Nodes mit merkwürdigem Verhalten

Bei der Analyse der Log-Dateien meines Gateways EU-DE-Cologne-East stoße ich regelmäßig auf Nodes, deren Verhalten ich mir nicht erklären kann. Möglicherweise wissen die Betreiber dieser Nodes auch nicht, was dieser so alles von sich gibt und wundern sich, warum die Übertragung der Daten nicht so funktioniert wie beabsichtigt.

DevAddr: 260B5AB6
Dieser Node sendete heute zwischen 11:27:58 und 11:29:09 MESZ 10 confirmed uplinks mit SF12 und gleichem FCnt und gleichem Inhalt hintereinander, wobei die ersten 5 Uplinks bestätigt wurden.

09/09-11:29:09	Data Confirmed Up	LoRa	867.5	SF12 BW125	10	Dev Addr: 260B5AB6, Size: 22
{"ADDR":"260B5AB6", "Size":22, "Rssi":-89, "snr":9, "FCtrl":["ADR":1,"ACK":0, "FPending":0, "FOptsLen":0], "FCnt":10, "FPort":10, "MIC":"7E739A62"}|A84D24A0508B1079CA
09/09-11:28:59	Data Confirmed Up	LoRa	867.9	SF12 BW125	10	Dev Addr: 260B5AB6, Size: 22
09/09-11:28:50	Data Confirmed Up	LoRa	868.1	SF12 BW125	10	Dev Addr: 260B5AB6, Size: 22
09/09-11:28:40	Data Unconfirmed Down	LoRa	867.1	SF12 BW125	48	Dev Addr: 260B5AB6, Size: 18
09/09-11:28:40	Data Confirmed Up	LoRa	867.1	SF12 BW125	10	Dev Addr: 260B5AB6, Size: 22
09/09-11:28:29	Data Unconfirmed Down	LoRa	867.5	SF12 BW125	47	Dev Addr: 260B5AB6, Size: 18
{"ADDR":"260B5AB6", "Size":18, "InvertPol":true, "FCtrl":["ADR":1,"ACK":1, "FPending":0, "FOptsLen":6], "FCnt":47, "FPort":0, "MIC":"4DB841E1"}|
09/09-11:28:29	Data Confirmed Up	LoRa	867.5	SF12 BW125	10	Dev Addr: 260B5AB6, Size: 22
{"ADDR":"260B5AB6", "Size":22, "Rssi":-89, "snr":8, "FCtrl":["ADR":1,"ACK":0, "FPending":0, "FOptsLen":0], "FCnt":10, "FPort":10, "MIC":"7E739A62"}|A84D24A0508B1079CA
09/09-11:28:18	Data Unconfirmed Down	LoRa	867.9	SF12 BW125	46	Dev Addr: 260B5AB6, Size: 18
09/09-11:28:18	Data Confirmed Up	LoRa	867.9	SF12 BW125	10	Dev Addr: 260B5AB6, Size: 22
09/09-11:28:08	Data Unconfirmed Down	LoRa	868.3	SF12 BW125	45	Dev Addr: 260B5AB6, Size: 18
09/09-11:28:08	Data Confirmed Up	LoRa	868.3	SF12 BW125	10	Dev Addr: 260B5AB6, Size: 22
09/09-11:27:58	Data Unconfirmed Down	LoRa	868.5	SF12 BW125	44	Dev Addr: 260B5AB6, Size: 18
{"ADDR":"260B5AB6", "Size":18, "InvertPol":true, "FCtrl":["ADR":1,"ACK":1, "FPending":0, "FOptsLen":6], "FCnt":44, "FPort":0, "MIC":"DF0BC775"}|
09/09-11:27:58	Data Confirmed Up	LoRa	868.5	SF12 BW125	10	Dev Addr: 260B5AB6, Size: 22
{"ADDR":"260B5AB6", "Size":22, "Rssi":-88, "snr":9, "FCtrl":["ADR":1,"ACK":0, "FPending":0, "FOptsLen":0], "FCnt":10, "FPort":10, "MIC":"7E739A62"}|A84D24A0508B1079CA

DevAddr: 260B097B
Dieser Node sendet ca. 15 Messages a 27 Bytes mit SF12 pro Stunde. Jede Message wird 3x mit gleichem FCnt, gleichem Inhalt aber auf unterschiedlichen Frequenzen ausgesendet (also insgesamt 45 Messages/h) . Dieses Verhalten scheint eine Reaktion auf einen MAC-Befehl vom TTS zu sein.`

09/09-12:28:13	Data Unconfirmed Up	LoRa	867.7	SF12 BW125	59912	Dev Addr: 260B097B, Size: 27
{"ADDR":"260B097B", "Size":27, "Rssi":-122, "snr":-20, "FCtrl":["ADR":1,"ACK":0, "FPending":0, "FOptsLen":0], "FCnt":59912, "FPort":1, "MIC":"7841ABEC"}|4325AF72CB140B3D657B8432107A
09/09-12:26:54	Data Unconfirmed Up	LoRa	868.1	SF12 BW125	59912	Dev Addr: 260B097B, Size: 27
{"ADDR":"260B097B", "Size":27, "Rssi":-121, "snr":-19, "FCtrl":["ADR":1,"ACK":0, "FPending":0, "FOptsLen":0], "FCnt":59912, "FPort":1, "MIC":"7841ABEC"}|4325AF72CB140B3D657B8432107A
09/09-12:25:28	Data Unconfirmed Up	LoRa	867.1	SF12 BW125	59912	Dev Addr: 260B097B, Size: 27
{"ADDR":"260B097B", "Size":27, "Rssi":-122, "snr":-18, "FCtrl":["ADR":1,"ACK":0, "FPending":0, "FOptsLen":0], "FCnt":59912, "FPort":1, "MIC":"7841ABEC"}|4325AF72CB140B3D657B8432107A

@wolfp
Ich kenne mich da zwar nicht wirklich aus…
Aber gibt es nicht solche Cryptominer, welche auf LoRa basieren?
Nodes die den Schürfvorgang anstoßen?

Gruß

Das habe ich noch nicht so gesehen. Spannend

DevAdr: 0100DA30
Das scheinen mehrere Nodes mit gleicher DevAdr zu sein. Sie senden mit SF12/125kHz Datenpakete mit 52 Bytes aus. Im Kölner Osten empfange ich 20 - 30 dieser Nachrichten pro Stunde mit stark unterschiedlichen RSSI/SNR - Werten.

„AppEUI“:„424152414E490000“, „DevEUI“:„0004A30B00EF1593“

Dieser Node sendet bereits seit mehreren Stunden alle 30 Sekunden einen „Join Request“ mit SF12.

DevEui: 0004A30B00EF1593
AppEUI: 424152414E490000

Möglicherweise habe ich mich oben verschrieben, oder es ist ein neuer Kandidat welcher seit einigen Tagen im Minuten-Rhythmus einen Join-Request sendet.

Edit: Hab mich doch nicht verschrieben, der ist schon seit Tagen mit verzweifelten Join-Versuchen zugange.

Nach gefühlt 100derten Versuchen gabs einen JoinAccept um 12:16. NetID: 5A155F, DevAddr: 08B29242. Das war wohl eine schwere Geburt!

Ich warte jetzt erst mal auf Félix. Am 25.1. haben wir offenes COM-Meeting, da ist er mit dabei. Mal sehen ob er dazu was sagt

1 „Gefällt mir“

Dev Addr: 260B5E83
Dieser Node sendet alle 12 Sekunden! mit SF7 19Bytes.

|02/26-12:19:48|Data Unconfirmed Up|LoRa|867.3|SF7 BW125|8750|Dev Addr: 260B5E83, Size: 19|
|{„ADDR“:„260B5E83“, „Size“:19, „Rssi“:-115, „snr“:2, „FCtrl“:[„ADR“:1,„ACK“:0, „FPending“:0, „FOptsLen“:0], „FCnt“:8750, „FPort“:5, „MIC“:„D9D0FFA6“}|559A46A1337A|

Und?!
Hat er etwas dazu gesagt?

Gruß

Er wollte es mitnehmen. Sie haben offensichtlich erkannt das solche Dinge nicht nur im TTN ein Problem darstellen.

Heute um 04:01 hat dieser Node seine Aussendungen eingestellt. Vielleicht ist die Batterie leer. Jedenfalls hat er einige 100.000 Aussendungen „geschafft“.

Eventuell ein meshtastic Node?