En mi sistema Linux capturé esta trama Ethernet:
consta de 62 bytes:
FF FF FF FF FF FF 00 12 3F 8C BB C2 00 54 E0 E0 03 FF FF 00 50 00
¿Alguna idea de qué es el Ethertype "00 54"?
Esto es lo que obtengo con tcpdump:
10:06:07.093666 IPX 00000000.00:12:3f:8c:bb:c2.0455 > 00000000.ff:ff:ff:ff:ff:ff.0455: ipx-netbios 50 0x0000: ffff ffff ffff 0012 3f8c bbc2 0054 e0 ........?....T..
0x0010: 03ff ff00 5000 1400 0000 00ff ffff ffff ....P...........
0x0020: ff04 5500 0000 0000 123f 8cbb c204 5500 ..U......?....U.
0x0030: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0040: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0050: 0157 4f52 4b47 524f 5550 2020 2020 2020 .WORKGROUP......
0x0060: 1eff ..
Respuesta1
Ese no es un Ethertype.
Las tramas Ethernet pueden tener algunosdiferentes formatos de encabezado– "Ethernet II", también conocido como "DIX", es el más común, pero no es lo que el estándar IEEE 802 había especificado originalmente.
en el estandarformato 802.2(también conocido como "LLC"), las direcciones MAC van seguidas de un código de 2 byteslongitud del marco, seguido de un encabezado LLC de 3 bytes que contiene dos valores 'SAP' (generalmente idénticos) que indican el número de protocolo asignado por IEEE.
(Es fácil distinguir los dos formatos: un "Ethertype" de Ethernet II siempre está por encima de 0x0600, mientras que la "longitud de trama" 802.2 siempre está por debajo de 0x0600).
FF FF FF FF FF FF destination MAC
00 12 3F 8C BB C2 source MAC
00 54 frame length (84 bytes)
E0 E0 03 LLC header
├─E0 DSAP (E0=NetWare)
├─E0 SSAP (E0=NetWare)
└─03 control
FF FF 00 50 00... data
En este caso, está viendo un cuadro con SSAP=0xE0, DSAP=0xE0, lo que indica NovellIPX de NetWare. Los datos del paquete comienzan en FF FF ..., que también coincide con el formato de paquete IPX habitual de NetWare.
Actualizar
10:06:07.093666 IPX 00000000.00:12:3f:8c:bb:c2.0455 > 00000000.ff:ff:ff:ff:ff:ff.0455: ipx-netbios 50 0x0000: ffff ffff ffff 0012 3f8c bbc2 0054 e0e0 ........?....T.. 0x0010: 03ff ff00 5000 1400 0000 00ff ffff ffff ....P........... 0x0020: ff04 5500 0000 0000 123f 8cbb c204 5500 ..U......?....U. 0x0030: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 0x0040: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 0x0050: 0157 4f52 4b47 524f 5550 2020 2020 2020 .WORKGROUP...... 0x0060: 1eff
Según el resultado de tcpdump, de hecho es IPX y el paquete se envía en el socket 0x0455, que pertenece a Microsoft.NetBIOSy no a ningún protocolo NetWare. (Los números de socket IPX son algo así como los números de puerto UDP).
NetBIOS sobre IPX funciona exactamente igual que NetBIOS sobre TCP/IPv4: maneja la búsqueda de nombres de host, maneja el descubrimiento de "Entorno de red" / "Mis computadoras de red" y, lo más importante, incluye SMBv1, el antiguo protocolo para compartir archivos e impresoras de Windows.
No sé acerca de este paquete específico, pero WORKGROUPseguido de 0x1E generalmente significa "Elecciones del servicio del navegador"; nuevamente, solo es parte de todo el asunto del descubrimiento de computadoras en la LAN. (Si se enviara a través de UDP/IP, sería un paquete completamente normal que se ve todos los días en las LAN de Windows).
Recomendaría usar tcpdump -uw mypackets.pcapy abrir el archivo .pcap capturado en Wireshark, que puede decodificar completamente todos estos protocolos.
También recomendaría desactivar IPX en el dispositivo. (Y mientras lo hace, verifique si el dispositivo tiene AppleTalk habilitado; desactívelo también).