Чтобы блокировать что-то запрещённое, надо сперва это что-то распознать. А распознать сетевой протокол бывает непросто. Особенно когда блокировать предполагается в режиме реального времени. В этом случае идентифицировать протокол надо с первых трёх нот, то есть до момента завершения tcp-хендшейка. Уже четвёртым пакетом могут уйти конфиденциальные данные, а пятым – придти вредоносная программа. Либо, как вариант, все последующие пакеты окажутся наглухо зашифрованными.
 |
На помощь приходит метод "connection probe".
Исходящее соединение наружу перехватывается, приостанавливается и вместо него инициируется пробное соединение туда же. Действуя в качестве (или от имени) клиента, DLP или IDS/IPS пробует установить коннекцию с подозрительным внешним сервером при помощи предполагаемых протоколов. Анализ ответов сервера на запросы позволяет идентифицировать тип сервиса лучше, чем наблюдая за обменом "клиент-сервер" со стороны.
Кроме того, идентификация типа протокола происходит заранее, пока ни один бит информации ещё не вышел наружу. После такой идентификации уже можно решить, надо ли отпускать приостановленное исходящее соединение или сбросить его.
Понятно, что зондирование соединения можно обмануть. Для этого сервер должен "знать" о такой возможности, то есть быть написан в расчёте на неё. Насколько мне известно, сейчас даже узлы TOR не оснащены такой функциональностью. Пока зондирование работает отлично.
