Networking
Wireshark中奇怪的乙太網II數據包
看著wireshark擷取,我看到了一些非常奇怪的東西。帶有隨機數據的乙太網 II 數據包正在網路上發送。擷取中較大的數據包似乎包含 http 的點點滴滴,但 src/dst 根本沒有任何意義。
src 和 dst mac 地址都是隨機的……我的網路上都不存在。有趣的是,src/dst 隨每個數據包隨機變化。
大約 1-3 包/秒。無法在切換錶中找到 src 或 dst mac。
關於這個流量是什麼的任何想法?
請參閱下面 cloudshark 中的 .pcap 文件。
http://cloudshark.org/captures/eca6e20e1835
任何幫助,將不勝感激。我的腦子里糊塗了。我很想知道如何追查這些數據包的罪魁禍首!
一種
數據包 5 具有,從十六進制 0036 的偏移量開始:
b4 99 ba 3d 49 00 00 17 54 01 63 b2 08 00 45
這看起來像是從 00:17:54:01:63:b2 到 b4:99:ba:3d:49:00 的乙太網數據包的開頭,類型欄位 0x0800 表示 IPv4,然後是第一個字節沒有選項的 IPv4 數據包。
如果我們將其視為 IPv4 標頭:
45 00 01 52 d7 d7 40 00 40 06 13 2f c0 a8 00 09 45 1f 48 cf
那是:
- 45 - IPv4,20 字節標頭
- 00 - 服務類型(00 可能意味著“普通無聊的數據包”)
- 01 52 - 總長度(338 字節)
- d7 d7 - 辨識
- 40 00 - 標誌+片段偏移;flags = 不要分片,分片偏移量 = 0
- 40 - 生存時間
- 06 - 協議(TCP)
- 13 2f - 校驗和
- c0 a8 00 09 - 源地址 (192.168.0.9)
- 45 1f 48 cf - 目標地址 (69.31.72.207)
我不知道這是否表明數據包來自何處,並且我不知道這裡使用的是什麼封裝(即,IPv4 標頭*之前的所有內容是什麼)。*可能有一個標頭不是乙太網標頭,但最後確實有一個乙太網類型欄位。