알 수 없는 Ethertype이 있는 브로드캐스트 프레임

그것은 Ethertype이 아닙니다.

이더넷 프레임은 몇 가지를 가질 수 있습니다다양한 헤더 형식– "DIX"라고도 알려진 "이더넷 II"가 가장 일반적인 것이지만 이는 IEEE 802 표준이 원래 지정한 것과는 다릅니다.

표준에서는802.2 형식(일명 "LLC") MAC 주소 뒤에는 2바이트 숫자가 옵니다.프레임 길이필드 뒤에는 IEEE 할당 프로토콜 번호를 나타내는 두 개의 'SAP' 값(일반적으로 동일함)이 포함된 3바이트 LLC 헤더가 옵니다.

(두 형식을 구별하는 것은 쉽습니다. 이더넷 II "Ethertype"은 항상 0x0600보다 크고 802.2 "프레임 길이"는 항상 0x0600보다 낮습니다.)

FF FF FF FF FF FF    destination MAC
00 12 3F 8C BB C2    source MAC
00 54                frame length (84 bytes)
E0 E0 03             LLC header
├─E0                   DSAP (E0=NetWare)
├─E0                   SSAP (E0=NetWare)
└─03                   control
FF FF 00 50 00...    data

이 경우 Novell을 나타내는 SSAP=0xE0, DSAP=0xE0인 프레임을 보고 있습니다.넷웨어 IPX. 패킷 데이터는 에서 시작하며 FF FF ...이는 일반적인 NetWare IPX 패킷 형식과도 일치합니다.

업데이트

10:06:07.093666 IPX 00000000.00:12:3f:8c:bb:c2.0455 > 00000000.ff:ff:ff:ff:ff:ff.0455:
ipx-netbios 50
     0x0000:  ffff ffff ffff 0012 3f8c bbc2 0054 e0e0 ........?....T..
     0x0010:  03ff ff00 5000 1400 0000 00ff ffff ffff  ....P...........
     0x0020:  ff04 5500 0000 0000 123f 8cbb c204 5500  ..U......?....U.
     0x0030:  0000 0000 0000 0000 0000 0000 0000 0000  ................
     0x0040:  0000 0000 0000 0000 0000 0000 0000 0000  ................
     0x0050:  0157 4f52 4b47 524f 5550 2020 2020 2020  .WORKGROUP......
     0x0060:  1eff   

tcpdump 출력에 따르면 이는 실제로 IPX이고 패킷은 Microsoft에 속한 소켓 0x0455에서 전송되고 있습니다.NetBIOSNetWare 프로토콜에는 적용되지 않습니다. (IPX 소켓 번호는 UDP 포트 번호와 비슷합니다.)

IPX를 통한 NetBIOS는 TCP/IPv4를 통한 NetBIOS와 동일하게 작동합니다. 즉, 호스트 이름 조회를 처리하고 "네트워크 환경"/"내 네트워크 컴퓨터" 검색을 처리하며 가장 중요한 것은 이전 Windows 파일 및 프린터 공유 프로토콜인 SMBv1을 전달한다는 것입니다.

이 특정 패킷에 대해서는 모르지만 WORKGROUP0x1E 뒤에 오는 것은 일반적으로 "브라우저 서비스 선택"을 의미합니다. 다시 말하지만 전체 LAN 컴퓨터 검색 작업의 일부일 뿐입니다. (UDP/IP를 통해 전송된 경우 Windows LAN에서 매일 볼 수 있는 완전히 정상적인 패킷입니다.)

tcpdump -uw mypackets.pcap이러한 모든 프로토콜을 완전히 디코딩할 수 있는 Wireshark에서 캡처된 .pcap 파일을 사용하고 여는 것이 좋습니다 .

또한 장치에서 IPX를 비활성화하는 것이 좋습니다. (그리고 그 동안 장치에 AppleTalk가 활성화되어 있는지 확인하고 비활성화하십시오.)