Estou monitorando o tráfego da rede e ele usa protocolos proprietários, mas por quê?

O SMB é feito no Ubuntu usando o Samba , que é software livre e que é, portanto, de código aberto.

Como profissional de TI, posso fornecer algumas orientações aqui.

Apenas porque um protocolo é usado principalmente pela Microsoft ou por outra empresa, não o torna necessariamente proprietário. Existem toneladas de protocolos lá fora, e em um ponto ou outro, eles eram todos proprietários. O Samba (SMB) é apenas um protocolo que usado pertence como proprietário, mas desde então foi expandido e compreendido pelo mundo em geral e implementações de código aberto foram criadas desde então. O protocolo em si não é mais proprietário, necessariamente. Mas a principal coisa aqui é que você não precisa se preocupar com o tráfego. A julgar pelos seus comentários depois que sua postagem foi feita, você está mais ou menos preocupado se esses são protos diferentes do que está vendo ou não, e apenas porque você está compartilhando dois computadores e não tem o Samba instalado. A propriedade proprietária do protocolo é explicada acima, mas a segunda parte do "por que está sendo visto" é explicada abaixo.

Só porque você não instalou um software que fala SMB não significa que alguma outra coisa na rede não o tenha instalado. Ao farejar o tráfego de rede com o Wireshark / tshark ou libpcap diretamente, você está vendo todos os pacotes que seu sistema está vendo na conexão de rede, seja direcionado diretamente a você ou não . Isso é o que “farejando o tráfego de rede” é, conectando-se a uma rede e examinando qual tráfego está realmente chegando na conexão para ter uma idéia melhor do estado da rede.

Na área de segurança de TI, fazemos esse tipo de coisa o tempo todo quando contratados para ver se há algo de suspeito acontecendo - saio regularmente para os locais dos clientes e entro em sua rede para ver se há algo estranho acontecendo, geralmente somente se houver um problema com um computador específico ou algo semelhante, mas não é incomum ver o tráfego que seu computador não sabe como lidar, porque você não tem o software instalado para ele.

Por exemplo. Eu tenho um computador Linux. Todos os meus sistemas são Linux. Quando eu vou para a rede de um cliente que é baseada no Windows, vejo todos os tipos de tráfego exclusivo do Windows que não são proprietários necessariamente, mas são apenas comunicações com as quais meu computador não se importaria ou geraria. Isso não significa que haja algo errado, estou literalmente apenas observando o que está vindo pelo cabo de rede e que meu sistema veria, que é o objetivo de monitorar o tráfego da rede. Isso ajuda a identificar as 'coisas estranhas' que poderiam explicar por que algumas coisas não estão funcionando, mas também ajudam a identificar o tráfego legítimo esperado em uma determinada rede.

Além disso, se o Wireshark é capaz de ler o pacote e dar a você uma idéia decodificada do que o pacote contém ou está fazendo, então não é necessariamente um protocolo proprietário. Poderia ser bem documentado, mas na maioria dos casos provavelmente não é proprietário.

TL; DR caso você seja preguiçoso: se você tem o Samba instalado ou não é irrelevante, se um pacote de protocolo SMB passa pela rede e seu computador vê o pacote e você o vê no Wireshark, isso não significa é tráfego malicioso ou qualquer coisa. É apenas o seu sniffer de pacotes indicando que é isso que aquele pacote individual que ele viu veio da conexão. É assim que funciona o sniffing / monitoramento de tráfego. Se você não tiver o software ou um serviço em execução para manipular o pacote, ou se o pacote for para um endereço de broadcast e não para o seu computador, ele simplesmente não fará nada em seu computador. (Geralmente. As exceções são muito numerosas para serem explicadas aqui e exigiriam várias semanas de treinamento apenas para fornecer as idéias e informações básicas.)