Loại Ether không xác định 0x880a và 0x5524 trong chụp Wireshark

3

Kể từ vài ngày qua, trình quản lý tác vụ hiển thị 200-300Kb / giây (với b nhỏ) nhận mạng vào thời gian rảnh mà không mở bất kỳ ứng dụng nào. Mặc dù tôi chặn tất cả các ứng dụng trong tường lửa (ngoại trừ hệ thống PID 4), trình quản lý tác vụ hiển thị cùng một hoạt động mạng. Khi tôi mở Wireshark để kiểm tra các gói mạng, nó hiển thị một số hoạt động mạng đã sử dụng. Ngay cả loại ether này 0x880a0x5524không được ghi lại trong Số IEEE 802 . Ngoài ra, địa chỉ MAC không thuộc về bất kỳ máy chủ nào trong mạng con Ethernet IPv4 của tôi (/ 25). Đây là siêu dữ liệu & dữ liệu của gói trong văn bản thuần túy.

Source                Destination Protocol Length Sender IP address Info
Shenzhen_01:35:b2     Broadcast   0x880a   60                       Ethernet II

Ethernet II, Src: Shenzhen_01:35:b2 (50:0b:91:e1:35:b2), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Data (46 bytes)

0000  00 6c 6f 6f 70 62 61 63 6b 00 00 00 00 00 00 00   .loopback.......
0010  00 00 00 00 00 2d 36 35 06 5f 68 74 74 70 73 00   .....-65._https.
0020  00 00 00 00 00 00 00 00 00 00 00 00 00 00         ..............
    Data: 006c6f6f706261636b0000000000000000000000002d3635...
    [Length: 46]

Loại Ether 0x880a.PNG

Source                Destination Protocol Length Sender IP address Type       Info
ChengduM_e9:e9:3d     Broadcast   0x5524   64                       0x5524     Ethernet II

Ethernet II, Src: ChengduM_e9:e9:3d (00:01:7a:e9:e9:3d), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Data (50 bytes)

0000  80 00 00 01 7a e9 e9 3d 00 00 00 00 80 00 00 01   ....z..=........
0010  7a e9 e9 3d 00 00 00 13 00 00 00 00 00 00 00 00   z..=............
0020  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0030  00 00                                             ..
    Data: 800000017ae9e93d00000000800000017ae9e93d00000013...
    [Length: 50]

Loại Ether 0x5524.PNG

  • Câu hỏi: Những gói Ethernet chưa biết này là gì? Là những thứ độc hại? Mạng ISP có chịu trách nhiệm cho các gói mạng này không?
networking  ethernet  wireshark 
Biswapriyo
nguồn
Nếu bạn không nhận được câu trả lời ở đây, cũng cố gắng reverseengineering.stackexchange.com
dirkt
Lưu ý rằng đăng ký chính của ethertypes được duy trì bởi IEEE - không phải là nó giúp ích nhiều, vì 0x880A chỉ là một phần của phạm vi "dành riêng cho Ethernet 802.3". Ngoài ra, vì nó không mang IP, mạng con IPv4 của bạn khá không liên quan.
grawity
@dirkt Tôi không liên quan vấn đề này với kỹ thuật Reverse. Tôi sợ MITM.
Biswapriyo
Tiếp tục rút phích cắm cho đến khi bạn tìm thấy nguồn. (Nó có thể là một thiết bị được kết nối Wi-Fi.)
grawity
@grawity Không có WiFi, không có thiết bị nào khác được kết nối với Ethernet, chỉ có PC của tôi.
Biswapriyo

Câu trả lời:

3

Mạng của bạn có chứa bất kỳ thiết bị hoặc chipset giao diện mạng nào được thiết kế, sản xuất hoặc bán bởi "Công ty TNHH sợi quang Thâm Quyến" không? Giống như có thể là một bộ thu phát sợi hoặc thiết bị đầu cuối GPON hoặc mô đun SFP sợi hoặc một cái gì đó?

Điều này trông giống như một số nhà cung cấp không tên chỉ ngồi xổm trên EtherType chưa được gán khi tạo giao thức phát hiện / trạng thái dựa trên phát sóng độc quyền. Thông tin duy nhất chứa trong đó là "loopback", "-65" và "_https". Có thể quảng cáo rằng cường độ tín hiệu quang của nó là -65dB và giao diện quản lý của nó có thể truy cập thông qua HTTPS. Nó thậm chí có thể đang cố gắng thực hiện phát hiện vòng lặp hoặc đang cố thực hiện kiểm tra loopback.

Nó trông giống như một nhà cung cấp không tên ngu ngốc đi một cái gì đó cẩu thả và không chuẩn, hơn là bất cứ điều gì độc hại.

Spiff
nguồn
Bạn có thể đăng một pcap với nhiều gói hơn không?
Spiff
@Biswa tôi không biết. Có lẽ tải nó lên bất cứ nơi nào bạn muốn và gửi một liên kết.
Spiff
Tôi xác nhận rằng ISP là rsposiblr cho việc này. Có vẻ như chúng tôi đã nhận được phát sóng ARP từ bên ngoài mạng con của mình.
Biswapriyo
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.