Кто-нибудь может догадаться, к какому протоколу принадлежат эти пакеты?
https://stackoverflow.com/questions/1823271
-
22-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Мы видим, что эти пакеты вводятся в канал FTP-DTP во время передачи файлов по нисходящей линии связи в мобильной сети Telstra NEXTG.Мы не уверены, что это пакеты сетевого уровня, проблема с нашим 3G-модемом (на базе HC25) или что-то вроде того, что наш брандмауэр внедряет в поток.
Используя инструмент, мы заметили, что кадрирование PPP завершается с ошибкой длины протокола, поэтому, скорее всего, это пакеты мобильной сети.
Я надеюсь, что кто-нибудь здесь сможет идентифицировать сигнатуру пакетов, чтобы я мог обсудить это с соответствующим поставщиком.
У этих пакетов определенно есть определенный формат:-
Пакет1:00 00 00 24 c4 b8 7b 1a 00 90 7f 43 0f a1 08 00 45 00 01 10 f4 4e 00 00 40 06 2f 13 cb 7a 9d e9 7b d0 71 52 7a ed 04 06 8c 61 5d a9 01 f7 0c eb 50 10 ff ff 58 b9 00 00
Пакет2:00 00 00 24 c4 b8 7b 1a 00 90 7f 43 0f a1 08 00 45 00 00 ff 6b 50 00 00 40 06 b8 22 cb 7a 9d e9 7b d0 71 52 7a ed 04 06 8c 61 7b 82 01 f7 0c eb 50 10 ff ff a3 79 00 00
Пакет3:00 00 00 24 c4 b8 7b 1a 00 90 7f 43 0f a1 08 00 45 00 02 20 5b 50 00 00 40 06 c7 01 cb 7a 9d e9 7b d0 71 52 7a ed 04 06 8c 61 7c 59 01 f7 0c eb 50 10 ff ff e2 5d 00 00
Пакет4:00 00 00 24 c4 b8 7b 1a 00 90 7f 43 0f a1 08 00 45 00 01 38 d8 52 00 00 40 06 4a e7 cb 7a 9d e9 7b d0 71 52 7a ed 04 06 8c 62 42 f9 01 f7 0c eb 50 10 ff ff 20 91 00 00
Пакет5:00 00 00 24 c4 b8 7b 1a 00 90 7f 43 0f a1 08 00 45 00 00 d0 4d 58 00 00 40 06 d6 49 cb 7a 9d e9 7b d0 71 52 7a ee 04 08 4b fb 0b 8f 03 5d 51 1a 50 10 ff ff e9 88 00 00
Решение
Они выглядят как обычные TCP-пакеты, но с двумя дополнительными 00 байтами, помеченными спереди.Не уверен, почему это могло произойти, но, похоже, они находятся в диапазоне от 00-90-7f-43-0f-a1 (Watchguard) до 00-24-c4-b8-7b-1a (Cisco).
IP заголовок равен 45 00 01 10 f4 4e 00 00 40 06 2f 13 cb 7a 9d e9 7b d0 71 52
Заголовок TCP равен 7a ed 04 06 8c 61 5d a9 01 f7 0c eb 50 10 ff ff 58 b9 00 00
Таким образом, вы можете получить остальные детали оттуда.
Другие советы
Я преобразовал фрагмент трассировки вашего пакета в формат, понятный текст2pcap таким образом, я мог бы преобразовать их в формат pcap для просмотра в Проволочная Метка (очень удобный инструмент для захвата и анализа пакетов):
На очень приблизительный взгляд, похоже на какой-то многоадресный трафик IPv4.Вот что я получил из первого пакета (остальное оказалось искаженным).:
No. Time Source Destination Protocol Info
1 0.000000 7b:1a:00:90:7f:43 00:00:00_24:c4:b8 0x0fa1 Ethernet II
Frame 1 (31 bytes on wire, 31 bytes captured)
Arrival Time: Dec 1, 2009 00:33:05.000000000
[Time delta from previous captured frame: 0.000000000 seconds]
[Time delta from previous displayed frame: 0.000000000 seconds]
[Time since reference or first frame: 0.000000000 seconds]
Frame Number: 1
Frame Length: 31 bytes
Capture Length: 31 bytes
[Frame is marked: False]
[Protocols in frame: eth:data]
Ethernet II, Src: 7b:1a:00:90:7f:43 (7b:1a:00:90:7f:43), Dst: 00:00:00_24:c4:b8 (00:00:00:24:c4:b8)
Destination: 00:00:00_24:c4:b8 (00:00:00:24:c4:b8)
Address: 00:00:00_24:c4:b8 (00:00:00:24:c4:b8)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
Source: 7b:1a:00:90:7f:43 (7b:1a:00:90:7f:43)
Address: 7b:1a:00:90:7f:43 (7b:1a:00:90:7f:43)
.... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast)
.... ..1. .... .... .... .... = LG bit: Locally administered address (this is NOT the factory default)
Type: Unknown (0x0fa1)
Data (17 bytes)
0000 08 00 45 00 01 10 f4 4e 00 00 40 06 2f 13 cb 7a ..E....N..@./..z
0010 9d .
Data: 080045000110F44E000040062F13CB7A9D
00:24: c4 - это сетевой адаптер от Cisco, а 00:90:7F - сетевой адаптер от WatchGuard.
Из Реестр OUI IEEE.
Как много помощи это могло бы оказать ...не знаю.Таким образом, может быть предпринята попытка VPN-подключения.
Как уже расшифровано другими:
- первый 6+6+2 байты, идентифицирующие сетевой адаптер и Ethernet II.
- байты 0x0800 EtherType, сообщающие, что это IP. http://en.wikipedia.org/wiki/EtherType
- следующий октет, начинающийся с цифры "4", - это IPv4
- и т.д.
