web-dev-qa-db-ja.com

このWiresharkキャプチャファイルから異常な動作を理解できません

The aforementioned packets

必要に応じてキャプチャファイル

ここには異常な行動があるはずですが、あると思います。しかし、私はそれが何であるか理解できません。

ICMP要求からの応答はありません。さらに、いくつかのパケットには警告があります:

[エキスパート情報(警告/プロトコル):ソースMACはグループアドレスであってはなりません:IEEE 802.3-2002、セクション3.2.3(b)] [ソースMACはグループアドレスであってはなりません:IEEE 802.3-2002、セクション3.2.3 (b)] [重大度:警告] [グループ:プロトコル]

Pingフラッド攻撃の可能性があると思っていましたが、これは宛先アドレスからの返信/応答がないはずです。ホストはすでに圧倒されており、ICMP要求に応答できない場合がありますが、キャプチャファイルには表示されません。

パケット長は60なので、Ping of Death攻撃とは一致しません。

どんな助けでも大歓迎です!

2
symto

Pcapファイルには2つの疑わしい点があります。1。Steffenがシーケンス番号が同じマシンのものであるように見えるので、おそらくパケットの生成はforループ上にあります2.一般に、ICMP要求にはアルファベット順に含まれます同じように返信し、pcapファイルではすべてゼロに設定されています。

ボットネットの振る舞い、またはインターネット上でパケットを遊んでいる誰かで、彼のプログラムが期待どおりに動作する準備ができていない可能性があります。

2
camp0

ICMPエコー要求が明らかに連続的(LEのシーケンス番号を確認)が異なるIPアドレスからのものであるのは間違いなく異常です。これは、異なるIPアドレス(ボットネット?)を介して各パケットを送信するこれらのICMPエコーのいくつかの中心的なソースがあることを示唆しています。

1
Steffen Ullrich

さらに、 Steffen Ullrichの答え には、

  • 非常に多くのパブリックIPが1つに到達しようとしていることに驚いています***正確なプライベートIP経由で同じrouter**(ここからダンプが表示されます)...

    **ダンプがルーターで行われた場合。私はあなたのローカルホストです。

    ***ダンプがフィルタリングされていない場合...

  • ルーターがインターネットからローカルネットへの着信接続をブロックしているようです。それで大丈夫です。

    (no response found!)
    
  • IPはどこにでもあるようですが、主に米国にあります。

    2 BE、1 CA、1 CH、2 CN、1 CO、1 IT、1 JP、9 US

    したがって、はい、ボットネットである可能性がありますが、ゾンビが非常に少量(20 ...)しかないためです。または、外部機関を持つ米国ベースの社会。

  • すべてのパケットは同じttlおよびとして非常に近いように見えますすべてのパケットはMACアドレスを示しますインターネット上でルーティングできませんでした!! TCPDumpは次のようなものを出力できます。

     In ethertype IPv4 (0x0800)
    

    このMACアドレスはすべてランダムに見えますが、公式のMACアドレスと一致するものはありません。

    多分イーサネットパケットで遊んでいる人かもしれません...多分あなたのローカルネットのどこかに!?

1
F. Hauri