Wie funktioniert die traffic identification, bzw. Zuordnung zu applications in der UDM?

Es gibt 5 Antworten in diesem Thema, welches 756 mal aufgerufen wurde. Der letzte Beitrag () ist von phino.

    Hab seit kurzem endlich meine UDM SE im Einsatz und finde die Insights / Aufschlüsselung nach Traffic ganz interessant.

    Da sieht man teilweise ja, was welche Dienste so an Traffic generieren.


    Jetzt frage ich mich aber, wie das Tool den Traffic überhaupt aufschlüsselt. Dachte ja erst, dass da dann evtl. jede IP auftaucht, aber Vieles wird ja wohl unter SSL/TLS zusammengefasst.

    Geht es da also drum, welche IPs Unifi kennt und mit Namen versieht oder warum taucht da nicht "www.meinlokalerdienst.de" auf?

    Sind Youtube, Netflix & co. außerdem etwa nicht SSL-verschlüsselt?


    Fänds super, wenn da jemand mehr weiß!

    SSL/TLS wird alles sein was verschlüsselt ist und nicht anderweitig zuzuordnen ist. Da Netflix und Youtube sepparat erkannt wird tauchen die trotz Verschlüsselung dort nicht mit auf.


    Manche Dienste werden ggf. über Standardports identifiziert oder aber auch über IPs die den Diensten zugordnet sind.


    Das was du da aufgeführt hast ist übrigens ein hostname und kein Dienst.


    Da das ganze auf diverse "Listen" beruht und diese mit Sicherheit nicht aktuell sind, ist das Ganze eher ein Anhaltspunkt und nicht als immer korrekt anzusehen. IPv6 Traffic fehlt dort komplett.

    Das mit den Anhaltspunkten hatte ich auch so vermutet. Die gesamten IPs (a la Wireshark) kann man wahrscheinlich nicht anzeigen lassen, oder?


    Das das ein Hostname war, ist mir schon klar. Der kann ja aber durchaus mit einem Dienst übereinstimmen.


    Oder eben auch nicht und Netflix wird über netflix.awscloud.com ausgeliefert und fälschlicherweise als Amazon-Application angezeigt. Und die nächste Serie über neuerserver-den-unifi-noch-nicht-kennt.com und dann als SSL-Traffic :smiling_face:

    Als ich noch Netflix hatte kam das schon sehr gut hin was da aufgelistet wurde.


    Bei mir wird z.B. WaipuTV als SSL/TLS gezählt wenn ich IPv6 aus hab. Aber das ist ja auch nur ein kleiner Dienstanbieter lokal auf Deutschland geeicht. Sowas interessiert natürlich nicht für global vertriebene Produkte.

    Das DPI is von Trendmicro lizensiert. Ein Kernel Modul klingt sich dabei in den Netfilter code ein und

    führt damit den Traffic an die DPI Engine.


    in /run/dpi/bwdpi.rule.db bzw. eher in /usr/share/dpi/tdts/bwdpi.db stehen dazu ein paar Menschlesbare

    "Gruppen Infomationen" was so erkannt werden will / kann / wird.


    Das eigentliche RegelSet (/usr/share/dpi/tdts/rule.trf) ist dann ein BinaryBlob das offensichtlich verschlüsselt und gepackt ist.

    Da ist so kein wirkliches rankommen für "normal Sterbliche". Der Kram wird wohl auch nur so verkauft.


    Genutzt / Erkannt werden damit alles was an Paketen vorbeiläuft, also IP / PORT / Inhalt + eine Gewichtung +

    eine priese Feinstaub ist das dann was angezeigt wird. Bei Verschlüsselten Traffic bleibt dann nur noch

    IP/Ports übrig oder der Anfang bevor die Verschlüsselung aufgebaut ist. Das reicht dann aber auch

    um die IP Kreise von Nintendo/Microsoft/Pornhub zu unterschieden :smiling_face:

    Einmal editiert, zuletzt von gierig ()

    Gefällt mir 2

    Eigentlich nur mit viel Erfahrung, passende Tools, Intuition und Glück. Reine Techniklösung sind immer eine Krüge.

    Um den Traffic in der Tiefe zu analysieren, benötigt man viel Erfahrung und immer wieder Recherche.

    Ich meine nicht das physikalische (IP-Adresse, Hostname etc.) häufig muss man erst Mal rausfinden, wer wirklich welchen dieser Daten zuzuordnen ist oder wer betreibt die Gegenstelle. Ich habe Mal ein halbes Jahr Traffic analysiert, ja die Unterstützung mit Tools hilft viel, aber wenn es darum geht aus einen Datenstrom, den viele nutzen(Kneipe), die richtige Informationen zu ziehen gehört auch Intuition dazu. Schon im privaten Umfeld gar nicht so einfach, wenn man ab und an eine Horde Jugendliche im Haus hat. Was da so auf den Handys ins Netz schreit.