Я отслеживаю сетевой трафик, и он использует проприетарные протоколы, но почему?

Как ИТ-специалист, я могу дать вам некоторые рекомендации.

Тот факт, что протокол используется главным образом Microsoft или другой компанией, не обязательно делает его проприетарным. Существует множество протоколов, и в тот или иной момент все они были проприетарными. Samba (SMB) - это всего лишь один протокол, который использовал , чтобы владеть как частный, но с тех пор был расширен и понят мировым сообществом, и с тех пор были созданы реализации с открытым исходным кодом. Сам протокол больше не является проприетарным, обязательно. Но главное здесь - вам не нужно беспокоиться об этом трафике. Судя по вашим комментариям после того, как ваше сообщение было сделано, вы более или менее обеспокоены тем, являются ли эти прототипы отличными от того, что вы видите, или нет, и только потому, что вы используете два компьютера и не имеете установленной Samba. Принадлежность протокола объясняется выше, но вторая часть «почему это видно» объясняется ниже.

То, что вы не установили программное обеспечение, которое говорит на SMB, не означает, что что-то еще в сети не установлено. При прослушивании сетевого трафика с помощью Wireshark / tshark или libpcap напрямую вы видите любые пакеты, которые ваша система видит в сетевом соединении, независимо от того, направлена ​​ли она на вас напрямую или нет . Это то, что «анализирует сетевой трафик», подключается к сети и исследует, какой трафик фактически поступает через соединение, чтобы лучше понять состояние сети.

В сфере ИТ-безопасности мы все время так поступаем, когда меня нанимают, чтобы узнать, не происходит ли что-то подозрительное. Я регулярно выхожу в места нахождения клиентов и подключаюсь к их сети, чтобы узнать, происходит ли что-то странное, обычно только если есть проблема с конкретным компьютером или другим, но нередко можно увидеть трафик, который ваш компьютер не знает, как обрабатывать, потому что для него не установлено программное обеспечение.

Например. У меня есть компьютер с Linux. Все мои системы Linux. Когда я захожу в клиентскую сеть, основанную на Windows, я вижу все виды уникального для Windows трафика, который не обязательно запатентован , а является просто связью, которую мой компьютер не будет заботиться или генерировать. Это не значит, что в этом нет ничего плохого, я буквально просто наблюдаю за тем, что происходит по сетевому кабелю, и за тем, что увидит моя система, что и является целью мониторинга сетевого трафика. Это помогает идентифицировать «странные» вещи, которые могут объяснить, почему некоторые вещи не работают, но также помогает идентифицировать то, что является законным ожидаемым трафиком в данной сети.

Кроме того, если Wireshark может прочитать пакет и дать вам расшифрованное представление о том, что пакет содержит или делает, то это не обязательно проприетарный протокол. Это может быть просто хорошо задокументировано, но в большинстве случаев это, вероятно, не является собственностью.

TL; DR на случай, если вам лень: неважно, установлен ли у вас Samba или нет, неважно, если пакет протокола SMB проходит по сети, и ваш компьютер видит этот пакет, и вы видите его в Wireshark, это не значит, это вредоносный трафик или что-то еще. Это просто ваш анализатор пакетов, указывающий, что именно этот пакет, который он видел, пришел через соединение. Вот как работает анализ трафика. Если у вас нет программного обеспечения или службы, работающей для обработки пакета, или пакет был направлен на широковещательный адрес, а не на ваш компьютер, то он просто не сможет ничего сделать с вашим компьютером. (Обычно. Исключений слишком много, чтобы объяснить здесь, и потребуется несколько недель обучения, чтобы просто дать вам основные идеи и информацию.)