С чего начать при анализе неизвестных сетевых протоколов

Question

Прошу прощения за неопределенность вопроса здесь, но может ли кто-нибудь указать мне на некоторые достойные ресурсы для изучения, как захватить сетевой поток и проанализировать неизвестный протокол? Я пытаюсь перехватить поток с сервера синхронизации Formula1.com через порт 4321, чтобы проанализировать его. Поток полностью неизвестен (т.е. я понятия не имею, какую информацию он содержит и т. Д.), Поэтому я действительно не знаю, с чего начать реверс-инжиниринг.

Мне известно, что для этого уже доступны некоторые приложения linux, но я хочу создать собственную версию m, как в качестве упражнения, так и могу гарантировать, что могу быть в курсе событий в случае значительного изменения протокола из этих кодовых баз, кажется, не поддерживается так регулярно.

Из приложения синхронизации linux f1 кажется, что поток является двоичным потоком, и вам необходимо пропинговать сервер, чтобы получить какие-либо данные из него. Было бы предложено использовать wireshark или какой-либо другой анализатор сети, и если да, то, когда я выполняю захват, как мне поступить с декодированием / началом понимания потока битов?

Answer 1

Вы можете начать с использованием анализатора сетевых протоколов, например wireshark . Затем вы можете настроить wireshark так, чтобы он отображал только данные определенного порта (и / или адреса). Когда вы получаете весь этот трафик, вы видите, что говорит ваш компьютер и что отвечает сервер. Исходя из этого, вы можете легко восстановить поток данных, если вы сделаете несколько соединений с другими входными данными. (если поток не зашифрован, тогда он становится намного сложнее).

Надеюсь, это поможет

Answer 2

Лучший способ - проанализировать его с помощью такого инструмента, как wireshark , а затем опубликовать здесь следующие вопросы.