Wiresharkの奇妙なイーサネットIIパケット
Wiresharkのキャプチャを見ると、本当に奇妙なことがわかります。ランダムデータを含むイーサネットIIパケットがネットワーク上で送信されています。キャプチャ内の大きなパケットにはhttpの断片が含まれているように見えますが、src/dstはまったく意味がありません。
Srcアドレスとdstmacアドレスはどちらもランダムです...どちらも私のネットワークには存在しません。面白いことに、src/dstはパケットごとにランダムに変化します。
約1〜3パケット/秒。スイッチテーブルでsrcまたはdstmacが見つかりません。
このトラフィックが何であるかについてのアイデアはありますか?
以下のcloudsharkの.pcapファイルを参照してください。
http://cloudshark.org/captures/eca6e20e1835
どんな助けでもいただければ幸いです。私の心は困惑しています。これらのパケットの原因を追跡する方法を知りたいです!
A
パケット5は、16進数0036のオフセットから始まります。
b4 99 ba 3d 49 00 00 17 54 01 63 b2 08 00 45
これは、00:17:54:01:63:b2からb4:99:ba:3d:49:00へのイーサネットパケットの始まりのように見えます。0x0800のタイプフィールドはIPv4を意味し、その後、オプションのないIPv4パケット。
これをIPv4ヘッダーとして扱う場合:
45 00 01 52 d7 d7 40 00 40 06 13 2f c0 a8 00 09 45 1f 48 cf
それは:
- 45-IPv4、20バイトのヘッダー
- 00-サービスの種類(00はおそらく「通常の退屈なパケット」を意味します)
- 01 52-全長(338バイト)
- d7d7-識別
- 4000-フラグ+フラグメントオフセット;フラグ=フラグメント化しない、フラグメントオフセット= 0
- 40-存続時間
- 06-プロトコル(TCP)
- 132f-チェックサム
- c0 a8 00 09-送信元アドレス(192.168.0.9)
- 45 1f 48 cf-宛先アドレス(69.31.72.207)
それがパケットの送信元を示しているかどうかはわかりません。また、ここで使用されているカプセル化(つまり、すべてのものbefore IPv4ヘッダー)もわかりません。イーサネットヘッダーではないが、最後にイーサネットタイプフィールドがあるヘッダーがある場合があります。