Quelqu'un peut-il deviner à quel protocole appartiennent ces paquets?

StackOverflow https://stackoverflow.com/questions/1823271

  •  22-07-2019
  •  | 
  •  

Question

Nous voyons ces paquets être injectés dans un canal FTP-DTP lors d'un transfert de fichier en liaison descendante sur le réseau mobile NEXTG de Telstra. Nous ne savons pas s'il s'agit de paquets au niveau du réseau, d'un problème avec notre modem 3G (basé sur HC25) ou de quelque chose comme notre pare-feu qui injecte dans le flux.

À l'aide d'un outil, nous avons constaté que le cadrage PPP échouait avec des erreurs de longueur de protocole. Il s'agissait donc probablement de paquets de réseau mobile.

J'espère que quelqu'un ici pourra identifier la signature des paquets afin de pouvoir en discuter avec le fournisseur approprié.

Il existe certainement un format pour ces paquets: -

Paquet1: 00 00 00 24 24 c4 b8 7b 1a 00 90 7f 43 0a 1 08 00 45 00 01 10 f4 4e 00 00 40 06 2f 13 cb 7a 9d e9 7b d0 71 52 52aa 04 06 8c 61 5d a9 01 f7 0c eb 50 10 ff ff 58 b9 00 00

Paquet2: 00 00 00 24 24 c4 b8 7b 1a 00 90 7f 43 0a 1 08 00 45 00 00 ff 6b 50 00 00 40 06 b8 22 cb 7a 9d e9 7b d0 71 52 52aa 04 06 8c 61 7b 82 01 f7 0c eb 50 10 ff ff a3 79 00 00

Packet3: 00 00 00 24 24 c4 b8 7b 1a 00 90 7f 43 0a 1 08 00 45 00 02 20 5b 50 00 00 40 06 c7 01 cb 7a 9d e9 7b d0 71 52 7a d 04 06 8c 61 7c 59 01 f7 0c eb 50 10 ff ff e2 5j 00 00

Packet4: 00 00 00 24 24 c4 b8 7b 1a 00 90 7f 43 0a 1 08 00 45 00 01 38 j 52 52 00 00 40 06 4a e7 cb 7a 9d e9 7b d0 71 52 52aa 04 06 8c 62 42 f9 01 f7 0c eb 50 10 ff ff 20 91 00 00

Packet5: 00 00 00 24 24 c4 b8 7b 1a 00 90 7f 43 0f1 08 00 45 00 00 j0 4j 58 00 00 40 06 j6 49 cb 7a 9d e9 7b d0 71 52 7a e 04 08 4b fb 0b 8f 03 5d 51 1j 50 10a ff ff e9 88 00 00

Était-ce utile?

La solution

Ils ressemblent à des paquets TCP ordinaires mais avec deux octets supplémentaires de 00 octets étiquetés au premier plan. Je ne sais pas pourquoi cela se produirait, mais ils semblent être du 00-90-7f-43-0f-a1 (Watchguard) au 00-24-c4-b8-7b-1a (Cisco).

L’entête IP est 45 00 01 10 f4 4e 00 00 40 06 2f 13 cb 7a 9d e9 7b d0 71 52

L’en-tête TCP est 7a ed 04 06 8c 61 5d a9 01 f7 0c eb 50 10 ff 58 b9 00 00

Vous pouvez donc obtenir le reste des détails à partir de là.

Autres conseils

J'ai converti votre extrait de trace de paquet dans un format compris par text2pcap afin de pouvoir les convertir au format pcap afin de les visualiser dans Wireshark (un outil très utile de capture et d'analyse de paquets ):

Cela ressemble à une sorte de trafic de multidiffusion IPv4 très approximatif. Voici ce que j'ai reçu du premier paquet (le reste a été malformé): 

No.     Time        Source                Destination           Protocol Info
      1 0.000000    7b:1a:00:90:7f:43     00:00:00_24:c4:b8     0x0fa1   Ethernet II

Frame 1 (31 bytes on wire, 31 bytes captured)
    Arrival Time: Dec  1, 2009 00:33:05.000000000
    [Time delta from previous captured frame: 0.000000000 seconds]
    [Time delta from previous displayed frame: 0.000000000 seconds]
    [Time since reference or first frame: 0.000000000 seconds]
    Frame Number: 1
    Frame Length: 31 bytes
    Capture Length: 31 bytes
    [Frame is marked: False]
    [Protocols in frame: eth:data]
Ethernet II, Src: 7b:1a:00:90:7f:43 (7b:1a:00:90:7f:43), Dst: 00:00:00_24:c4:b8 (00:00:00:24:c4:b8)
    Destination: 00:00:00_24:c4:b8 (00:00:00:24:c4:b8)
        Address: 00:00:00_24:c4:b8 (00:00:00:24:c4:b8)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
    Source: 7b:1a:00:90:7f:43 (7b:1a:00:90:7f:43)
        Address: 7b:1a:00:90:7f:43 (7b:1a:00:90:7f:43)
        .... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast)
        .... ..1. .... .... .... .... = LG bit: Locally administered address (this is NOT the factory default)
    Type: Unknown (0x0fa1)
Data (17 bytes)

0000  08 00 45 00 01 10 f4 4e 00 00 40 06 2f 13 cb 7a   ..E....N..@./..z
0010  9d                                                .
    Data: 080045000110F44E000040062F13CB7A9D

00: 24: c4 est une carte réseau de Cisco et 00: 90: 7F est une carte réseau de WatchGuard.

Dans le registre IEEE OUI .

Quelle aide cela pourrait être ... je ne sais pas. Peut-être une tentative de connexion VPN.

Comme déjà décodé par d'autres:

  • premiers 6 + 6 + 2 octets identifiant la carte réseau et Ethernet II.
  • octets 0x0800 EtherType indiquant qu'il s'agit d'IP. http://fr.wikipedia.org/wiki/EtherType
  • l'octet suivant commençant par le quartet "4" est IPv4
  • etc.
Licencié sous: CC-BY-SA avec attribution
Non affilié à StackOverflow
scroll top