Qualcuno può indovinare a quale protocollo appartengono questi pacchetti?
https://stackoverflow.com/questions/1823271
-
22-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Vediamo che questi pacchetti vengono iniettati in un canale FTP-DTP durante un trasferimento di file downlink sulla rete mobile NEXTG di Telstra. Non siamo sicuri che si tratti di pacchetti a livello di rete, un problema con il nostro modem 3G (basato su HC25) o qualcosa come il nostro firewall che si inietta nello stream.
Usando uno strumento abbiamo notato che l'inquadramento PPP fallisce con errori di lunghezza del protocollo, quindi sono probabilmente pacchetti di rete mobile.
Spero che qualcuno qui possa identificare la firma dei pacchetti in modo da poterlo inseguire con il fornitore appropriato.
Esiste sicuramente un formato per questi pacchetti: -
Packet1: 00 00 00 24 c4 b8 7b 1a 00 90 7f 43 0f a1 08 00 45 00 01 10 f4 4e 00 00 40 06 2f 13 cb 7a 9d e9 7b d0 71 52 7a ed 04 06 8c 61 5d a9 01 f7 0c eb 50 10 ff ff 58 b9 00 00
Packet2: 00 00 00 24 c4 b8 7b 1a 00 90 7f 43 0f a1 08 00 45 00 00 ff 6b 50 00 00 40 06 b8 22 cb 7a 9d e9 7b d0 71 52 7a ed 04 06 8c 61 7b 82 01 f7 0c eb 50 10 ff ff a3 79 00 00
Packet3: 00 00 00 24 c4 b8 7b 1a 00 90 7f 43 0f a1 08 00 45 00 02 20 5b 50 00 00 40 06 c7 01 cb 7a 9d e9 7b d0 71 52 7a ed 04 06 8c 61 7c 59 01 f7 0c eb 50 10 ff ff e2 5d 00 00
Packet4: 00 00 00 24 c4 b8 7b 1a 00 90 7f 43 0f a1 08 00 45 00 01 38 d8 52 00 00 40 06 4a e7 cb 7a 9d e9 7b d0 71 52 7a ed 04 06 8c 62 42 f9 01 f7 0c eb 50 10 ff ff 20 91 00 00
Packet5: 00 00 00 24 c4 b8 7b 1a 00 90 7f 43 0f a1 08 00 45 00 00 d0 4d 58 00 00 40 06 d6 49 cb 7a 9d e9 7b d0 71 52 7a ee 04 08 4b fb 0b 8f 03 5d 51 1a 50 10 ff ff e9 88 00 00
Soluzione
Sembrano normali pacchetti TCP ma con due 00 byte extra taggati nella parte frontale. Non sono sicuro del perché ciò accada, ma sembrano essere compresi tra 00-90-7f-43-0f-a1 (Watchguard) e 00-24-c4-b8-7b-1a (Cisco).
L'intestazione IP è 45 00 01 10 f4 4e 00 00 40 06 2f 13 cb 7a 9d e9 7b d0 71 52
L'intestazione TCP è 7a ed 04 06 8c 61 5d a9 01 f7 0c eb 50 10 ff ff 58 b9 00 00
Quindi puoi ottenere il resto dei dettagli da lì.
Altri suggerimenti
Ho convertito lo snippet di traccia dei pacchetti in un formato compreso da text2pcap così ho potuto convertirli nel formato pcap per la visualizzazione in Wireshark (uno strumento molto utile per l'acquisizione e l'analisi dei pacchetti ):
Sembra una sorta di traffico multicast IPv4 con un'ipotesi molto approssimativa. Ecco cosa ho ottenuto dal primo pacchetto (il resto è risultato non valido):
No. Time Source Destination Protocol Info
1 0.000000 7b:1a:00:90:7f:43 00:00:00_24:c4:b8 0x0fa1 Ethernet II
Frame 1 (31 bytes on wire, 31 bytes captured)
Arrival Time: Dec 1, 2009 00:33:05.000000000
[Time delta from previous captured frame: 0.000000000 seconds]
[Time delta from previous displayed frame: 0.000000000 seconds]
[Time since reference or first frame: 0.000000000 seconds]
Frame Number: 1
Frame Length: 31 bytes
Capture Length: 31 bytes
[Frame is marked: False]
[Protocols in frame: eth:data]
Ethernet II, Src: 7b:1a:00:90:7f:43 (7b:1a:00:90:7f:43), Dst: 00:00:00_24:c4:b8 (00:00:00:24:c4:b8)
Destination: 00:00:00_24:c4:b8 (00:00:00:24:c4:b8)
Address: 00:00:00_24:c4:b8 (00:00:00:24:c4:b8)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
Source: 7b:1a:00:90:7f:43 (7b:1a:00:90:7f:43)
Address: 7b:1a:00:90:7f:43 (7b:1a:00:90:7f:43)
.... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast)
.... ..1. .... .... .... .... = LG bit: Locally administered address (this is NOT the factory default)
Type: Unknown (0x0fa1)
Data (17 bytes)
0000 08 00 45 00 01 10 f4 4e 00 00 40 06 2f 13 cb 7a ..E....N..@./..z
0010 9d .
Data: 080045000110F44E000040062F13CB7A9D
00: 24: c4 è una scheda di rete di Cisco e 00: 90: 7F è una scheda di rete di WatchGuard.
Dal Registro IEEE OUI .
Quanto aiuto potrebbe essere ... non lo so. Potrebbe quindi essere una tentata connessione VPN.
Come già decodificato da altri:
- primi 6 + 6 + 2 byte che identificano NIC ed Ethernet II.
- byte 0x0800 EtherType che dice che è IP. http://en.wikipedia.org/wiki/EtherType
- ottetto successivo che inizia con il bocconcino "4" è IPv4
- ecc.
