服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 在wireshark中的奇怪的以太网II数据包
Intereting Posts
使用Windows Server 2008的iPhone简单VPN 添加一个DNS子域时,使用Bind9.9,在子域中使用NS 不要电子邮件分发组所有者 Apache VirtualHost别名通配符子域问题 lighttpd VS Apache ec2保留实例数据传输成本 Samba 4 OpenLDAP身份validation问题 有一个固态硬盘与硬盘驱动器是一个好主意的Web服务器? 试图定义全局类variables的木偶 WordPress上的Nginx的子目录:访问仪表板? Apache cloudstack:无法使用从快照创build的模板添加实例 Linux DHCP 2networking 虽然icmp已经设置,但我无法ping到EC2实例 如何在不访问vSphere Update Manager的情况下从vSphere 4.1升级到vSphere 5? ipv6:`ifconfig`显示“Scope:Link”。 什么是“范围:链接”?

在wireshark中的奇怪的以太网II数据包

看着一个wirehark捕捉,我看到一些非常奇怪的东西。 以太网II数据包随机数据正在networking上发送。 捕获中的较大数据包似乎包含一些http,但src / dst完全没有任何意义。

src和dst的mac地址都是随机的….在我的networking上都不存在。 有趣的是,src / dst随每个数据包随机更改。

约1-3包/秒。 无法在交换机表中findsrc或dst mac。

任何想法,这个stream量是什么?

请参阅下面的cloudshark中的.pcap文件。

http://cloudshark.org/captures/eca6e20e1835

任何帮助,将不胜感激。 我的头脑是惊人的。 我很想知道如何追查这些数据包的罪魁祸首!

一个

分组5具有从hex0036: 

b4 99 ba 3d 49 00 00 17 54 01 63 b2 08 00 45

它看起来像一个以太网数据包的开始,从00:17:54:01:63:b2到b4:99:ba:3d:49:00,types字段是0x0800,意思是IPv4,然后是第一个字节没有选项的IPv4数据包。

如果我们将其视为IPv4标头: 

 45 00 01 52 d7 d7 40 00 40 06 13 2f c0 a8 00 09 45 1f 48 cf

那是:

  • 45 – IPv4,20字节头
  • 00 – 服务types(00可能意味着“普通无聊包”)
  • 01 52 – 总长度(338字节)
  • d7 d7 – 鉴定
  • 40 00 – 标志+片段偏移; flags =不分片,片段偏移量= 0
  • 40 – 生存时间
  • 06 – 协议(TCP)
  • 13 2f – 校验和
  • c0 a8 00 09 – 来源地址(192.168.0.9)
  • 45 1f 48 cf – 目的地址(69.31.72.207)

我不知道这是否表示数据包来自哪里,我不知道在这里使用了什么封装(即IPv4标头之前的东西是什么)。 可能有一个头不是以太网头,但在末尾有一个以太网types字段。