Alguém pode adivinhar o que o protocolo esses pacotes pertence?
https://stackoverflow.com/questions/1823271
-
22-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Vemos esses pacotes sendo injetada em um canal de FTP-DTP durante uma transferência de arquivo de downlink na rede móvel NEXTG da Telstra. Não temos certeza se estes são pacotes de rede de nível, um problema com o nosso modem 3G (HC25 base) ou algo como o nosso firewall injetar na corrente.
Usando uma ferramenta percebemos que o enquadramento PPP falhar com erros de comprimento de protocolo, assim que são pacotes de rede muito provavelmente móveis.
Eu estou esperando que alguém aqui pode identificar a assinatura dos pacotes para que eu possa perseguir isso com o fornecedor apropriado.
Há definitivamente um formato para estes pacotes: -
Packet1: 00 00 00 24 c4 B8 7b 1a 00 90 7F 43 0f a1 08 00 45 00 01 10 F4 4e 00 00 40 06 2-F 13 cb 7a 9d e9 7b d0 71 52 7a ed 04 06 8c 61 5d a9 01 f7 0c EB 50 10 ff ff 58 B9 00 00
packet2: 00 00 00 24 c4 B8 7b 1a 00 90 7F 43 0f a1 08 00 45 00 00 ff 6b 50 00 00 40 06 B8 22 cb 7a 9d e9 7b d0 71 52 7a ed 04 06 8c 61 7b 82 01 F7 0c EB 50 10 ff ff a3 79 00 00
packet3: 00 00 00 24 c4 B8 7b 1a 00 90 7F 43 0f a1 08 00 45 00 02 20 5b 50 00 00 40 06 C7 01 cb 7a 9d e9 7b d0 71 52 7a ed 04 06 8c 61 7c 59 01 F7 0c EB 50 10 ff ff e2 5d 00 00
Packet4: 00 00 00 24 c4 B8 7b 1a 00 90 7F 43 0f a1 08 00 45 00 01 38 D8 52 00 00 40 06 4a e7 cb 7a 9d e9 7b d0 71 52 7a ed 04 06 8c 62 42 f9 01 f7 0c EB 50 10 ff ff 20 91 00 00
Packet5: 00 00 00 24 c4 B8 7b 1a 00 90 7F 43 0f a1 08 00 45 00 00 D0 4d 58 00 00 40 06 d6 49 cb 7a 9d e9 7b d0 71 52 7a ee 04 08 4b fb 0b 8f 03 5d 51 1a 50 10 ff ff E9 88 00 00
Solução
Estes se assemelham a pacotes TCP comuns, mas com dois 00 bytes extras marcado em na frente. Não sei por que isso iria acontecer, mas eles parecem ser de 00-90-7f-43-0f-a1 (Watchguard) para 00-24-c4-b8-7b-1a (Cisco).
cabeçalho IP é 45 00 01 10 F4 4e 00 00 40 06 2-F 13 cb 7a 9d e9 7b d0 71 52
TCP cabeçalho é 7a ed 04 06 61 8c 5d a9 01 f7 0c EB 50 10 ff ff 58 B9 00 00
Assim, você pode obter o resto dos detalhes de lá.
Outras dicas
Eu converti o seu traço trecho pacote em um formato entendido pelo text2pcap para que eu pudesse convertê-los para o formato pcap para visualização no Wireshark (uma ferramenta de captura e análise de pacotes muito útil ):
parece com algum tipo de IPv4 multicast tráfego em uma suposição muito difícil. Aqui está o que eu tenho do primeiro pacote (resto surgiu como malformado):
No. Time Source Destination Protocol Info
1 0.000000 7b:1a:00:90:7f:43 00:00:00_24:c4:b8 0x0fa1 Ethernet II
Frame 1 (31 bytes on wire, 31 bytes captured)
Arrival Time: Dec 1, 2009 00:33:05.000000000
[Time delta from previous captured frame: 0.000000000 seconds]
[Time delta from previous displayed frame: 0.000000000 seconds]
[Time since reference or first frame: 0.000000000 seconds]
Frame Number: 1
Frame Length: 31 bytes
Capture Length: 31 bytes
[Frame is marked: False]
[Protocols in frame: eth:data]
Ethernet II, Src: 7b:1a:00:90:7f:43 (7b:1a:00:90:7f:43), Dst: 00:00:00_24:c4:b8 (00:00:00:24:c4:b8)
Destination: 00:00:00_24:c4:b8 (00:00:00:24:c4:b8)
Address: 00:00:00_24:c4:b8 (00:00:00:24:c4:b8)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
Source: 7b:1a:00:90:7f:43 (7b:1a:00:90:7f:43)
Address: 7b:1a:00:90:7f:43 (7b:1a:00:90:7f:43)
.... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast)
.... ..1. .... .... .... .... = LG bit: Locally administered address (this is NOT the factory default)
Type: Unknown (0x0fa1)
Data (17 bytes)
0000 08 00 45 00 01 10 f4 4e 00 00 40 06 2f 13 cb 7a ..E....N..@./..z
0010 9d .
Data: 080045000110F44E000040062F13CB7A9D
00: 24: c4 é uma NIC da Cisco e 00: 90:. 7F é uma NIC de WatchGuard
A partir da OUI Registry IEEE .
Quanto ajuda que poderia ser ... não sei. Pode, portanto, ser uma conexão VPN tentada.
Como já foi decodificado por outros:
- primeiros 6 + 6 + 2 bytes identificam NIC e Ethernet II.
- bytes 0x0800 EtherType dizer que é IP. http://en.wikipedia.org/wiki/EtherType
- próximo octeto começando com mordidela "4" é IPv4
- etc.
