Я отслеживаю сетевой трафик, и он использует проприетарные протоколы, но почему?

Как ИТ-специалист, я могу дать вам некоторые рекомендации здесь.

Тот факт, что протокол используется главным образом Microsoft или другой компанией, не обязательно делает его проприетарным. Существует множество протоколов, и в тот или иной момент все они были проприетарными. Samba (SMB) - это всего лишь один протокол, который раньше принадлежал как частный, но с тех пор был расширен и понят мировым сообществом, и с тех пор были созданы реализации с открытым исходным кодом. Сам протокол больше не является частным, обязательно. Но главное здесь - вам не нужно беспокоиться об этом трафике. Судя по вашим комментариям после того, как ваше сообщение было сделано, вы более или менее обеспокоены тем, являются ли эти прототипы отличными от того, что вы видите, или нет, и только потому, что вы используете два компьютера и не имеете установленной Samba. Принадлежность протокола объясняется выше, но вторая часть "почему это видно" объясняется ниже.

То, что вы не установили программное обеспечение, которое говорит на SMB, не означает, что что-то еще в сети не установлено. При прослушивании сетевого трафика с помощью Wireshark / tshark или же libpcap непосредственно, вы видите любые пакеты, которые ваша система видит в сетевом соединении, независимо от того, направлена ​​ли она на вас напрямую или нет. Вот что такое "анализ сетевого трафика", подключение к сети и проверка того, какой трафик фактически идет по соединению, чтобы лучше понять состояние сети.

В сфере ИТ-безопасности мы постоянно занимаемся такими вещами, когда меня нанимают, чтобы узнать, не происходит ли что-нибудь подозрительное. Я регулярно выхожу в места нахождения клиентов и подключаюсь к их сети, чтобы узнать, происходит ли что-то странное, обычно, только если проблема с конкретным компьютером или другим, но часто встречается трафик, который ваш компьютер не знает, как с ним работать, потому что для него не установлено программное обеспечение.

Например. У меня есть компьютер с Linux. Все мои системы Linux. Когда я захожу в клиентскую сеть, основанную на Windows, я вижу все виды уникального для Windows трафика, который не обязательно является частным, а просто является связью, которую мой компьютер не заботится и не генерирует. Это не значит, что в этом нет ничего плохого, я буквально просто наблюдаю за тем, что происходит по сетевому кабелю, и за тем, что увидит моя система, что и является целью мониторинга сетевого трафика. Это помогает идентифицировать "странные" вещи, которые могут объяснить, почему некоторые вещи не работают, но также помогает идентифицировать то, что является законным ожидаемым трафиком в данной сети.

Кроме того, если Wireshark может прочитать пакет и дать вам декодированное представление о том, что пакет содержит или делает, то это не обязательно проприетарный протокол. Это может быть просто хорошо задокументировано, но в большинстве случаев это, вероятно, не является собственностью.

TL; DR на случай, если вам лень: независимо от того, установлена ​​у вас Samba или нет, неважно, если пакет протокола SMB проходит по сети, а ваш компьютер видит пакет и вы видите его в Wireshark, это не означает, что это вредоносный трафик или что-нибудь. Это просто ваш анализатор пакетов, указывающий, что именно этот пакет, который он видел, пришел через соединение. Вот как работает анализ трафика. Если у вас нет программного обеспечения или службы, работающей для обработки пакета, или пакет был направлен на широковещательный адрес, а не на ваш компьютер, то он просто не сможет ничего сделать с вашим компьютером. (Обычно. Исключений слишком много, чтобы объяснить здесь, и потребуется несколько недель обучения, чтобы просто дать вам основные идеи и информацию.)