PHÂN TÍCH GĨI TIN
2.1.1 Xác định các giao thức
- Dựa trên thơng tin nhận dạng trong đóng gói giao thức, kỹ thuật này được thực hiện thơng qua tìm kiếm các giá trị nhị phân/thập lục phân/ASCII phổ biến thường được đi kèm trong một giao thức cụ thể.
- Xác định giao thức thông qua các cổng TCP/UDP gắn liền với các giao thức và dịch vụ quy chuẩn.
2.1.1.1 Dựa trên thơng tin nhận dạng trong đóng gói giao thức
Các giao thức thường có chứa các chuỗi bit thường xuất hiện ở trong các gói tin gắn liền với nhận dạng giao thức, hay nói cách khác là các giao thức chứa thơng tin chỉ ra kiểu giao thức được đóng gói, do vậy người phân tích có thể lợi dụng đặc điểm này để phân tích, nhận dạng giao thức.
Thơng thường người phân tích sẽ tiến hành tìm kiếm các giá trị nhị phân/thập lục phân/ASCII phổ biến đi kèm trong một giao thức cụ thể.
2.1.1.2 Xác định giao thức thông qua các cổng TCP/UDP gắn liền với các giao thức, dịch vụ quy chuẩn
Thông thường các dịch vụ hay giao thức ở tầng mạng trong mơ hình TCP/IP thường sử dụng giao thức ở tầng vận chuyển TCP hoặc UDP với các cổng theo quy định
Ví dụ: Giao thức HTTP sử dụng giao thức TCP với cổng quy định là 80.
Đây là các đơn giản và phổ biến để xác định giao thức bằng cách kiểm tra số cổng TCP hoặc UDP sử dụng. Tuy nhiên, việc các định giao thức trên các cổng TCP/UDP có một nhược điểm khơng phải lúc nào cũng đưa ra được kết quả chính xác và đáng tin cậy, máy chủ có thể cấu hình để sử dụng các cổng khơng quy chuẩn cho một dịch vụ xác định.
2.1.1.3 Dựa trên các phân tích thơng tin từ địa chỉ đích và địa chỉ nguồn
Thơng thường tên máy chủ và các dịch vụ nó cung cấp có thể xác định các giao thức được sử dụng, cũng như các thơng tin hữu ích liên quan.
Người phân tích có thể phân tích thơng tin từ địa chỉ IP để tìm ra giao thức thật sự sử dụng bên trong (Sử dụng công cụ WHOIS để khai thác thông tin về địa chỉ IP).