Определение типа трафика сниффером?

Question

[Константин Буланов]

Возник по работе веопрос: сниффер, насколько я понимаю, разбирает принимаемые пакеты по протоколам, и затем уже выдаёт (если запросишь) анализ: что именно передавалось. А можно ли обнаружить в RAW-пакете сам факт передачи определённых данных, не анализируя протоколы? То есть, по характерной последовательности данных сказать - вот тут у нас передавался траффик ICMP? Или же вынести такое заключение можно только после того, как принятый IP-пакет будет разобран?

Answer 1

[throughtheether]

Поясните, какую конкретно задачу вы решаете.

То есть, по характерной последовательности данных сказать - вот тут у нас передавался траффик ICMP? Или же вынести такое заключение можно только после того, как принятый IP-пакет будет разобран?

А определение протокола - это разве не разбор пакета (хотя бы частичный)?

А можно ли обнаружить в RAW-пакете сам факт передачи определённых данных, не анализируя протоколы? То есть, по характерной последовательности данных сказать - вот тут у нас передавался траффик ICMP?

В вашем случае надо смотреть на поле Protocol пакета IP, это, по-моему, байт номер 10, считая от 1. В случае ICMP там будет значение 1.

Comments

[Константин Буланов]

Задача - определить возможность быстрого определения наличия определённых данных в трафике - например, факта передачи данных по IMAP, управления устройствами или сбор данных по ICMP, передачи данных с использованием шифрования SSL или TLS. Причём - максимально простое определение. Реализацией не мне заниматься, от меня просили уточнения возможности.

По ICMP смысл понял. Судя по всему, с протоколами верхних уровней, такими как IMAP, такое не пройдёт...

[throughtheether]

Константин Буланов: Если надо быстро-просто и без полного разбора, то поиск определенных байт по определенным смещениям. Реализовать это можно, например, при помощи bpf. Но, как вы, на мой вгляд, правильно заметили, при работе со сложными прикладными протоколами вскроется множество нюансов.

Можете на первых порах определять IP протокол (ICMP/TCP/UDP), и, исходя из номера порта назначения, назначать категорию (http, https и т.д.) и уже внутри категории действовать эвристиками.

Также можете посмотреть, как такая задача решается IDS/IPS вроде snort. Там, по-моему, были какие-то подходы к ускорению определения трафика.