誰もこれらのパケットがどのプロトコルに属しているのか推測できますか?
https://stackoverflow.com/questions/1823271
-
22-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian質問
これらのパケットは、テルストラのNEXTGモバイルネットワークでのダウンリンクファイル転送中にFTP-DTPチャネルに挿入されています。これらがネットワークレベルのパケットなのか、3Gモデム(HC25ベース)の問題なのか、ファイアウォールにストリームに挿入されるようなものなのかはわかりません。
ツールを使用して、PPPフレーミングがプロトコル長エラーで失敗することに気づいたので、それらはほとんどの場合モバイルネットワークパケットです。
ここで誰かがパケットの署名を識別して、適切なベンダーで追跡できるように期待しています。
これらのパケットには必ず形式があります:-
パケット1: 00 00 00 24 c4 b8 7b 1a 00 90 7f 43 0f a1 08 00 45 00 01 10 f4 4e 00 00 40 06 2f 13 cb 7a 9d e9 7b d0 71 52 7a ed 04 06 8c 61 5d a9 01 f7 0c eb 50 10 ff ff 58 b9 00 00
Packet2: 00 00 00 24 c4 b8 7b 1a 00 90 7f 43 0f a1 08 00 45 00 00 ff 6b 50 00 00 40 06 b8 22 cb 7a 9d e9 7b d0 71 52 7a ed 04 06 8c 61 7b 82 01 f7 0c eb 50 10 ff ff a3 79 00 00
Packet3: 00 00 00 24 c4 b8 7b 1a 00 90 7f 43 0f a1 08 00 45 00 02 20 5b 50 00 00 40 06 c7 01 cb 7a 9d e9 7b d0 71 52 7a ed 04 06 8c 61 7c 59 01 f7 0c eb 50 10 ff ff e2 5d 00 00
Packet4: 00 00 00 24 c4 b8 7b 1a 00 90 7f 43 0f a1 08 00 45 00 01 38 d8 52 00 00 40 06 4a e7 cb 7a 9d e9 7b d0 71 52 7a ed 04 06 8c 62 42 f9 01 f7 0c eb 50 10 ff ff 20 91 00 00
Packet5: 00 00 00 24 c4 b8 7b 1a 00 90 7f 43 0f a1 08 00 45 00 00 d0 4d 58 00 00 40 06 d6 49 cb 7a 9d e9 7b d0 71 52 7a ee 04 08 4b fb 0b 8f 03 5d 51 1a 50 10 ff ff e9 88 00 00
解決
これらは通常のTCPパケットのように見えますが、先頭に2つの余分な00バイトがタグ付けされています。なぜそうなるのかはわかりませんが、00-90-7f-43-0f-a1(Watchguard)から00-24-c4-b8-7b-1a(Cisco)のようです。
IPヘッダーは45 00 01 10 f4 4e 00 00 40 06 2f 13 cb 7a 9d e9 7b d0 71 52
TCPヘッダーは7a ed 04 06 8c 61 5d a9 01 f7 0c eb 50 10 ff ff 58 b9 00 00
したがって、そこから残りの詳細を取得できます。
他のヒント
パケットトレーススニペットを text2pcap したがって、 Wireshark (非常に便利なパケットキャプチャおよび分析ツール)で表示するために、それらをpcap形式に変換できました。 ):
非常に大まかな推測では、ある種のIPv4マルチキャストトラフィックのように見えます。最初のパケットから得たものは次のとおりです(残りは不正な形式で表示されました):
No. Time Source Destination Protocol Info
1 0.000000 7b:1a:00:90:7f:43 00:00:00_24:c4:b8 0x0fa1 Ethernet II
Frame 1 (31 bytes on wire, 31 bytes captured)
Arrival Time: Dec 1, 2009 00:33:05.000000000
[Time delta from previous captured frame: 0.000000000 seconds]
[Time delta from previous displayed frame: 0.000000000 seconds]
[Time since reference or first frame: 0.000000000 seconds]
Frame Number: 1
Frame Length: 31 bytes
Capture Length: 31 bytes
[Frame is marked: False]
[Protocols in frame: eth:data]
Ethernet II, Src: 7b:1a:00:90:7f:43 (7b:1a:00:90:7f:43), Dst: 00:00:00_24:c4:b8 (00:00:00:24:c4:b8)
Destination: 00:00:00_24:c4:b8 (00:00:00:24:c4:b8)
Address: 00:00:00_24:c4:b8 (00:00:00:24:c4:b8)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
Source: 7b:1a:00:90:7f:43 (7b:1a:00:90:7f:43)
Address: 7b:1a:00:90:7f:43 (7b:1a:00:90:7f:43)
.... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast)
.... ..1. .... .... .... .... = LG bit: Locally administered address (this is NOT the factory default)
Type: Unknown (0x0fa1)
Data (17 bytes)
0000 08 00 45 00 01 10 f4 4e 00 00 40 06 2f 13 cb 7a ..E....N..@./..z
0010 9d .
Data: 080045000110F44E000040062F13CB7A9D
00:24:c4はシスコのNIC、00:90:7FはWatchGuardのNICです。
それがどれだけ助けになるかはわからない。したがって、VPN接続が試行される可能性があります。
すでに他の人によってデコードされている場合:
- NICおよびイーサネットIIを識別する最初の6 + 6 + 2バイト。 IPであることを示す
- bytes 0x0800 EtherType。 http://en.wikipedia.org/wiki/EtherType
- ニブル「4」で始まる次のオクテット。 IPv4
- など
