pcap文件中的物联网设备

Question

我正在做一些网络研究，我想从.pcap文件中找到所有物联网设备（或至少可能是IoT的设备）。物联网设备是否具有一些独特的流量特征，流量模式或标识（例如协议，端口等）？我找不到答案。物联网设备相对较新，因此没有太多关于它的文档。

谢谢！

Answer 1

这是一个活跃的研究领域，可能需要某种ML算法。我们（加州大学伯克利分校的3名学生）也正在研究它。你有可以分享的pcaps吗？

Answer 2

有很多特征，但是因为这是一个标准化程度不高的新领域-无法找到所有设备的解决方案，所以您将不得不使用几种不同的方法。

1. 观看协议-一些设备使用利基协议将其识别出来（例如VOIP设备的SIP）
2. 观看url设备通过DNS查找的内容-由于大多数物联网设备都不像普通计算机那样由人直接控制，因此它们的通信在每个设备上都是独一无二的。他们将与供应商的网站联系以获取更新，发送和接收与他们的功能直接相关并且行为不会有太大差异的数据。
3. 注意服务发现协议。许多协议都包括设备作为字段提供的服务。了解有关ssdp和mdns的信息。

使用大多数通信是预定义的事实有许多更复杂的方法。设备具有独特的通信模式-例如，请求之间的特定时间。

Answer 3

真的没有。毕竟这是一个互联网设备，制造商和用户通过配置将定义其流量模式。

也就是说，物联网设备的特定 类型 将会有一种流量模式。正弦IoT设备出于合法原因总是会回电话，您可能可以通过它们连接的服务器来查找设备类型，然后使用它来完善统计/ ML算法。

现在，许多IoT设备（医疗设备，OnStar，Tesla等）都使用蜂窝网络来提高移动性和可靠性。有一组协议可以显示更多信息。