Kann jemand erraten, was Protokoll diese Pakete gehören zu?
-
22-07-2019 - |
Frage
Wir sehen diese Pakete in einem FTP-DTP-Kanal während einer Downlink-Dateiübertragung auf Telstra NextG Mobilfunknetz eingespritzt werden. Wir sind nicht sicher, ob diese Netzebene-Pakete, ein Problem mit unserem 3G-Modem (HC25-basierten) oder so etwas wie unsere Firewall-Injektion in dem Strom sind.
Mit einem Werkzeug, das wir festgestellt, dass das PPP-Framing mit Protokollänge Fehlern fehl, so sind sie meistens wahrscheinlich mobile Netzwerk-Pakete.
Ich bin die Hoffnung, jemand hier kann die Signatur der Pakete identifizieren, so dass ich dies oben mit dem entsprechenden Anbieter jagen kann.
Es ist auf jeden Fall ein Format dieser Pakete: -
Paket1: 00 00 00 24 c4 b8 7b 1a 00 90 7F 43 0F A1 08 00 45 00 01 10 f4 4e 00 00 40 06 2f 13 cb 7a 9d e9 7b d0 71 52 7a ed 04 06 8c 61 5d a9 01 f7 0C eb 50 10 ff ff 58 b9 00 00
Paket2: 00 00 00 24 c4 b8 7b 1a 00 90 7F 43 0F A1 08 00 45 00 00 ff 6b 50 00 00 40 06 B8 22 cb 7a 9d e9 7b d0 71 52 7a ED 04 06 8c 61 7b 82 01 f7 0C eb 50 10 ff ff a3 79 00 00
Paket3: 00 00 00 24 c4 b8 7b 1a 00 90 7F 43 0F A1 08 00 45 00 02 20 5b 50 00 00 40 06 c7 01 cb 7a 9d e9 7b d0 71 52 7a ed 04 06 8c 61 7c 59 01 f7 0C eb 50 10 ff ff e2 5d 00 00
Packet4: 00 00 00 24 c4 b8 7b 1a 00 90 7F 43 0F A1 08 00 45 00 01 38 D8 52 00 00 40 06 4a e7 cb 7a 9d e9 7b d0 71 52 7a ed 04 06 8c 62 42 F9 01 f7 0C eb 50 10 ff ff 20 91 00 00
Packet5: 00 00 00 24 c4 b8 7b 1a 00 90 7F 43 0F A1 08 00 45 00 00 d0 4d 58 00 00 40 06 D6 49 cb 7a 9d e9 7b d0 71 52 7a ee 04 08 4b fb 0B 8f 03 5d 51 1a 50 10 ff ff e9 88 00 00
Lösung
Diese sieht aus wie gewöhnliche TCP-Pakete, aber mit zwei zusätzlichen 00 Bytes an der Vorderseite markiert auf. Nicht sicher, warum das passieren würde, aber sie scheinen aus 00-90-7f-43-0f-a1 (Watchguard) zu 00-24-c4-b8-7b-1a (Cisco) zu sein.
IP-Header ist 45 00 01 10 f4 4e 00 00 40 06 2f 13 cb 7a 9d e9 7b d0 71 52
TCP Header 7a ED 04 06 61 5d 8c a9 01 f7 0C eb 50 10 ff ff b9 58 00 00
So ermitteln Sie den Rest der Details von dort bekommen können.
Andere Tipps
I umgewandelt Ihr Paket Trace-Schnipsel in ein Format verstanden von text2pcap so zum Betrachten in Wireshark (sehr praktisch Paketerfassung und Analyse-Tool kann ich sie in das PCAP-Format konvertieren ):
Sieht aus wie eine Art von IPv4-Multicast-Datenverkehr in einer sehr groben Schätzung. Hier ist, was ich von dem ersten Paket bekam (Rest kam als malformed):
No. Time Source Destination Protocol Info
1 0.000000 7b:1a:00:90:7f:43 00:00:00_24:c4:b8 0x0fa1 Ethernet II
Frame 1 (31 bytes on wire, 31 bytes captured)
Arrival Time: Dec 1, 2009 00:33:05.000000000
[Time delta from previous captured frame: 0.000000000 seconds]
[Time delta from previous displayed frame: 0.000000000 seconds]
[Time since reference or first frame: 0.000000000 seconds]
Frame Number: 1
Frame Length: 31 bytes
Capture Length: 31 bytes
[Frame is marked: False]
[Protocols in frame: eth:data]
Ethernet II, Src: 7b:1a:00:90:7f:43 (7b:1a:00:90:7f:43), Dst: 00:00:00_24:c4:b8 (00:00:00:24:c4:b8)
Destination: 00:00:00_24:c4:b8 (00:00:00:24:c4:b8)
Address: 00:00:00_24:c4:b8 (00:00:00:24:c4:b8)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
Source: 7b:1a:00:90:7f:43 (7b:1a:00:90:7f:43)
Address: 7b:1a:00:90:7f:43 (7b:1a:00:90:7f:43)
.... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast)
.... ..1. .... .... .... .... = LG bit: Locally administered address (this is NOT the factory default)
Type: Unknown (0x0fa1)
Data (17 bytes)
0000 08 00 45 00 01 10 f4 4e 00 00 40 06 2f 13 cb 7a ..E....N..@./..z
0010 9d .
Data: 080045000110F44E000040062F13CB7A9D
00: 24: c4 ist ein NIC von Cisco und 00: 90: 7F eine NIC von Watchguard ist
.Von dem IEEE OUI Registry .
Wie viel Hilfe, die ... nicht wissen könnte. Könne daher eine versuchte VPN-Verbindung sein.
Wie bereits von anderen decodiert:
- erstes 6 + 6 + 2 Bytes identifizieren NIC und Ethernet II.
- Bytes 0x0800 EtherType zu sagen, dass es IP. http://en.wikipedia.org/wiki/EtherType
- ab dem nächsten Oktett mit knabbern "4" ist IPv4
- etc.