¿Alguien puede adivinar a qué protocolo pertenecen estos paquetes?
https://stackoverflow.com/questions/1823271
-
22-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Vemos que estos paquetes se inyectan en un canal FTP-DTP durante una transferencia de archivos de enlace descendente en la red móvil NEXTG de Telstra. No estamos seguros de si se trata de paquetes de nivel de red, un problema con nuestro módem 3G (basado en HC25) o algo así como la inyección de nuestro firewall en la transmisión.
Usando una herramienta, notamos que el encuadre PPP falla con errores de longitud de protocolo, por lo que es probable que sean paquetes de red móvil.
Espero que alguien aquí pueda identificar la firma de los paquetes para poder buscar esto con el proveedor apropiado.
Definitivamente hay un formato para estos paquetes: -
Paquete1: 00 00 00 24 c4 b8 7b 1a 00 90 7f 43 0f a1 08 00 45 00 01 10 f4 4e 00 00 40 06 2f 13 cb 7a 9d e9 7b d0 71 52 7a ed 04 06 8c 61 5d a9 01 f7 0c eb 50 10 ff ff 58 b9 00 00
Paquete2: 00 00 00 24 c4 b8 7b 1a 00 90 7f 43 0f a1 08 00 45 00 00 ff 6b 50 00 00 40 06 b8 22 cb 7a 9d e9 7b d0 71 52 7a ed 04 06 8c 61 7b 82 01 f7 0c eb 50 10 ff ff a3 79 00 00
Paquete3: 00 00 00 24 c4 b8 7b 1a 00 90 7f 43 0f a1 08 00 45 00 02 20 5b 50 00 00 40 06 c7 01 cb 7a 9d e9 7b d0 71 52 7a ed 04 06 8c 61 7c 59 01 f7 0c eb 50 10 ff ff e2 5d 00 00
Paquete4: 00 00 00 24 c4 b8 7b 1a 00 90 7f 43 0f a1 08 00 45 00 01 38 d8 52 00 00 40 06 4a e7 cb 7a 9d e9 7b d0 71 52 7a ed 04 06 8c 62 42 f9 01 f7 0c eb 50 10 ff ff 20 91 00 00
Paquete5: 00 00 00 24 c4 b8 7b 1a 00 90 7f 43 0f a1 08 00 45 00 00 d0 4d 58 00 00 40 06 d6 49 cb 7a 9d e9 7b d0 71 52 7a ee 04 08 4b fb 0b 8f 03 5d 51 1a 50 10 ff ff e9 88 00 00
Solución
Estos se ven como paquetes TCP ordinarios pero con dos bytes adicionales de 00 etiquetados en el frente. No estoy seguro de por qué sucedería eso, pero parecen ser de 00-90-7f-43-0f-a1 (Watchguard) a 00-24-c4-b8-7b-1a (Cisco).
El encabezado IP es 45 00 01 10 f4 4e 00 00 40 06 2f 13 cb 7a 9d e9 7b d0 71 52
El encabezado TCP es 7a ed 04 06 8c 61 5d a9 01 f7 0c eb 50 10 ff ff 58 b9 00 00
Para que pueda obtener el resto de los detalles desde allí.
Otros consejos
Convertí su fragmento de rastreo de paquetes en un formato que text2pcap para poder convertirlos al formato pcap para verlos en Wireshark (una herramienta muy útil de captura y análisis de paquetes ):
Parece una especie de tráfico de multidifusión IPv4 en una suposición muy aproximada. Esto es lo que obtuve del primer paquete (el resto apareció como malformado):
No. Time Source Destination Protocol Info
1 0.000000 7b:1a:00:90:7f:43 00:00:00_24:c4:b8 0x0fa1 Ethernet II
Frame 1 (31 bytes on wire, 31 bytes captured)
Arrival Time: Dec 1, 2009 00:33:05.000000000
[Time delta from previous captured frame: 0.000000000 seconds]
[Time delta from previous displayed frame: 0.000000000 seconds]
[Time since reference or first frame: 0.000000000 seconds]
Frame Number: 1
Frame Length: 31 bytes
Capture Length: 31 bytes
[Frame is marked: False]
[Protocols in frame: eth:data]
Ethernet II, Src: 7b:1a:00:90:7f:43 (7b:1a:00:90:7f:43), Dst: 00:00:00_24:c4:b8 (00:00:00:24:c4:b8)
Destination: 00:00:00_24:c4:b8 (00:00:00:24:c4:b8)
Address: 00:00:00_24:c4:b8 (00:00:00:24:c4:b8)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
Source: 7b:1a:00:90:7f:43 (7b:1a:00:90:7f:43)
Address: 7b:1a:00:90:7f:43 (7b:1a:00:90:7f:43)
.... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast)
.... ..1. .... .... .... .... = LG bit: Locally administered address (this is NOT the factory default)
Type: Unknown (0x0fa1)
Data (17 bytes)
0000 08 00 45 00 01 10 f4 4e 00 00 40 06 2f 13 cb 7a ..E....N..@./..z
0010 9d .
Data: 080045000110F44E000040062F13CB7A9D
00: 24: c4 es una NIC de Cisco y 00: 90: 7F es una NIC de WatchGuard.
Del Registro IEEE OUI .
Cuánta ayuda podría ser ... no lo sé. Por lo tanto, podría ser un intento de conexión VPN.
Como ya han sido decodificados por otros:
- primeros 6 + 6 + 2 bytes que identifican NIC y Ethernet II.
- bytes 0x0800 EtherType indicando que es IP. http://en.wikipedia.org/wiki/EtherType
- siguiente octeto que comienza con nibble " 4 " es IPv4
- etc.
