谁能猜出这些数据包属于什么协议吗?
https://stackoverflow.com/questions/1823271
-
22-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
我们看到这些数据包在 Telstra 的 NEXTG 移动网络上的下行文件传输期间被注入到 FTP-DTP 通道中。我们不确定这些是否是网络级数据包、我们的 3G 调制解调器(基于 HC25)的问题或类似我们的防火墙注入流中的问题。
使用工具我们注意到 PPP 成帧因协议长度错误而失败,因此它们很可能是移动网络数据包。
我希望这里有人能够识别数据包的签名,以便我可以与适当的供应商联系。
这些数据包肯定有一种格式:-
数据包1:00 00 00 24 c4 b8 7b 1a 00 90 7f 43 0f a1 08 00 45 00 01 10 f4 4e 00 00 40 06 2f 13 cb 7a 9d e9 7b d0 71 52 7a ed 04 06 8c 61 5d a9 01 f7 0c eb 50 10 ff ff 58 b9 00 00
数据包2:00 00 00 24 c4 b8 7b 1a 00 90 7f 43 0f a1 08 00 45 00 00 ff 6b 50 00 00 40 06 b8 22 cb 7a 9d e9 7b d0 71 52 7a ed 04 06 8c 61 7b 82 01 f7 0c EB 50 10 FF FF A3 79 00 00
数据包3:00 00 00 24 c4 b8 7b 1a 00 90 7f 43 0f a1 08 00 45 00 02 20 5b 50 00 00 40 06 c7 01 cb 7a 9d e9 7b d0 71 52 7a ed 04 06 8c 61 7c 59 01 f7 0c EB 50 10 ff ff e2 5d 00 00
数据包4:00 00 00 24 c4 b8 7b 1a 00 90 7f 43 0f a1 08 00 45 00 01 38 d8 52 00 00 40 06 4a e7 cb 7a 9d e9 7b d0 71 52 7a ed 04 06 8c 62 42 f9 01 f7 0c eb 50 10 FF FF 20 91 00 00
数据包5:00 00 00 24 c4 b8 7b 1a 00 90 7f 43 0f a1 08 00 45 00 00 d0 4d 58 00 00 40 06 d6 49 cb 7a 9d e9 7b d0 71 52 7a ee 04 08 4b fb 0b 8f 03 5d 51 1a 50 10 ff ff e9 88 00 00
解决方案
这些看起来像普通的TCP数据包,但与在前面标记上两个额外的00字节。不知道为什么会发生,但他们似乎是从00-90-7f-43-0f-A1(Watchguard的),以00-24-C4-b8-7b-1A(思科)。
IP报头是45 00 01 10 F4 00 4E 00 40 06 2F 13 CB 7A 9D E9 7B D0 71 52
TCP报头是图7a ED 04 06 8C 61 5D A9 01 F7 0C EB 50个10 FF FF 58 B9 00 00
所以,你可以从那里得到的其余的细节。
其他提示
我您的转换包跟踪片断到由 text2pcap 所以我可以将它们转换成PCAP格式用于查看 Wireshark的(一个非常方便的数据包捕获和分析工具):
看起来像是某种IPv4的组播业务中的一个非常粗略的估计。下面是我从第一包了(其余想出了为格式不正确):
No. Time Source Destination Protocol Info
1 0.000000 7b:1a:00:90:7f:43 00:00:00_24:c4:b8 0x0fa1 Ethernet II
Frame 1 (31 bytes on wire, 31 bytes captured)
Arrival Time: Dec 1, 2009 00:33:05.000000000
[Time delta from previous captured frame: 0.000000000 seconds]
[Time delta from previous displayed frame: 0.000000000 seconds]
[Time since reference or first frame: 0.000000000 seconds]
Frame Number: 1
Frame Length: 31 bytes
Capture Length: 31 bytes
[Frame is marked: False]
[Protocols in frame: eth:data]
Ethernet II, Src: 7b:1a:00:90:7f:43 (7b:1a:00:90:7f:43), Dst: 00:00:00_24:c4:b8 (00:00:00:24:c4:b8)
Destination: 00:00:00_24:c4:b8 (00:00:00:24:c4:b8)
Address: 00:00:00_24:c4:b8 (00:00:00:24:c4:b8)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
Source: 7b:1a:00:90:7f:43 (7b:1a:00:90:7f:43)
Address: 7b:1a:00:90:7f:43 (7b:1a:00:90:7f:43)
.... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast)
.... ..1. .... .... .... .... = LG bit: Locally administered address (this is NOT the factory default)
Type: Unknown (0x0fa1)
Data (17 bytes)
0000 08 00 45 00 01 10 f4 4e 00 00 40 06 2f 13 cb 7a ..E....N..@./..z
0010 9d .
Data: 080045000110F44E000040062F13CB7A9D
正如其他人已经解码的:
- 前 6+6+2 字节标识 NIC 和以太网 II。
- 字节 0x0800 EtherType 表明它是 IP。 http://en.wikipedia.org/wiki/EtherType
- 下一个以半字节“4”开头的八位字节是 IPv4
- ETC。
