prtl 11
          Cksum  3e05, Src 00000000, Dst c0a88000
UDP from 0.0.0.0.8116 to 192.168.128.0.8116 Cksum 45fc, 44. data bytes.
     offset 0  .  .  .  4  .  .  .   8  .  .  .  C  .  .  .  0...4... 8...C...
      0    1a 90  0  6  8 2c  0  1   0  1 45 83  0  0 ff ff  <> <<, <    >>
     10    c6 d1  0  0  0  2  0  3   0  3  0 64  4  2  3  0  FQ   < <  < d<<<
     20     3  0  0  2                                       <  <


Blue Bar separator
This page was last modified on 03-12-12
mailbox Send comments and suggestions
to ndav1@cox.net