Определить декодирование протокола для нестандартных портов в Wireshark

Мне интересно, есть ли эвристический плагин, программное обеспечение или другой процесс для определения протокола при использовании нестандартного TCP-порта.

Wireshark расшифровывает пакеты на основе известного номера порта. Например, TCP 80 будет декодирован как HTTP. Существует некоторый уровень гибкости, такой как возможность определять трафик TCP 8080 как HTTP и соответствующим образом декодироваться. Мой вопрос окружает декодирование нестандартных номеров портов. Вы можете использовать функцию «Декодировать как ...» для этого, при условии, что протокол известен.

Ниже приведен сеанс с сервером, прослушивающим TCP 4443, который официально является протоколом проверки электронной почты Remote Zone P /L>, для которого нет декодирования, и я был уверен, что это не то, что он является:

 TCP decode

Я принял дикое предположение, основанное на сходстве 443 и 4443 и сделал «Decode As ...» SSL и был награжден:

 введите описание изображения здесь>> </a> </p>

<p> Это сработало, однако это может быть много угадывания /проб и ошибок. Поскольку я могу анализировать полезную нагрузку и, скорее всего, найти подсказки относительно протокола, существует ли автоматизированный способ сделать то же самое в Wireshark или другом инструменте? </p></body></html>

2 голоса | спросил AbraCadaver 14 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowMon, 14 Sep 2015 22:40:51 +0300 2015, 22:40:51

1 ответ


2

Вам нужно программное обеспечение, которое выполняет DPI (Deep Packet Inspection). Некоторые компании разработали стандартные правила для некоторых протоколов, где в TCP или UDP-пакете или в некоторой последовательности он может идентифицировать протокол или приложение, которое работает.

Этот вид приложения реализует анализ уровня 7 пакета, сопоставляя содержимое пакета с огромной базой правил.

Как и @ojs, вы можете попробовать nDPI из ntop , проверьте его и просмотрите результаты.

Cisco также имеет свою собственную базу данных, которая может использоваться с OPNManager, но требует лицензии.

ответил Orlando Gaetano 14 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowMon, 14 Sep 2015 22:45:25 +0300 2015, 22:45:25

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132