Я отслеживаю сетевой трафик, и он использует проприетарные протоколы, но почему?

Как специалист по ИТ, я могу дать вам несколько советов здесь.

Просто потому, что протокол используется в основном Microsoft или другой компанией, не делает его обязательным. Там есть тонны протоколов, и в какой-то момент они все были проприетарными. Samba (SMB) - это всего лишь один протокол, который раньше принадлежал как собственность, но с тех пор был расширен и понятен всему миру, и с тех пор были созданы версии с открытым исходным кодом. Сам протокол больше не является собственностью. Но главное здесь, вам не нужно беспокоиться об этом трафике. Судя по вашим комментариям после того, как ваш пост был сделан, вы более или менее обеспокоены тем, являются ли эти разные протосы тем, что вы видите или нет, и только потому, что вы делитесь двумя компьютерами и не устанавливаете Samba. Протокольная собственность объясняется выше, но вторая часть «почему это видно» объясняется ниже.

Просто потому, что вы не установили часть программного обеспечения, которая говорит о SMB, не означает, что что-то еще на сеть не установлена. При обнюхивании сетевого трафика с помощью Wireshark / tshark или libpcap напрямую, используется . Это то, что «обнюхивает сетевой трафик», подключается к сети и исследует, какой трафик действительно приходит через соединение, чтобы лучше понять состояние сети.

В ИТ-безопасности мы делаем это тип вещи все время, когда наняли, чтобы увидеть, если что-то подозрительное происходит - я регулярно выхожу в места клиентов и гнездо в свою сеть, чтобы узнать, есть ли что-то странное, обычно, только если есть проблема с конкретным компьютером или например, но не редкость видеть трафик, который ваш компьютер не знал бы, как обращаться, потому что у вас нет установленного для него программного обеспечения.

Например. У меня есть компьютер Linux. Все мои системы - это Linux. Когда я перехожу к сети клиента, основанной на Windows, я вижу все виды уникального для Windows трафика, которые не являются собственностью компании, но это просто сообщения, которые мой компьютер не заботится и не генерирует. Это не значит, что что-то не так, я буквально просто наблюдаю за тем, что происходит по сетевому кабелю и что увидит моя система, и это всего лишь контроль сетевого трафика. Это помогает идентифицировать «странные» вещи, которые могут объяснить, почему некоторые вещи не работают, а также помогает идентифицировать, что сам ожидаемый трафик в данной сети.

Кроме того, если Wireshark может прочитать пакет и дать вам декодированную идею того, что пакет содержит или делает, то это не обязательно проприетарный протокол. Это может быть хорошо документировано, но в большинстве случаев это, вероятно, не является собственностью.

TL; DR на случай, если вы ленивы: независимо от того, установлен ли вы Samba или нет, если пакет протокола SMB перейдет сеть и ваш компьютер видят этот пакет, и вы видите его в Wireshark, это не значит, что это вредоносный трафик или что-то еще. Это всего лишь ваш сниффер пакетов, указывающий на то, что именно тот пакет, который он видел, пришел по этому соединению. Именно так работает обнюхивание / мониторинг трафика. Если у вас нет программного обеспечения или службы, работающей для обработки пакета, или пакет относится к широковещательному адресу, а не к вашему компьютеру, то он просто не сможет ничего сделать на вашем компьютере. (Обычно исключений слишком много, чтобы объяснить здесь, и потребовалось бы несколько недель обучения, чтобы дать вам основные идеи и информацию.)

Как специалист по ИТ, я могу дать вам несколько советов здесь.

Просто потому, что протокол используется в основном Microsoft или другой компанией, не делает его обязательным. Там есть тонны протоколов, и в какой-то момент они все были проприетарными. Samba (SMB) - это всего лишь один протокол, который раньше принадлежал как собственность, но с тех пор был расширен и понятен всему миру, и с тех пор были созданы версии с открытым исходным кодом. Сам протокол больше не является собственностью. Но главное здесь, вам не нужно беспокоиться об этом трафике. Судя по вашим комментариям после того, как ваш пост был сделан, вы более или менее обеспокоены тем, являются ли эти разные протосы тем, что вы видите или нет, и только потому, что вы делитесь двумя компьютерами и не устанавливаете Samba. Протокольная собственность объясняется выше, но вторая часть «почему это видно» объясняется ниже.

Просто потому, что вы не установили часть программного обеспечения, которая говорит о SMB, не означает, что что-то еще на сеть не установлена. При обнюхивании сетевого трафика с помощью Wireshark / tshark или libpcap напрямую, используется . Это то, что «обнюхивает сетевой трафик», подключается к сети и исследует, какой трафик действительно приходит через соединение, чтобы лучше понять состояние сети.

В ИТ-безопасности мы делаем это тип вещи все время, когда наняли, чтобы увидеть, если что-то подозрительное происходит - я регулярно выхожу в места клиентов и гнездо в свою сеть, чтобы узнать, есть ли что-то странное, обычно, только если есть проблема с конкретным компьютером или например, но не редкость видеть трафик, который ваш компьютер не знал бы, как обращаться, потому что у вас нет установленного для него программного обеспечения.

Например. У меня есть компьютер Linux. Все мои системы - это Linux. Когда я перехожу к сети клиента, основанной на Windows, я вижу все виды уникального для Windows трафика, которые не являются собственностью компании, но это просто сообщения, которые мой компьютер не заботится и не генерирует. Это не значит, что что-то не так, я буквально просто наблюдаю за тем, что происходит по сетевому кабелю и что увидит моя система, и это всего лишь контроль сетевого трафика. Это помогает идентифицировать «странные» вещи, которые могут объяснить, почему некоторые вещи не работают, а также помогает идентифицировать, что сам ожидаемый трафик в данной сети.

Кроме того, если Wireshark может прочитать пакет и дать вам декодированную идею того, что пакет содержит или делает, то это не обязательно проприетарный протокол. Это может быть хорошо документировано, но в большинстве случаев это, вероятно, не является собственностью.

TL; DR на случай, если вы ленивы: независимо от того, установлен ли вы Samba или нет, если пакет протокола SMB перейдет сеть и ваш компьютер видят этот пакет, и вы видите его в Wireshark, это не значит, что это вредоносный трафик или что-то еще. Это всего лишь ваш сниффер пакетов, указывающий на то, что именно тот пакет, который он видел, пришел по этому соединению. Именно так работает обнюхивание / мониторинг трафика. Если у вас нет программного обеспечения или службы, работающей для обработки пакета, или пакет относится к широковещательному адресу, а не к вашему компьютеру, то он просто не сможет ничего сделать на вашем компьютере. (Обычно исключений слишком много, чтобы объяснить здесь, и потребовалось бы несколько недель обучения, чтобы дать вам основные идеи и информацию.)

Как специалист по ИТ, я могу дать вам несколько советов здесь.

Просто потому, что протокол используется в основном Microsoft или другой компанией, не делает его обязательным. Там есть тонны протоколов, и в какой-то момент они все были проприетарными. Samba (SMB) - это всего лишь один протокол, который раньше принадлежал как собственность, но с тех пор был расширен и понятен всему миру, и с тех пор были созданы версии с открытым исходным кодом. Сам протокол больше не является собственностью. Но главное здесь, вам не нужно беспокоиться об этом трафике. Судя по вашим комментариям после того, как ваш пост был сделан, вы более или менее обеспокоены тем, являются ли эти разные протосы тем, что вы видите или нет, и только потому, что вы делитесь двумя компьютерами и не устанавливаете Samba. Протокольная собственность объясняется выше, но вторая часть «почему это видно» объясняется ниже.

Просто потому, что вы не установили часть программного обеспечения, которая говорит о SMB, не означает, что что-то еще на сеть не установлена. При обнюхивании сетевого трафика с помощью Wireshark / tshark или libpcap напрямую, используется . Это то, что «обнюхивает сетевой трафик», подключается к сети и исследует, какой трафик действительно приходит через соединение, чтобы лучше понять состояние сети.

В ИТ-безопасности мы делаем это тип вещи все время, когда наняли, чтобы увидеть, если что-то подозрительное происходит - я регулярно выхожу в места клиентов и гнездо в свою сеть, чтобы узнать, есть ли что-то странное, обычно, только если есть проблема с конкретным компьютером или например, но не редкость видеть трафик, который ваш компьютер не знал бы, как обращаться, потому что у вас нет установленного для него программного обеспечения.

Например. У меня есть компьютер Linux. Все мои системы - это Linux. Когда я перехожу к сети клиента, основанной на Windows, я вижу все виды уникального для Windows трафика, которые не являются собственностью компании, но это просто сообщения, которые мой компьютер не заботится и не генерирует. Это не значит, что что-то не так, я буквально просто наблюдаю за тем, что происходит по сетевому кабелю и что увидит моя система, и это всего лишь контроль сетевого трафика. Это помогает идентифицировать «странные» вещи, которые могут объяснить, почему некоторые вещи не работают, а также помогает идентифицировать, что сам ожидаемый трафик в данной сети.

Кроме того, если Wireshark может прочитать пакет и дать вам декодированную идею того, что пакет содержит или делает, то это не обязательно проприетарный протокол. Это может быть хорошо документировано, но в большинстве случаев это, вероятно, не является собственностью.

TL; DR на случай, если вы ленивы: независимо от того, установлен ли вы Samba или нет, если пакет протокола SMB перейдет сеть и ваш компьютер видят этот пакет, и вы видите его в Wireshark, это не значит, что это вредоносный трафик или что-то еще. Это всего лишь ваш сниффер пакетов, указывающий на то, что именно тот пакет, который он видел, пришел по этому соединению. Именно так работает обнюхивание / мониторинг трафика. Если у вас нет программного обеспечения или службы, работающей для обработки пакета, или пакет относится к широковещательному адресу, а не к вашему компьютеру, то он просто не сможет ничего сделать на вашем компьютере. (Обычно исключений слишком много, чтобы объяснить здесь, и потребовалось бы несколько недель обучения, чтобы дать вам основные идеи и информацию.)