正常的 ICMP 数据字段由相当标准的 32 字节字母字符串组成。
abcdefghijklmnopqrstuvwabcdefghi
我使用 WireShark 捕获了一系列 ICMP 回显请求,其中的数据字段已修改,但我不知道这意味着什么。(下划线代表空格。)
abcdefghijklmnopprstuvwxyzabcdefghi
abcdefghijklmnoparstuvwxyzabcdefghi
__abcdefghijklmnopsrstuvwxyzabcdefghi
__abcdefghijklmnopsrstuvwxyzabcdefghi
__abcdefghijklmnopwrstuvwxyzabcdefghi
__abcdefghijklmnopdrstuvwxyzabcdefghi__
笔记:
- “q”字符的位置
- 添加“xyz”
- 有效载荷前后添加空格
- 当您水平查看“q”的位置时,它拼写为“passwd”,这是用于更改用户密码的 Linux/Unix 命令。
有任何想法吗?
答案1
没有标准可以定义 ICMP 回显请求/回复数据包必须携带哪些数据,因此任何实现都可以做它想做的事情。甚至有将 ICMP 回显数据包实现为隐蔽通道。找出是谁或什么发送了有问题的数据包,这应该可以帮助您推断出“为什么”。