Como @Sjoerd propuso en su respuesta, puedes mirar el número de puerto. Pero esto no ayuda si no es simple un protocolo habilitado para TLS (es decir, smtps en lugar de smtp, ftps en lugar de ftp ...) pero si Bob está usando un servidor proxy o VPN para canalizar el protocolo.
En este caso, se podría intentar detectar el protocolo mediante un análisis de flujo porque diferentes protocolos tienen diferentes características de tráfico con respecto a qué cantidad de datos se envían en qué momento y en qué dirección. Y este comportamiento también es visible desde fuera del túnel TLS.
Por ejemplo, tanto SMTP como FTP se inician de manera similar, ya que el servidor envía primero un breve mensaje de bienvenida, seguido de varios intercambios pequeños (es decir, USER, PASS, .. con FTP y EHLO, MAIL FROM, RCPT TO ... con SMTP), que son seguidas por una mayor transferencia de cliente a servidor con SMTP (es decir, el correo) y la mayoría de las veces de servidor a cliente con FTP (listado de directorios). En cambio, con HTTP, los clientes envían generalmente una solicitud pequeña (pero notablemente más grande que los comandos dentro de SMTP, FTP), mientras que el servidor envía una respuesta mucho más grande.
Si bien no es posible estar completamente seguro acerca del protocolo hablado, estas heurísticas manuales ya proporcionan una forma de clasificar el tráfico. La clasificación del tráfico de esta manera también es relevante fuera de TLS porque una inspección más profunda del tráfico solo para la clasificación a menudo es costosa y lenta. Si solo busca clasificación de tráfico de flujo de red encontrará muchos documentos científicos y otra información para más información. investigación.