누구 든지이 패킷이 어떤 프로토콜에 속하는 지 추측 할 수 있습니까?
https://stackoverflow.com/questions/1823271
-
22-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian문제
Telstra의 Nextg Mobile Network에서 다운 링크 파일 전송 중에이 패킷이 FTP-DTP 채널에 주입되는 것을 볼 수 있습니다. 우리는 이것이 네트워크 레벨 패킷인지, 3G 모뎀 (HC25 기반)의 문제 또는 스트림에 방화벽 주입과 같은 문제인지 확실하지 않습니다.
도구를 사용하여 PPP 프레임이 프로토콜 길이 오류로 실패하므로 대부분 모바일 네트워크 패킷 일 가능성이 높습니다.
여기 누군가가 패킷의 서명을 식별하여 적절한 공급 업체와 함께 쫓아 갈 수 있기를 바랍니다.
이 패킷에는 분명히 형식이 있습니다. -
PACKET1 : 00 00 00 24 C4 B8 7B 1A 00 90 7F 43 0F A1 08 00 45 00 01 10 F4 4E 00 00 40 06 2F 13 CB 7A 9D E9 7B D0 71 52 7A ED 04 06 8C 61 5D A9 01 F7 0C EB 50 10 FF FF 58 B9 00 00
PACKET2 : 00 00 00 24 C4 B8 7B 1A 00 90 7F 43 0F A1 08 00 45 00 00 FF 6B 50 00 00 40 06 B8 22 CB 7A 9D E9 7B D0 71 52 7A ED 04 06 8C 61 7B 82 01 F7 0C EB 50 10 FF FF A3 79 00 00
PACKET3 : 00 00 00 24 C4 B8 7B 1A 00 90 7F 43 0F A1 08 00 45 00 02 20 5B 50 00 00 00 40 06 C7 01 CB 7A 9D E9 7B D0 71 52 7A ED 04 06 8C 61 7C 59 01 F7 0C EB 50 10 FF FF E2 5D 00 00
PACKET4 : 00 00 00 24 C4 B8 7B 1A 00 90 7F 43 0F A1 08 00 45 00 01 38 D8 52 00 00 40 06 4A E7 CB 7A 9D E9 7B D0 71 52 7A ED 04 06 8C 62 42 F9 01 F7 0C EB 50 10 FF FF 20 91 00 00
PACKET5 : 00 00 00 24 C4 B8 7B 1A 00 90 7F 43 0F A1 08 00 45 00 00 D0 4D 58 00 00 40 49 CB 7A 9D E9 7B D0 71 52 7A EE 04 08 4B FB 0B 8F 03 5D 51 1A 1A 50 10 FF FF E9 88 00 00
해결책
이것들은 일반적인 TCP 패킷처럼 보이지만 전면에 2 개의 추가 00 바이트가 태그되었습니다. 왜 그런 일이 일어날 지 확실하지 않지만 00-90-7F-43-0F-A1 (WatchGuard)에서 00-24-C4-B8-7B-1A (Cisco)로 보입니다.
IP 헤더는 45 00 01 10 F4 4E 00 00 40 06 2F 13 CB 7A 9D E9 7B D0 71 52
TCP 헤더는 7A ED 04 06 8C 61 5D A9 01 F7 0C EB 50 10 FF FF 58 B9 00 00
그래서 당신은 거기에서 나머지 세부 사항을 얻을 수 있습니다.
다른 팁
패킷 트레이스 스 니펫을 이해하는 형식으로 변환했습니다. Text2pcap 그래서 나는 그것을 볼 수 있도록 PCAP 형식으로 변환 할 수 있습니다. Wireshark (매우 편리한 패킷 캡처 및 분석 도구) :
매우 거친 추측으로 일종의 IPv4 멀티 캐스트 트래픽처럼 보입니다. 다음은 내가 첫 번째 패킷에서 얻은 것입니다 (휴식은 기본적으로 등장했습니다).
No. Time Source Destination Protocol Info
1 0.000000 7b:1a:00:90:7f:43 00:00:00_24:c4:b8 0x0fa1 Ethernet II
Frame 1 (31 bytes on wire, 31 bytes captured)
Arrival Time: Dec 1, 2009 00:33:05.000000000
[Time delta from previous captured frame: 0.000000000 seconds]
[Time delta from previous displayed frame: 0.000000000 seconds]
[Time since reference or first frame: 0.000000000 seconds]
Frame Number: 1
Frame Length: 31 bytes
Capture Length: 31 bytes
[Frame is marked: False]
[Protocols in frame: eth:data]
Ethernet II, Src: 7b:1a:00:90:7f:43 (7b:1a:00:90:7f:43), Dst: 00:00:00_24:c4:b8 (00:00:00:24:c4:b8)
Destination: 00:00:00_24:c4:b8 (00:00:00:24:c4:b8)
Address: 00:00:00_24:c4:b8 (00:00:00:24:c4:b8)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
Source: 7b:1a:00:90:7f:43 (7b:1a:00:90:7f:43)
Address: 7b:1a:00:90:7f:43 (7b:1a:00:90:7f:43)
.... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast)
.... ..1. .... .... .... .... = LG bit: Locally administered address (this is NOT the factory default)
Type: Unknown (0x0fa1)
Data (17 bytes)
0000 08 00 45 00 01 10 f4 4e 00 00 40 06 2f 13 cb 7a ..E....N..@./..z
0010 9d .
Data: 080045000110F44E000040062F13CB7A9D
00 : 24 : C4는 Cisco의 NIC이고 00 : 90 : 7F는 WatchGuard의 NIC입니다.
로부터 IEEE OUI 레지스트리.
얼마나 도움이 될지 ... 모르겠다. 따라서 VPN 연결 시도 일 수 있습니다.
다른 사람이 이미 디코딩 한 것처럼 :
- NIC 및 이더넷 II를 식별하는 처음 6+6+2 바이트.
- 바이트 0x0800 ETHERTYPE IP라고 말합니다. http://en.wikipedia.org/wiki/ethertype
- Nibble "4"로 시작하는 다음 옥트는 IPv4입니다.
- 등.
