När du sniffar ipsec-krypterad trafik ser du inte de ursprungliga applikationsskiktpaketen (som HTTP, SMTP, etc.). Istället ser du främst paket inkapslade i IPSec -protokollet. De specifika pakettyperna du kommer att observera beror på IPSec -läget (transport eller tunnel) och det underliggande IP -protokollet som används. Här är en uppdelning:
Vanliga pakettyper:
* esp (inkapslande säkerhetsåternyttjande): Detta är kärnan i ipsec -kryptering. Du ser ESP -paket i nätverkslagret och ersätter den ursprungliga IP -rubriken. ESP -rubriken innehåller information om säkerhetsparametrar, och nyttolasten är den krypterade data.
* ah (autentiseringshuvud): Om autentisering används tillsammans med kryptering (vilket är vanligt) ser du AH -paket. AH tillhandahåller dataintegritet och autentisering, men den krypterar inte själva uppgifterna. Det föregår vanligtvis ESP om båda används.
* IP -paket (yttre IP -rubrik): I tunnelläge , det ursprungliga IP -paketet är inkapslat i ett * nytt * IP -paket. Du ser denna yttre IP -rubrik som innehåller käll- och destinationens IP -adresser som används för IPSec -tunneln. I transportläge , det finns ingen yttre IP -rubrik; ESP -rubriken ersätter den ursprungliga IP -rubriken.
* UDP (användardatagramprotokoll) eller TCP (Transmission Control Protocol): Ibland, beroende på konfigurationen, kan IPSec implementeras via UDP eller TCP. Du ser dessa transportskiktsrubriker endast om IPSec inte körs direkt över IP, vilket är mindre vanligt. (Detta ses ofta med IPSec över NAT-T).
Vad du * kommer inte * att se:
* Original applikationsskikthuvuden: Dessa är dolda inuti ESP -nyttolasten och är krypterade. Du kommer inte att kunna se HTTP, SMTP, FTP, etc., rubriker utan att dekryptera IPSec -tunneln.
Sammanfattningsvis: Den dominerande pakettypen kommer att vara ESP, eventuellt föregås av AH i tunnelläge. Du ser också den yttre IP -rubriken i tunnelläge. Frånvaron av identifierbara applikationsskiktprotokoll bekräftar att trafiken är iPSec-krypterad.
