查看 wireshark 捕获的内容,我发现了一些非常奇怪的内容。网络上正在发送带有随机数据的以太网 II 数据包。捕获内容中的较大数据包似乎包含一些 http 数据,但源/目标完全没有意义。
源和目标 mac 地址都是随机的……我的网络上都不存在。有趣的是,源/目标会随着每个数据包随机变化。
大约 1-3 个数据包/秒。无法在交换机表中找到源或目标 mac。
您对这种流量有什么想法吗?
请参阅下面来自cloudshark 的.pcap 文件。
http://cloudshark.org/captures/eca6e20e1835
任何帮助都将不胜感激。我感到困惑。我很想知道如何追踪这些数据包的罪魁祸首!
A
答案1
数据包 5 从十六进制 0036 的偏移量开始:
b4 99 ba 3d 49 00 00 17 54 01 63 b2 08 00 45
它看起来像是从 00:17:54:01:63:b2 到 b4:99:ba:3d:49:00 的以太网数据包的开头,其中类型字段为 0x0800 表示 IPv4,然后是没有选项的 IPv4 数据包的第一个字节。
如果我们将其视为 IPv4 标头:
45 00 01 52 d7 d7 40 00 40 06 13 2f c0 a8 00 09 45 1f 48 cf
那是:
- 45 – IPv4,20 字节报头
- 00 - 服务类型(00 可能表示“普通无聊数据包”)
- 01 52 – 总长度(338 字节)
- d7 d7-识别
- 40 00 - 标志 + 碎片偏移量;标志 = 不碎片,碎片偏移量 = 0
- 40 - 生存时间
- 06-协议(TCP)
- 13 2f - 校验和
- c0 a8 00 09-源地址(192.168.0.9)
- 45 1f 48 cf-目标地址(69.31.72.207)
我不知道这是否表明数据包来自哪里,也不知道这里使用的是什么封装(即,所有的东西前IPv4 报头是)。可能存在不是以太网报头但在末尾有以太网类型字段的报头。