10:58
21/5/2010

Sniffowanie ruchu w sieciach Wi-Fi na MIT

Występują: Sławny, drogi, techniczny uniwersytet w U.S.A., Profesor Robert Morris, którego być może niektórzy z was kojarzą jako autora pierwszego internetowego robaka oraz studenci pierwszego wykładu z bezpieczeństwa IT, podpięci do wydziałowej sieci Wi-Fi.

Na początku wykładu pada krótkie ostrzeżenie, że sieć bezprzewodowa będzie monitorowana. Po wykładzie, opublikowano statystykę złapanych pakietów:

Protocol # Packets % Packets
MDNS 259932 30.46
TCP 245268 28.74
ICMPv6 116167 13.61
TPKT 78311 9.18
SSDP 31441 3.68
HTTP 28027 3.28
UDP 17006 1.99
LLMNR 16991 1.99
TLSv1 14390 1.69
DHCPv6 11572 1.36
DNS 10870 1.27
SSH 8804 1.03
SSLv3 3094 0.36
Jabber 2507 0.29
ARP 2003 0.23
SSHv2 1503 0.18
IGMP 1309 0.15
SNMP 1232 0.14
NBNS 619 0.073

Wnioski z badania

Badanie trwało 45 minut. W sumie złapano 853436 pakietów. Główny wniosek: Internet to nie HTTP (co widać po niskiej pozycji tego protokołu w tabeli obok).

Zestawienie protokołów bazuje na klasyfikacji wykorzystywanej przez Wiresharka, tzn. że TCP jest wyszczególnione jako osobny protokół ponieważ ktoś wysyłał właściwe segmenty TCP niezawierające innego protokołu warstwy aplikacji.

Jeśli chodzi o najpopularniejsze serwery odwiedzane przez studentów MIT *w trakcie wykładów*: gra World of WarCraft i Facebook… Najbardziej po sieci siał protokół MDNS (ang. Multicast Domain Name Service), czyli usługa znana pod nazwą zeroconfig, ułatwiająca konfigurację urządzeń sieciowych.

Szczerze mówią, jestem troche rozczarowany tym, że studenci MIT nie zabawili się trochę kosztem badaczy i nie odpalili skryptów odwiedzających goatse w pętli, aby zafałszować wyniki… ;)

Podobne do powyższych badań proponuję przeprowadzić na zbliżającym się Confidence oraz w swoich sieciach szkolnych lub firmowych — oczywiście uzyskując cześniej zgodę od ich właścicieli. Wyniki nadsyłajcie na nasz redakcyjny adres — podsumujemy, jak wygląda TOP10 “współczesnych” protokołów w kraju nad wezbraną Wisłą.

Przeczytaj także:

7 komentarzy

Dodaj komentarz
  1. TCP – 28.74%, HTTP – 3.28%.
    Wygląda jakby te opcje się wykluczały a przecież na MIT http chyba też idzie po TCP? ;>

  2. W firmie, w której pracowałem najpopularniejszym protokołem był torrent, brał prawie 90% ruchu, jak zacząłem wycinać to przyszedł prezes i powiedział, że nie może filmów ściągnąć i co to ma być, nie za to mi płaci. Już tam nie pracuję…

  3. Zestawienie bez sensu, wymieszane są tu ze sobą różne warstwy sieciowe…
    Zestawienie wyglądałoby inaczej, gdyby wziąć pod uwagę sumaryczną wielkość pakietów, a nie ich ilość.
    Internet to nie HTTP? Z tego co rozumiem, to był to sniffowany LAN, a nie Internet :>

  4. lenrok258: TCP, nie TCP/IP

  5. Skoro MDNS jest enkapsuowane w UDP to jak to jest mozliwe ze #MDNS > #UDP?
    Ta tabelka nie niesie zadnej informacji poniewaz przedstawia protokoly z roznych warstw.
    Slabo…

  6. @lenrok258: to akurat nie jest dziwne – w druga strone byloby dosc podejrzane
    @Agilob: ‘super wyjasnienie’ – no tak – chodzi o protokol a nie model…ehh

  7. \m/ojtek: sam jesteś bez sensu ;/

    Z tekstu źródłowego: (note that Wireshark buckets based on the top layer for a packet, so for example TCP is in this count because someone was sending actual TCP traffic without an application layer on top and not because TCP is the transport protocol for HTTP, which is also in this count)

    Jakie ma znaczenie,czy snifowany byl lan czy interfejs wanowski,laska pokazuje ze polaczenia ,,do internetu” to nie tylko http jak uwazaja niektorzy

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: