这个 tcpdump 的输出是什么意思?

网络工程 转储 入侵预防
2021-07-07 01:11:32

波纹管我显示了我的 tcpdump 的输出前两行的意思是什么(所有问号的含义是什么,这是入侵者的标志)?

我特别感兴趣的是这意味着什么:_airplay._tcp.local。PTR(质量管理)?_raop._tcp.local。PTR(质量管理)?_sleep-proxy._udp.local。PTR(质量管理)?_uscan._tcp.local。PTR(质量管理)?_uscans._tcp.local。PTR(质量管理)?_ippusb._tcp.local。PTR(质量管理)?_scanner._tcp.local。PTR(质量管理)?_ipp._tcp.local。PTR(质量管理)?_ipps._tcp.local。PTR(质量管理)?_printer._tcp.local。PTR(质量管理)?_pdl-datastream._tcp.local。PTR(质量管理)?_ptp._tcp.local。PTR(质量管理)?_googlecast._tcp.local。PTR(质量管理)?_airport._tcp.local。PTR(质量管理)?_privet._tcp.local。(247)

06:58:18.995368 IP 192.168.2.22.5353 > 224.0.0.251.5353: 0 [15q] PTR (QM)? _airplay._tcp.local. PTR (QM)? _raop._tcp.local. PTR (QM)? _sleep-proxy._udp.local. PTR (QM)? _uscan._tcp.local. PTR (QM)? _uscans._tcp.local. PTR (QM)? _ippusb._tcp.local. PTR (QM)? _scanner._tcp.local. PTR (QM)? _ipp._tcp.local. PTR (QM)? _ipps._tcp.local. PTR (QM)? _printer._tcp.local. PTR (QM)? _pdl-datastream._tcp.local. PTR (QM)? _ptp._tcp.local. PTR (QM)? _googlecast._tcp.local. PTR (QM)? _airport._tcp.local. PTR (QM)? _privet._tcp.local. (247)
06:58:19.004888 IP 192.168.2.22.5353 > 224.0.0.251.5353: 0 [15q] PTR (QM)? _airplay._tcp.local. PTR (QM)? _raop._tcp.local. PTR (QM)? _sleep-proxy._udp.local. PTR (QM)? _uscan._tcp.local. PTR (QM)? _uscans._tcp.local. PTR (QM)? _ippusb._tcp.local. PTR (QM)? _scanner._tcp.local. PTR (QM)? _ipp._tcp.local. PTR (QM)? _ipps._tcp.local. PTR (QM)? _printer._tcp.local. PTR (QM)? _pdl-datastream._tcp.local. PTR (QM)? _ptp._tcp.local. PTR (QM)? _googlecast._tcp.local. PTR (QM)? _airport._tcp.local. PTR (QM)? _privet._tcp.local. (247)
06:58:21.294223 IP 192.168.2.22.52089 > 239.255.255.250.1900: UDP, length 174
06:58:21.300872 IP 192.168.2.22.52089 > 239.255.255.250.1900: UDP, length 174
2个回答

前两行是 IP 地址为 192.168.2.22 的系统向本地网络中的各种服务的 PTR 记录发送一堆 mDNS 多播查询。

PTR 表示消息是关于指针记录的,(QM) 是 mDNS 请求数据包中的标志(查询和多播),问号只是让人们更容易看出这是一个查询。

  • PTR (QM)? _airplay._tcp.local. 这里有任何支持 Apple AirPlay 的视频显示吗?
  • PTR (QM)? _raop._tcp.local. 这里有任何支持 Apple AirPlay 的音频设备吗?
  • PTR (QM)? _sleep-proxy._udp.local. 有没有一种设备可以告诉任何可能会问我在我打瞌睡以进行快速省电小睡时仍然有空的人?
  • PTR (QM)? _uscan._tcp.local. 这里有兼容 HP 的网络扫描仪吗?
  • PTR (QM)? _uscans._tcp.local. 这里有任何支持 SSL/TLS 的 HP 兼容网络扫描仪吗?
  • PTR (QM)? _ippusb._tcp.local. 是否有使用 IPP-over-USB 协议的共享打印机,即 Mac 共享的 USB 连接打印机?
  • PTR (QM)? _scanner._tcp.local. 是否有任何支持 Bonjour 的扫描仪?
  • PTR (QM)? _ipp._tcp.local. 这里有使用IPP协议的打印机吗?
  • PTR (QM)? _ipps._tcp.local. 任何支持 SSL/TLS 的 IPP 打印机?
  • PTR (QM)? _printer._tcp.local. 任何类型的共享打印机?
  • PTR (QM)? _pdl-datastream._tcp.local. 任何 HP JetDirect 式网络打印机?
  • PTR (QM)? _ptp._tcp.local. 是否有任何设备支持该网络上的图片传输协议?
  • PTR (QM)? _googlecast._tcp.local. 此网络中是否有支持 ChromeCast 的设备?
  • PTR (QM)? _airport._tcp.local. 有没有 Apple AirPort WiFi AP?
  • PTR (QM)? _privet._tcp.local. 任何支持 Google CloudPrint 的打印机或打印服务?

在最后两行中,同一设备发送多播 SSDP(一种类似于 HTTP 的简单服务发现协议)消息,但tcpdump没有对该协议进行足够深入的分析,以判断它是在查询本地服务还是宣布自己的网络服务。SSDP 查询将是例如网络 uPnP 中的第一步,如果 NAT 路由器启用了 uPnP 功能,它可能允许应用程序通过 NAT 自动请求临时端口转发。

我认为这四行是智能手机或平板电脑在连接到 WiFi 网络时可能进行的查询的一个相当典型的例子。

前两条平均线是什么意思?

192.168.2.22.5353

此消息的发送者192.168.2.22,端口号5353我假设它是UDP。

 224.0.0.251.5353

它是多播组的多播消息224.0.0.251,UDP 端口号5353

此组播组和此端口号用于mDNS /IPv4。mDNS 是我知道的至少三种协议之一,它们在本地网络中用于查找具有特定主机名且不需要 DNS 服务器的计算机的 IP 地址。

多播消息由本地网络中的所有计算机发送和接收。在 mDNS 的情况下,具有所需信息的计算机将使用单播数据包(直接发送到原始数据包的发送者的数据包)来回答请求。

换句话说:一台计算机向computer1.local本地网络中的所有计算机发送一个带有问题“IP地址是什么”的数据包具有主机名的计算机computer1.local会将其自己的 IP 地址发送回发件人。

其它你可能感兴趣的问题
上一篇半双工可以和全双工设备通信吗 下一篇如何理解“在一个路由器中,这个数字可以达到几十万”?