解释 tcpdump 中的 UDP 数据包?

解释 tcpdump 中的 UDP 数据包?

我从 tcpdump 获得了 UDP 数据包:

0x0000:  4500 0039 6019 0000 7511 1bf5 25cb 6d53  E..9`...u...%.mS 
0x0010:  b221 8466 697d 6987 0025 c8ce 1570 0200  .!.fi}i..%...p.. 
0x0020:  23e1 0080 2321 1017 2215 303e 5a67 217e  #...#!..".0>Zg!~ 
0x0030:  18ab ed80 5154 e267 23                   ....QT.g#

你能解释一下这三个部分吗?

1.

0x0000
0x0010
0x0020
0x0030

2.

4500 0039 6019 0000 7511 1bf5 25cb 6d53  
b221 8466 697d 6987 0025 c8ce 1570 0200  
23e1 0080 2321 1017 2215 303e 5a67 217e  
18ab ed80 5154 e267 23            

3.

E..9`...u...%.mS
.!.fi}i..%...p..
#...#!..".0>Zg!~
....QT.g#

这里的数据在哪里(UDP 布局)?

如何使用 iptables 中的 u32 模块来阻止特定数据?

谢谢。

答案1

每个数据报都被包装到几个 TCP/IP 层中,因此您的十六进制转储包含有关报头的详细信息,然后是实际的数据报(有效负载)。

从 IP 标头来看,我可以告诉你关于你的数据包的一些信息(值得注意的事情):

- communication is over IPv4;
- IP header has 20 bytes;
- Length = 57 bytes (IP Header + IP Datagram):
- - IP Header has 20 bytes -> IP Datagram has 37 bytes;
- - IP Datagram = Next Protocol Header + Payload;
- next protocol is 0x11 which means UDP;
- Source IP: 37.203.109.83;
- Destination IP: 178.33.132.102;

从 UDP 报头(UDP 报头只有 8 个字节):

- source port: 27005
- destination port: 27015
- Length (UDP Header + Payload) 37 bytes;
- - UDP Header = 8 bytes;
- - Payload = 29 bytes;

有效载荷:

1570 0200 23e1 0080 2321 1017 2215 303e 5a67 217e 18ab ed80 5154 e267 23

关于你的问题

这里的数据在哪里(UDP 布局)?

是的

如何使用 iptables 中的 u32 模块来阻止特定数据?

请参阅下面的参考: https://stackoverflow.com/questions/9528385/iptables-how-do-i-block-a-specific-udp-packet

相关内容