Quadro de transmissão com Ethertype desconhecido

Question

Isso não é um Ethertype.

Os quadros Ethernet podem ter algunsdiferentes formatos de cabeçalho– “Ethernet II” também conhecido como “DIX” é o mais comum, mas não é o que o padrão IEEE 802 especificou originalmente.

No padrãoFormato 802.2(também conhecido como "LLC"), os endereços MAC são seguidos por um caractere de 2 bytescomprimento do quadrocampo, seguido por um cabeçalho LLC de 3 bytes que contém dois valores 'SAP' (geralmente idênticos) indicando o número do protocolo atribuído pelo IEEE.

(É fácil distinguir os dois formatos - um "Ethertype" Ethernet II está sempre acima de 0x0600, enquanto o "comprimento do quadro" 802.2 está sempre abaixo de 0x0600.)

FF FF FF FF FF FF    destination MAC
00 12 3F 8C BB C2    source MAC
00 54                frame length (84 bytes)
E0 E0 03             LLC header
├─E0                   DSAP (E0=NetWare)
├─E0                   SSAP (E0=NetWare)
└─03                   control
FF FF 00 50 00...    data

Nesse caso, você está vendo um quadro com SSAP=0xE0, DSAP=0xE0, que indica NovellNetware IPX. Os dados do pacote começam em FF FF ..., o que também corresponde ao formato de pacote NetWare IPX usual.

Atualizar

10:06:07.093666 IPX 00000000.00:12:3f:8c:bb:c2.0455 > 00000000.ff:ff:ff:ff:ff:ff.0455:
ipx-netbios 50
     0x0000:  ffff ffff ffff 0012 3f8c bbc2 0054 e0e0 ........?....T..
     0x0010:  03ff ff00 5000 1400 0000 00ff ffff ffff  ....P...........
     0x0020:  ff04 5500 0000 0000 123f 8cbb c204 5500  ..U......?....U.
     0x0030:  0000 0000 0000 0000 0000 0000 0000 0000  ................
     0x0040:  0000 0000 0000 0000 0000 0000 0000 0000  ................
     0x0050:  0157 4f52 4b47 524f 5550 2020 2020 2020  .WORKGROUP......
     0x0060:  1eff

De acordo com a saída do seu tcpdump, é de fato IPX, e o pacote está sendo enviado no soquete 0x0455, que pertence à MicrosoftNetBIOSe não para qualquer protocolo NetWare. (Os números de soquete IPX são como os números de porta UDP.)

NetBIOS sobre IPX funciona exatamente como NetBIOS sobre TCP/IPv4 – ele lida com pesquisa de nome de host, lida com descoberta de “Vizinhança de rede” / “Meus computadores de rede” e, o mais importante, carrega SMBv1 – o antigo protocolo de compartilhamento de arquivos e impressoras do Windows.

Não sei sobre esse pacote específico, mas WORKGROUPseguido por 0x1E geralmente significa "Eleições de serviço do navegador" - novamente, apenas parte de toda a descoberta do computador LAN. (Se fosse enviado por UDP/IP, seria um pacote completamente normal visto todos os dias em LANs Windows.)

Eu recomendaria usar tcpdump -uw mypackets.pcape abrir o arquivo .pcap capturado no Wireshark, que pode decodificar totalmente todos esses protocolos.

Eu também recomendaria desabilitar o IPX no dispositivo. (E enquanto estiver fazendo isso, verifique se o dispositivo tem AppleTalk ativado – desative-o também.)

Answer 1

Isso não é um Ethertype.

Os quadros Ethernet podem ter algunsdiferentes formatos de cabeçalho– “Ethernet II” também conhecido como “DIX” é o mais comum, mas não é o que o padrão IEEE 802 especificou originalmente.

No padrãoFormato 802.2(também conhecido como "LLC"), os endereços MAC são seguidos por um caractere de 2 bytescomprimento do quadrocampo, seguido por um cabeçalho LLC de 3 bytes que contém dois valores 'SAP' (geralmente idênticos) indicando o número do protocolo atribuído pelo IEEE.

(É fácil distinguir os dois formatos - um "Ethertype" Ethernet II está sempre acima de 0x0600, enquanto o "comprimento do quadro" 802.2 está sempre abaixo de 0x0600.)

FF FF FF FF FF FF    destination MAC
00 12 3F 8C BB C2    source MAC
00 54                frame length (84 bytes)
E0 E0 03             LLC header
├─E0                   DSAP (E0=NetWare)
├─E0                   SSAP (E0=NetWare)
└─03                   control
FF FF 00 50 00...    data

Nesse caso, você está vendo um quadro com SSAP=0xE0, DSAP=0xE0, que indica NovellNetware IPX. Os dados do pacote começam em FF FF ..., o que também corresponde ao formato de pacote NetWare IPX usual.

Atualizar

10:06:07.093666 IPX 00000000.00:12:3f:8c:bb:c2.0455 > 00000000.ff:ff:ff:ff:ff:ff.0455:
ipx-netbios 50
     0x0000:  ffff ffff ffff 0012 3f8c bbc2 0054 e0e0 ........?....T..
     0x0010:  03ff ff00 5000 1400 0000 00ff ffff ffff  ....P...........
     0x0020:  ff04 5500 0000 0000 123f 8cbb c204 5500  ..U......?....U.
     0x0030:  0000 0000 0000 0000 0000 0000 0000 0000  ................
     0x0040:  0000 0000 0000 0000 0000 0000 0000 0000  ................
     0x0050:  0157 4f52 4b47 524f 5550 2020 2020 2020  .WORKGROUP......
     0x0060:  1eff

De acordo com a saída do seu tcpdump, é de fato IPX, e o pacote está sendo enviado no soquete 0x0455, que pertence à MicrosoftNetBIOSe não para qualquer protocolo NetWare. (Os números de soquete IPX são como os números de porta UDP.)

NetBIOS sobre IPX funciona exatamente como NetBIOS sobre TCP/IPv4 – ele lida com pesquisa de nome de host, lida com descoberta de “Vizinhança de rede” / “Meus computadores de rede” e, o mais importante, carrega SMBv1 – o antigo protocolo de compartilhamento de arquivos e impressoras do Windows.

Não sei sobre esse pacote específico, mas WORKGROUPseguido por 0x1E geralmente significa "Eleições de serviço do navegador" - novamente, apenas parte de toda a descoberta do computador LAN. (Se fosse enviado por UDP/IP, seria um pacote completamente normal visto todos os dias em LANs Windows.)

Eu recomendaria usar tcpdump -uw mypackets.pcape abrir o arquivo .pcap capturado no Wireshark, que pode decodificar totalmente todos esses protocolos.

Eu também recomendaria desabilitar o IPX no dispositivo. (E enquanto estiver fazendo isso, verifique se o dispositivo tem AppleTalk ativado – desative-o também.)

Quadro de transmissão com Ethertype desconhecido

Responder1

Atualizar

informação relacionada