Кто-нибудь может угадать, к какому протоколу относятся эти пакеты? - PullRequest
Новая
       19

Кто-нибудь может угадать, к какому протоколу относятся эти пакеты?

4 голосов
/ 01 декабря 2009

Мы видим, что эти пакеты внедряются в канал FTP-DTP во время передачи файла по нисходящей линии связи в мобильной сети NEXTG компании Telstra. Мы не уверены, являются ли они пакетами сетевого уровня, проблемой с нашим 3G-модемом (на основе HC25) или чем-то вроде нашего брандмауэра, внедряемого в поток.

Используя инструмент, мы заметили, что кадрирование PPP завершается с ошибками длины протокола, поэтому в большинстве случаев это скорее всего пакеты мобильной сети.

Я надеюсь, что кто-то здесь сможет идентифицировать подпись пакетов, чтобы я мог выяснить это с соответствующим поставщиком.

Определенно существует формат для этих пакетов: -

Packet1: 00 00 00 24 c4 b8 7b 1a 00 90 7f 43 0f a1 08 00 45 00 01 10 f4 4e 00 00 40 06 2f 13 cb 7a 9d e9 7b d0 71 52 7a ed 04 06 8c 61 5d a9 01 f7 0c eb 50 10 ff ff 58 b9 00 00

Packet2: 00 00 00 24 c4 b8 7b 1a 00 90 7f 43 0f a1 08 00 45 00 00 ff 6b 50 00 00 40 06 b8 22 cb 7a 9d e9 7b d0 71 52 7a ed 04 06 8c 61 7b 82 01 f7 0c eb 50 10 ff ff a3 79 00 00

Packet3: 00 00 00 24 c4 b8 7b 1a 00 90 7f 43 0f a1 08 00 45 00 02 20 5b 50 00 00 40 06 c7 01 cb 7a 9d e9 7b d0 71 52 7a ed 04 06 8c 61 7c 59 01 f7 0c eb 50 10 ff ff e2 5d 00 00

Packet4: 00 00 00 24 c4 b8 7b 1a 00 90 7f 43 0f a1 08 00 45 00 01 38 d8 52 00 00 40 06 4a e7 cb 7a 9d e9 7b d0 71 52 7a ed 04 06 8c 62 42 f9 01 f7 0c eb 50 10 фф фф 20 91 00 00

Packet5: 00 00 00 24 c4 b8 7b 1a 00 90 7f 43 0f a1 08 00 45 00 00 d0 4d 58 00 00 40 06 d6 49 cb 7a 9d e9 7b d0 71 52 7a ee 04 08 4b fb 0b 8f 03 5d 51 1a 50 10 ff ff e9 88 00 00

Ответы [ 4 ]

6 голосов
/ 01 декабря 2009

Я преобразовал ваш фрагмент трассировки пакетов в формат, понятный text2pcap , чтобы я мог преобразовать их в формат pcap для просмотра в Wireshark (очень удобный инструмент для захвата и анализа пакетов) :

Выглядит как некий многоадресный трафик IPv4. Вот что я получил от первого пакета (остальные были искажены): 

No.     Time        Source                Destination           Protocol Info
      1 0.000000    7b:1a:00:90:7f:43     00:00:00_24:c4:b8     0x0fa1   Ethernet II

Frame 1 (31 bytes on wire, 31 bytes captured)
    Arrival Time: Dec  1, 2009 00:33:05.000000000
    [Time delta from previous captured frame: 0.000000000 seconds]
    [Time delta from previous displayed frame: 0.000000000 seconds]
    [Time since reference or first frame: 0.000000000 seconds]
    Frame Number: 1
    Frame Length: 31 bytes
    Capture Length: 31 bytes
    [Frame is marked: False]
    [Protocols in frame: eth:data]
Ethernet II, Src: 7b:1a:00:90:7f:43 (7b:1a:00:90:7f:43), Dst: 00:00:00_24:c4:b8 (00:00:00:24:c4:b8)
    Destination: 00:00:00_24:c4:b8 (00:00:00:24:c4:b8)
        Address: 00:00:00_24:c4:b8 (00:00:00:24:c4:b8)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
    Source: 7b:1a:00:90:7f:43 (7b:1a:00:90:7f:43)
        Address: 7b:1a:00:90:7f:43 (7b:1a:00:90:7f:43)
        .... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast)
        .... ..1. .... .... .... .... = LG bit: Locally administered address (this is NOT the factory default)
    Type: Unknown (0x0fa1)
Data (17 bytes)

0000  08 00 45 00 01 10 f4 4e 00 00 40 06 2f 13 cb 7a   ..E....N..@./..z
0010  9d                                                .
    Data: 080045000110F44E000040062F13CB7A9D
2 голосов
/ 01 декабря 2009

Они выглядят как обычные TCP-пакеты, но с двумя дополнительными 00 байтами, помеченными спереди. Не уверен, почему это произойдет, но они выглядят как 00-90-7f-43-0f-a1 (Watchguard) до 00-24-c4-b8-7b-1a (Cisco)

IP-заголовок 45 00 01 10 f4 4e 00 00 40 06 2f 13 cb 7a 9d e9 7b d0 71 52

Заголовок TCP 7a ed 04 06 8c 61 5d a9 01 f7 0c eb 50 10 ff ff 58 b9 00 00

Таким образом, вы можете получить остальные детали оттуда.

2 голосов
/ 01 декабря 2009

00: 24: c4 - это NIC от Cisco, а 00: 90: 7F - это NIC от WatchGuard.

Из реестра IEEE OUI .

Сколько помощи это может быть ... не знаю. Следовательно, это может быть попытка VPN-подключения.

0 голосов
/ 01 декабря 2009

Как уже расшифровано другими:

  • первые 6 + 6 + 2 байта, идентифицирующие NIC и Ethernet II.
  • байт 0x0800 EtherType говорит о том, что это IP. http://en.wikipedia.org/wiki/EtherType
  • следующий октет, начинающийся с клочка "4", - IPv4
  • и т.д.
...