¿Es posible determinar qué tipo de paquete se envía a través de TLS?

3

Si Bob está usando un servidor proxy y se está comunicando con él a través de TLS. ¿Es posible que un atacante que se encuentra entre Bob y el servidor proxy determine el tipo de paquete que Bob recibe y solicita desde y hacia el servidor proxy?

Obviamente, el atacante no puede ver el contenido de los paquetes porque están cifrados. Pero si quiere saber el tipo de tráfico como ftp, smtp, http, etc. que se ejecuta en TLS, ¿podrá saberlo?

    
pregunta defalt 10.11.2016 - 14:16
fuente

2 respuestas

3

Como @Sjoerd propuso en su respuesta, puedes mirar el número de puerto. Pero esto no ayuda si no es simple un protocolo habilitado para TLS (es decir, smtps en lugar de smtp, ftps en lugar de ftp ...) pero si Bob está usando un servidor proxy o VPN para canalizar el protocolo.

En este caso, se podría intentar detectar el protocolo mediante un análisis de flujo porque diferentes protocolos tienen diferentes características de tráfico con respecto a qué cantidad de datos se envían en qué momento y en qué dirección. Y este comportamiento también es visible desde fuera del túnel TLS.

Por ejemplo, tanto SMTP como FTP se inician de manera similar, ya que el servidor envía primero un breve mensaje de bienvenida, seguido de varios intercambios pequeños (es decir, USER, PASS, .. con FTP y EHLO, MAIL FROM, RCPT TO ... con SMTP), que son seguidas por una mayor transferencia de cliente a servidor con SMTP (es decir, el correo) y la mayoría de las veces de servidor a cliente con FTP (listado de directorios). En cambio, con HTTP, los clientes envían generalmente una solicitud pequeña (pero notablemente más grande que los comandos dentro de SMTP, FTP), mientras que el servidor envía una respuesta mucho más grande.

Si bien no es posible estar completamente seguro acerca del protocolo hablado, estas heurísticas manuales ya proporcionan una forma de clasificar el tráfico. La clasificación del tráfico de esta manera también es relevante fuera de TLS porque una inspección más profunda del tráfico solo para la clasificación a menudo es costosa y lenta. Si solo busca clasificación de tráfico de flujo de red encontrará muchos documentos científicos y otra información para más información. investigación.

    
respondido por el Steffen Ullrich 10.11.2016 - 15:36
fuente
2

Sí. Su computadora se conecta a un puerto determinado, como 21 para FTP u 80 para HTTP, y solo entonces se configura la conexión TLS. Un atacante que pueda escuchar la conexión verá a qué puerto se conecta y, por lo tanto, a qué servicio está utilizando.

Para obtener más información sobre lo que TLS oculta específicamente, hay este video , aunque está enfocado en HTTPS .

    
respondido por el Sjoerd 10.11.2016 - 14:36
fuente

Lea otras preguntas en las etiquetas