Как определить протокол без привязки к порту?

Question

[Иван Громов]

Всем привет.
Кто-нибудь сталкивался с вопросом опредедения протокола без привязки к номеру порта? Может существуют какие-нибудь алгоритмы, например, как делает это wireshark. Может существует какая-то библиотека, в которой это реализовано?
Да, например, в http понятно как: можно попробовать найти какие-то шаблоны, но что делать в других протоколах, по типу ftp, pop3 и т.д не очень понятно.
UDP: Определение протоколов прикладного уровня.

Answer 1

[Станислав Макаров]

https://www.wireshark.org/lists/wireshark-dev/2008...

....
For example TCP defines port 80 only for the use of HTTP traffic. But, this convention doesn't prevent anyone from using TCP port 80 for some different protocol, or on the other hand using HTTP on a port number different to 80.

To solve this problem, Wireshark introduced the so called heuristic dissector mechanism to try to deal with these problems.

По ссылке в мейлинг-листе вайршарка дают подробный ответ на этот непростой вопрос.

Comments

[Иван Громов]

То что нужно. Спасибо, вопрос закрыт.

Answer 2

[Дмитрий]

Тип протокола указан в заголовке в ip пакете. Заголовки описаны в RFC

Comments

[Иван Громов]

Нужны протоколы прикладного уровней

[Дмитрий]

Иван Громов, значит ловите данные на нужно в вам уровне и читаете заголовки. Ничего не меняется относительно первоначального ответа. Каждый следующий уровень инкапсуляции содержит информацию о том что в нём лежит.

[Иван Громов]

Дмитрий, Нет, посмотрите ,например, дамп протокола ftp, это просто plain текст, в котором не упоминается ничего о том, что это протокол ftp. А сразу начинается процесс аутентификации. И если изменить порт со стандартного на любой другой, то становится непонятно что это за протокол.

[Дмитрий]

Иван Громов, plain text, а точнее команды, передаются непосредственно для приложения. Приложение запаковывает их в tcp и в заголовке пишет что внутри лежит ftp порт такой-то. Ну посмотрите в том же wireshark'е матрёшку протоколов или умных книжек Таненбаум в почитайте.

[Иван Громов]

Дмитрий, в tcp не указывается протокол вышестоящего уровня, а в моем вопросе формулировка стоит такая, что анализ должен проводитсья без привязки к номеру порта. Допустим, поменяли ftp порт с 21, на 9998 и все тогда, остался только какой-то "непонятный" текст

Answer 3

[res2001]

И FTP и POP3, а так же SMTP, IMAP и многие другие являются текстовыми протоколами, там так же можно определить протокол по содержимому пакета.
В двоичных протоколах такой метод то же может работать, только анализировать нужно уже двоичную информацию, а не текстовую.
В любом случае для анализа нужно знать сам протокол хоть текстовый, хоть двоичный.
Но, конечно, не все так можно определить. Например, если любой из протоколов спрятан за SSL, то снаружи вы увидите шифрованный трафик, а что внутри без расшифровки понять уже не возможно.

Кроме того определение протокола по номеру порта - так себе идея, т.к., наверное, любой сервер поддерживает возможность смены порта.