IT筒子（有软件开发经验的最好）请给帮助！

SailingInOZ

各位筒子，最近收到一个朋友的方案咨询，涉及到一些软件实现上的东西，我没有软件开发经验，想向各位同行咨询一下。

具体问题是这样的，在TCP/IP协议框架下，一般的通讯都可以在OSI LEVEL 4-7进行数学界定，一般的抽象出4--7层的正则表达式即可，但在底层加密的情况下，比如SSL加密的情况下，能否在任何一层，任何一个部分（head, tag, dataload ...)进行数学上的界定及算法上实现？比如抽象出HTTPS和POPS的正则表达式或表达式群？



谢谢先！！

riverstone

在特定的层特定的字段进行加密的, SSL作为协议已经规定了详细字段的界定.

SailingInOZ

原帖由 riverstone 于 6/11/2006 21:31 发表
在特定的层特定的字段进行加密的, SSL作为协议已经规定了详细字段的界定.

谢谢回复先

还是不明白，那就拿SSL加密的通讯来说，能否实现抽象出不同SSL加密应用的正则表达式组？比如区分出HTTPS和POPS

riverstone

原帖由 SailingInOZ 于 2006-11-6 21:36 发表


谢谢回复先

还是不明白，那就拿SSL加密的通讯来说，能否实现抽象出不同SSL加密应用的正则表达式组？比如区分出HTTPS和POPS

让俺查查,HTTPS肯定是可以的,能把POPS区分出来,我查查先.

cattor

大哥们，你们这讨论的是哪个方面的软件开发哟？

SailingInOZ

谢谢河石哈，也别费心查了，我想了解的其实就是一个概念性的问题，就是比较好的加密通讯在传输，表示，会话，应用层能否进行数学抽象来区分加密了的不同应用，一个是或者否的问题，呵呵，涉及到提供不同的产品和技术了。

多谢：）

SailingInOZ

呵呵，这个应该是网络编程范围吧

coolioo

网络层的通信软件吧，俺不懂哦。顶多知道规范...

riverstone

查过了,俺觉得是不行的.请其他同志指正.

riverstone

原帖由 SailingInOZ 于 2006-11-6 21:42 发表
谢谢河石哈，也别费心查了，我想了解的其实就是一个概念性的问题，就是比较好的加密通讯在传输，表示，会话，应用层能否进行数学抽象来区分加密了的不同应用，一个是或者否的问题，呵呵，涉及到提供不同的产品和技 ...

答:肯定是。

SailingInOZ

8一下阿，河石筒子竟然说话没有跟一大堆句号。。。稀罕亚。。。。

stepau

SSL加密时候不考虑它上层的内容吧，想区分HTTPS和POPS需要在应用层区分

SailingInOZ

原帖由 stepau 于 6/11/2006 21:50 发表
SSL加密时候不考虑它上层的内容吧，想区分HTTPS和POPS需要在应用层区分

yes，这正是我不能确定的地方，就是在良好的加密环境下，能否数学抽象出被加密应用的界定。

SailingInOZ

原帖由 riverstone 于 6/11/2006 21:46 发表


答:肯定是。

谢啦，有底就好了：）

riverstone

原帖由 SailingInOZ 于 2006-11-6 21:58 发表


yes，这正是我不能确定的地方，就是在良好的加密环境下，能否数学抽象出被加密应用的界定。

答：可以的，具体SOLUTION一般由获得“图灵奖”的同志来解答。俺惭愧的退下。

stepau

原帖由 SailingInOZ 于 2006-11-6 21:58 发表


yes，这正是我不能确定的地方，就是在良好的加密环境下，能否数学抽象出被加密应用的界定。

我不太明白你的意思：

在良好的加密环境下，能否数学抽象出被加密应用的界定

1：加密环境下，是否指前提是无法知道被加密的内容吗？（如果是这样，不知道内容又如何能区分应用呢？）

2：数学抽象出被加密应用的界定，这个意思偶不是很明白。。

stepau

原帖由 riverstone 于 2006-11-6 22:06 发表



答：可以的，具体SOLUTION一般由获得“图灵奖”的同志来解答。俺惭愧的退下。

啊。。。俺更惭愧了。偶一点点好奇心都被打击没了

SailingInOZ

汗，是我表达的不够清楚。还是举例来说的好一些，呵呵。
比如HTTPS和POPS都是SSL加密的，我在一个网络中，采样到不同的SSL数据包，并不想解密出具体内容，但为了统计流量之类的目的，需要区分出这两种不同应用的数据包，所以需要打开并界定不同的应用，这个目的能否实现？

谢谢楼上回复：）

SailingInOZ

原帖由 riverstone 于 6/11/2006 22:06 发表



答：可以的，具体SOLUTION一般由获得“图灵奖”的同志来解答。俺惭愧的退下。

OMG，别亚，要到那个地步阿。。。。那就当成不能好啦。。。。

stepau

原帖由 SailingInOZ 于 2006-11-6 22:11 发表
汗，是我表达的不够清楚。还是举例来说的好一些，呵呵。
比如HTTPS和POPS都是SSL加密的，我在一个网络中，采样到不同的SSL数据包，并不想解密出具体内容，但为了统计流量之类的目的，需要区分出这两种不同应用的 ...

哦。终于明白鸟。

我觉得有可能性。比如SSH就有显著的特点：小数据包来来回回的，比较好区分。总之我觉得要以包大小的行为来区分，内容是不可能知道拉。

顺便问一下，是做入侵检测吗？

SailingInOZ

原帖由 stepau 于 6/11/2006 22:16 发表


哦。终于明白鸟。

我觉得有可能性。比如SSH就有显著的特点：小数据包来来回回的，比较好区分。总之我觉得要以包大小的行为来区分，内容是不可能知道拉。

顺便问一下，是做入侵检测吗？

不是IDS，是TRAFFIC MANAGEMENT，问我在宽限的BUSINESS NETWORK环境下的平台和技术的可实现性，我给出了两个LINUX内核+OPEN SOURCE的方案，但他们有这个特殊要求，要以应用层方式预防范可能的非法加密流量，比如未来可能出现的动态端口的SSL加密的P2P软件。

在这里，宽限的环境是麻烦点，要不FIREWALL上PERMIT ONLY就好了，管那么多。

[ 本帖最后由 SailingInOZ 于 2006-11-6 22:25 编辑 ]

riverstone

在traffic management 方面, packeteer产品最好，详见http://www.packeteer.com，在应用层方式可做。

SailingInOZ

原帖由 riverstone 于 6/11/2006 22:27 发表
在traffic management 方面, packeteer产品最好，详见http://www.packeteer.com，在应用层方式可做。

谢谢，我参考过几个公司的东西，也包括PACKETEER，他们的东西都是使用抽象正则表达式的方法来界定应用的，但没有能界定出使用相同加密方式的不同应用，就是自定义也不行，所以才来问各位，呵呵。

riverstone

原帖由 SailingInOZ 于 2006-11-6 22:33 发表


谢谢，我参考过几个公司的东西，也包括PACKETEER，他们的东西都是使用抽象正则表达式的方法来界定应用的，但没有能界定出使用相同加密方式的不同应用，就是自定义也不行，所以才来问各位，呵呵。

惭愧的退下，俺的水平只到使用这个地步。

stepau

既然内容无法知道，那我觉得应该从通信行为模式来判断了。比如PACKET的大小，是否对称，持续时间等等。（甚至手工去连接服务器？）

[ 本帖最后由 stepau 于 2006-11-6 22:41 编辑 ]

SailingInOZ

原帖由 riverstone 于 6/11/2006 22:38 发表



惭愧的退下，俺的水平只到使用这个地步。

大佬别这么说呀，俺是在请教您问题亚。。

SailingInOZ

原帖由 stepau 于 6/11/2006 22:40 发表
既然内容无法知道，那我觉得应该从通信行为模式来判断了。比如PACKET的大小，是否对称，持续时间等等。（甚至手工去连接服务器？）

这。。。实现起来复杂了一些吧？

TheOne

原帖由 riverstone 于 2006-11-6 22:38 发表



惭愧的退下，俺的水平只到使用这个地步。

都退了N次了都

cattor

听不懂呀看不懂，不呀不能懂。

MaxChan

如果我没有理解错的话SSL加密的只是TCP数据报里的数据部分而已，数据报里的其他部分还是原来的结构，只要将抓下来的包按TCP数据报的结构解析一下就可以知道大概这个PACKET是属于什么协议的了。但只能按照Destination Port来确定是什么协议的PACKET，HTTP就是80，FTP就是21，POPS就是110等等，如果服务器端改了默认端口的话那就没啥办法了。一般的SNIFFER都有这个能力的吧，但我不是很确定我的理解是否正确。