strange Ethernet frame

Victor Sudakov

8 Dec 2005 8 Dec '05

11:01 a.m.

Коллеги, Как вы думаете, что это за пакетик такой может быть? begin 644 strange.dmp MU,.RH0(`!````````````-`'```!````EL.60Z%0`@!P````<````$4``'"T M:P``!1'IA:P0BGC@``$#`@$"`0!

Show replies by date

Igor Karpov

8 Dec 8 Dec

11:12 a.m.

Victor Sudakov wrote:

...

Коллеги,

Как вы думаете, что это за пакетик такой может быть?

begin 644 strange.dmp MU,.RH0(`!````````````-`'```!````EL.60Z%0`@!P````<````$4``'"T M:P``!1'IA:P0BGC@``$#`@$"`0!

yard:/home/jc> tethereal -r strange.dmp 1 0.000000 Xerox_11:e9:85 -> 45:00:00:70:b4:6b 0xac10 Ethernet II =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Michael Vasilenko

11:13 a.m.

Igor Karpov (jc@minjust.gov.ua) wrote:

...

Victor Sudakov wrote:

...
Коллеги,

Как вы думаете, что это за пакетик такой может быть?

begin 644 strange.dmp MU,.RH0(`!````````````-`'```!````EL.60Z%0`@!P````<````$4``'"T M:P``!1'IA:P0BGC@``$#`@$"`0!
yard:/home/jc> tethereal -r strange.dmp 1 0.000000 Xerox_11:e9:85 -> 45:00:00:70:b4:6b 0xac10 Ethernet II

ксерокс обращается к холодильнику -- Michael Vasilenko =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Alexander V Soroka

11:22 a.m.

New subject: админ в турфирму :)

Здравствуйте ! Нужен "изредка приходящий" админ в знакомую маленькую туристическую фирму :) - офис их на Артема, недалеко от Львовской. 5-6 компов, локалка нада с принтером + инет по диалапу (уже настроен). Требование - ответственность и уравновешенность характера :) - там женщины работают - сами знаетет какие они специалисты в компах :)... О зарплате и не только - с ними непосредственно, я просто познакомлю. Работы там реально мало... -- Best regards, Alexander V Soroka http://www.unet.net.ua AS106-RIPE http://www.spacegate.kiev.ua mailto:alex@euro.net.ua =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Victor Sudakov

11:48 a.m.

Igor Karpov wrote:

...

...
Как вы думаете, что это за пакетик такой может быть?

begin 644 strange.dmp MU,.RH0(`!````````````-`'```!````EL.60Z%0`@!P````<````$4``'"T M:P``!1'IA:P0BGC@``$#`@$"`0!
yard:/home/jc> tethereal -r strange.dmp 1 0.000000 Xerox_11:e9:85 -> 45:00:00:70:b4:6b 0xac10 Ethernet II

Ethereal я и сам могу запустить, и запускал, да только не знает он, что это такое. Пишет unknown ethernet type, а про payload пишет просто data. Вот и решил спросить, может кому знакомо покажется? -- Victor Sudakov, VAS4-RIPE, VAS47-RIPN sip:sudakov@sibptus.tomsk.ru =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Victor Sudakov

11:49 a.m.

Michael Vasilenko wrote:

...

...
...
Как вы думаете, что это за пакетик такой может быть?

begin 644 strange.dmp MU,.RH0(`!````````````-`'```!````EL.60Z%0`@!P````<````$4``'"T M:P``!1'IA:P0BGC@``$#`@$"`0!
yard:/home/jc> tethereal -r strange.dmp 1 0.000000 Xerox_11:e9:85 -> 45:00:00:70:b4:6b 0xac10 Ethernet II

ксерокс обращается к холодильнику

Ага, со словами root и ttyp0 внутри payload. -- Victor Sudakov, VAS4-RIPE, VAS47-RIPN sip:sudakov@sibptus.tomsk.ru =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Andrey Lakhno

11:53 a.m.

Hello, On Thu, 08 Dec 2005, Victor Sudakov wrote: VS> > > >Как вы думаете, что это за пакетик такой может быть? VS> > > > VS> > > > VS> > > >begin 644 strange.dmp VS> > > >MU,.RH0(`!````````````-`'```!````EL.60Z%0`@!P````<````$4``'"T VS> > > >M:P``!1'IA:P0BGC@``$#`@$"`0! > > >M`````````````````````````````````%$```!"````3D,T]V=T='EP,``` VS> > > >1`')O;W0`````0Y;!UP```(4` VS> > > >` VS> > > >end VS> > > > VS> > > > VS> > > yard:/home/jc> tethereal -r strange.dmp VS> > > 1 0.000000 Xerox_11:e9:85 -> 45:00:00:70:b4:6b 0xac10 Ethernet II VS> > VS> > ксерокс обращается к холодильнику VS> VS> Ага, со словами root и ttyp0 внутри payload. Console over ethernet ? -- Andrey Lakhno, land-ripe =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Valentin Nechayev

12:08 p.m.

Thu, Dec 08, 2005 at 17:01:18, sudakov wrote about "[uanog] strange Ethernet frame":

...

Как вы думаете, что это за пакетик такой может быть?

Со смещения 0x28 чётко читается IP-пакет с 172.16.138.120 на 224.0.1.3, протокол UDP, порты 513->513, посему это тривиальный rwho multicast. Содержимое пакета это подтверждает. Какого лешего муть в заголовке capture-файла (и поэтому разбор начался с неправильной позиции) - не ко мне. -netch- =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Victor Sudakov

12:10 p.m.

Andrey Lakhno wrote:

...

VS> > > >Как вы думаете, что это за пакетик такой может быть? VS> > > > VS> > > > VS> > > >begin 644 strange.dmp VS> > > >MU,.RH0(`!````````````-`'```!````EL.60Z%0`@!P````<````$4``'"T VS> > > >M:P``!1'IA:P0BGC@``$#`@$"`0! > > >M`````````````````````````````````%$```!"````3D,T]V=T='EP,``` VS> > > >1`')O;W0`````0Y;!UP```(4` VS> > > >` VS> > > >end VS> > > > VS> > > > VS> > > yard:/home/jc> tethereal -r strange.dmp VS> > > 1 0.000000 Xerox_11:e9:85 -> 45:00:00:70:b4:6b 0xac10 Ethernet II VS> > VS> > ксерокс обращается к холодильнику VS> VS> Ага, со словами root и ttyp0 внутри payload.

Console over ethernet ?

А оно использует 0xac10 тип? И откуда оно могло взяться в моей сети? BTW такого src MAC в таблицах свичей не наблюдается. -- Victor Sudakov, VAS4-RIPE, VAS47-RIPN sip:sudakov@sibptus.tomsk.ru =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Victor Sudakov

2:48 p.m.

Valentin Nechayev wrote:

...

...
Как вы думаете, что это за пакетик такой может быть?

Со смещения 0x28 чётко читается IP-пакет с 172.16.138.120 на 224.0.1.3, протокол UDP, порты 513->513, посему это тривиальный rwho multicast. Содержимое пакета это подтверждает.

Спасибо, успокоил.

...

Какого лешего муть в заголовке capture-файла (и поэтому разбор начался с неправильной позиции) - не ко мне.

Это уже менее интересно. Собственно, поймался он совершенно случайно, когда мне нужно было посмотреть IGMP и я сделал "tcpdump -s 2000 multicast". Может, битый кадр. Еще раз спасибо. -- Victor Sudakov, VAS4-RIPE, VAS47-RIPN sip:sudakov@sibptus.tomsk.ru =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

6954

Age (days ago)

6954

Last active (days ago)

List overview

Download

9 comments

6 participants

participants (6)

Alexander V Soroka
Andrey Lakhno
Igor Karpov
Michael Vasilenko
Valentin Nechayev
Victor Sudakov