[sage] Rätselhafte UDP Verbindungsversuche
Kurt Jaeger
pi at c0mplx.org
Mon Dec 22 21:39:48 CET 2008
Hi!
> On Mon, 22 Dec 2008, Florian Streibelt wrote:
> > Wenn Du ein pcap-file zur Verfügung stellen könntest, in dem die
> > Pakete mal komplett und von der Anzahl her ein par mehr drin sind,
> > wäre das hilfreich.
>
> ein Mitschnitt vom Wochenende (gepackt 18M) liegt hier:
>
> http://www.cis.fu-berlin.de/~goehmann/UDP-Verbindungsversuche.tcpdump.bz2
xterm mit 71 rows; 176 colums und:
tcpdump -r UDP-Verbindungsversuche.tcpdump -x -vvX -s 1500 -n host 60.208.18.202 | less
sieht wirklich cool aus 8-)
In den Paketen aendern sich nur wenige Bytes:
- die ID (markiert als XXXX)
- die Source-Port Nummer (von ca. 1026 auf knapp unter 5000, markiert
als YYYY)
- Ein 16bit Feld, das rueckwaerts zaehlt (ZZZZ), die header checksum
- Ein weiteres 16bit Feld (UUUU)
- ein 48bit Feld, das sich stark aendert: H1H2H3
- ein 16bit Feld, das zwischen verschiedenen (wenigen) Werten
oszilliert (WWWW, mit 2500, 2501, 4801, 2a01, 4101, evt. weitere)
- ein 48bit Feld, das sich auch stark aendert: H4H5H6
- ein 8bit-Feld, das sich aendert: GG
18:01:46.938651 IP (tos 0x0, ttl 111, id XXXXX, offset 0, flags [none], proto: UDP (17), length: 138) 60.208.18.202.4041 > 160.45.128.124.62997: [udp sum ok] UDP, length 110
0x0000: 4500 008a XXXX 0000 6f11 ZZZZ 3cd0 12ca E.......o..(<...
0x0010: a02d 807c YYYY f615 0076 UUUU 6a00 0000 .-.|.....v..j...
0x0020: 0032 0001 0100 0006 0000 1500 0000 H1H1 .2..............
0x0030: H2H2 H3H3 WWWW H4H4 H5H5 H6H6 0000 0000 |fV^H.{...,,....
0x0040: 0000 0001 0004 0000 001f 2700 0002 0015 ..........'.....
0x0050: 0000 00bc e586 21d0 ba48 017c 802d a015 ......!..H.|.-..
0x0060: f652 00a8 c0f6 1500 0400 0400 0000 GG00 .R............a.
0x0070: 0000 0500 0800 0000 1ddd 86d0 c9ba 4801 ..............H.
0x0080: 0600 0400 0000 0000 0000 ..........
Der Rest ist ziemlich statisch, auch bei anderen Quell-IPs.
--
pi at opsec.eu +49 171 3101372 12 years to go !
More information about the SAGE
mailing list