一段时间以来,我发现自己对数据包分析很感兴趣,我试图找出我在网络捕获中看到的各种东西。我希望你们能帮我找出这个。
在公司网络中,我看到一台 Fortigate 100E 路由器不断地向应用服务器发送 ICMP 数据包。我的第一个想法是,“好吧,没那么特别,也许他们使用 ICMP 进行监控或保持活动状态”。但后来我注意到源端口和目标端口都被填满了。
它在 ICMP 消息中使用 TCP。这很奇怪吧?我一直认为 ICMP 是不使用第 4 层 TCP 的第 3 层控制协议。
另一件让我感到好奇的事情是,ICMP 流量是在一个方向上使用不同的目标端口。就像它在进行端口扫描——这可能吗?源端口始终为 443。
我不控制路由器,所以我无法检查路由器配置。我只是想了解我在收到的痕迹中看到的流量。