IP头部的协议指示为200？

laggar · 发表于 2014-7-14 23:54:50

今天看到一个数据，IP头部的第9个字节的协议指示为0xC8，很是奇怪，这是什么协议啊，可是IP头部后面很明显是TCP头部，但是在IP头部和TCP头中间又插了一个字节的计数，很奇怪，没见过，所以请教各位大神，是网络设备把TCP/IP的头部给改了么？

网络盒子 · 发表于 2014-7-15 09:05:02

请大神指点

zer0day · 发表于 2014-7-15 10:14:02

常见的IP头上层协议号如下
ICMP：1
IGMP：2
TCP：6
UDP：17
EIGRP：88
OSPF：89

显然0xC8（200）是不存在的，网络设备不会修改这个字段，具体什么问题需要从数据交互来看。
之前碰见过类似情况其实是客户端伪造的畸形包，服务器收到这种畸形报会回复客户端ICMP的协议不可达消息，如果客户端收到服务器的ICMP说明服务器开启，通过这种畸形报文的扫描可以绕过安全设备的检测。

大金子 · 发表于 2014-7-15 13:27:32

1# laggar 你的问题解决了么

IP头部的协议指示为200？

评分