我的路由器(Netgear DG834GV)正在向网络上的笔记本电脑发送无休止的 LLC 流量。这些数据包是 DSAP 变体
3346.321206000 LLC Netgear_38:ce:5c Apple_70:19:99 82 U, func=SIM; DSAP 0x94 Individual, SSAP ISO Network Layer (unofficial?) Command
3350.589044000 LLC Netgear_38:ce:5c Apple_70:19:99 82 S, func=RNR, N(R)=16; DSAP 0x94 Group, SSAP ISO Network Layer (unofficial?) Response
并以最多 30 条命令和 30 条响应的块形式出现。
我以前从未遇到过这样的事情,所以不知道如何确定数据包是否无害。我应该从哪里开始?
答案1
这几乎肯定是嗅探器对数据包的解码不正确。
在某些情况下,如果您在无线接口上进行捕获,并且嗅探器或无线接口配置不正确,则当嗅探器期望以太网/802.3 样式数据包或解密数据包时,无线接口将传递原始 802.11 样式数据包或仍加密的数据包。802.11 接口通常在硬件中解密数据包并将其转换为以太网-II/802.3 样式帧,然后再将其发送到内核的协议堆栈。当嗅探器尝试将加密的 802.11 数据包解释为明文 802.3 帧时,它通常看起来像一些随机的 LLC 帧。
如果您发布一个或两个数据包的原始字节,我可以手动解码它并告诉您它是否是加密不匹配或者它是否是 802.11 与 802.3 不匹配。