关于网内抓包出现0.33.216.220IP地址问题的分析

作者:易隐者 发布于:2012-8-12 10:09 Sunday 分类:案例讨论

        上周三有个广州的兄弟在CSNA认证专家组群里上传了一个数据包文件,说在抓包时发现网内存在0.33.216.220的IP地址,让大家帮忙分析一下具体是怎么回事,当时我的建议是分析具体交互的报文来确定,由于当时正在忙于周五的渠道技术精英交流会的PPT,没时间细看其上传的报文,昨晚终于下载了那个数据包文件,下面我将针对这个问题做一个具体的分析:

1, 通过IP端点视图,发现的确存在IP为0.33.216.220地址的交互报文,如下图所示:
 

点击查看原图

2, 定位节点浏览器,确定与0.33.216.220交互的地址有哪些: 

点击查看原图


         发现与0.33.216.220交互的地址主要有以下几个:

127.166.154.107、127.32.167.96、132.162.77.93、132.232.114.176、158.22.6.104、166.204.176.73
、176.86.36.0、197.182.169.215、223.78.160.0

       通过这些IP我们发现两点异常的地方:

1),存在127环回网卡地址段的源IP,127.166.154.107,127.32.167.96;
2),在源地址上出现网络地址:176.86.36.0 ,223.78.160.0;

       127回环地址只可能出现在系统内部,不会出现在网络上,源地址为网段地址的也不符合网络标准。
分析至此,我们至少可以肯定这是异常的报文。

       接下来我们分析这到底是什么异常报文,如何分析?当然是结合其具体交互的原始报文来进行分析。

3, 我们从中挑出一些IP会话进行交互的报文的深入分析:

1),176.86.36.0-0.33.216.220
查看176.86.36.0与0.33.216.220交互报文的解码,我们可以清楚的看到这个一个HTTP服务器的响应报文:
 

点击查看原图

点击查看原图


2),127.166.154.107-0.33.216.220
查看127.166.154.107与0.33.216.220交互报文的解码,我们可以清楚的看到这个一个邮件服务器交互的报文:

点击查看原图

点击查看原图

点击查看原图

 

3),132.162.77.93-0.33.216.220
我们可以看到封装的应用数据主要有SMB应用的交互报文、ping报文:

点击查看原图

点击查看原图

 

 

4),132.232.114.176-0.33.216.220
这个交互报文较少,且看不出有意义的数据:
 

点击查看原图

点击查看原图

 

5),166.204.176.73-0.33.216.220
封装的应用数据主要是H3C设备的syslog的日志报文,UTM的日志报文、HTTP的响应报文报文:

点击查看原图

点击查看原图

点击查看原图


 4,我们回过头,再来看专家诊断系统的提示: 

点击查看原图


       在这个数据包文件里,共出现了“IP非法校验和”提示2954次,我们再来看看0.33.216.220这个IP地址,该地址产生2949次“IP非法校验和”提示,如下图所示: 

点击查看原图


        基本上都是0.33.216.220地址产生的“IP非法校验和”,关于IP头部校验和的计算,我引用《TCP/IP详解卷1》第三章 IP网际协议里的一段话“为了计算一份数据报的IP检验和,首先把检验和字段置为0 。然后,对首部中每个16bit进行二进制反码求和(整个首部看成是由一串16 bit的字组成),结果存在检验和字段中。当收到一份IP数据报后,同样对首部中每个16 bit进行二进制反码的求和。由于接收方在计算过程中包含了发送方存在首部中的检验和,因此,如果首部在传输过程中没有发生任何差错,那么接收方计算的结果应该为全1。如果结果不是全1(即检验和错误),那么IP就丢弃收到的数据报。但是不生成差错报文,由上层去发现丢失的数据报并进行重传。”

        综合以上,我觉得出现0.33.216.220地址很可能是部分数据包的报头被中间设备更改了,导致了IP报头校验和错误,而被更改的部分就是协议字段、源IP、目的IP。

       好在这种报文一般都会被丢弃,对网络运行影响应该不大。

       至于有兄弟说,“建议在离其中一个源主机本身找包,最好能定位到是哪个进程发的”,其实看那些源IP,根本不是内部的IP,另外还有127段回环IP,根本不可能被源主机转发到网络中,源地址为网段地址的就更不用说了,因此不存在是异常源主机发包的问题;

“中期针对0.33.216.220地址的数据包只有IP层,其中协议号全部为228,此协议号为未分配范围,所以初步判断为IP协议扫描行为”,扫描对象是0.33.216.220?人家扫描这个不存在的地址是没有任何意义的,另扫描源不是内部真实地址,若真实扫描,也得不到相应的扫描结果啊,因此可以肯定不是什么扫描行为。

 

 


 


 

 

标签: IP报头校验和错误 异常IP地址 报头被更改


您对本文的评分:
当前平均分: 9.5(19 次打分)

版权所有:《蚂蚁网-多维人生,三实而立!》 => 《关于网内抓包出现0.33.216.220IP地址问题的分析
本文地址:http://www.vants.org/?post=88
除非注明,文章均为 《蚂蚁网-多维人生,三实而立!》 原创,欢迎转载!转载请注明本文地址,谢谢。

评论:

dachen
2014-09-24 23:49
想了解下这里最后是有没有定位到是哪台设备发的呢?具体的原因是?感谢回答

发表评论:

Powered by 易隐者 基于emlog 皖ICP备12002343号-1