protocol-reverse-engineering

「協定逆向工程」技能為安全研究人員、網路工程師和開發人員提供了一個強大的框架，用於解構專有通訊協定。該技能專為互通性研究、除錯和安全漏洞研究等任務而設計，將 Wireshark、tshark、tcpdump、mitmproxy 和 Scapy 等行業標準工具整合到一個可操作的工作流程中，用於分析網路流量。

本技能協助使用者從原始位元組串流轉換為高階協定規範。它支援透過直接介面監控或中間人攔截來擷取流量，對擷取的 PCAP 檔案進行篩選和統計分析，並使用 Python 建立自定義的解析器或分析指令碼。透過提供二進位結構識別的明確模式（例如 TLV 格式解析、長度前綴訊息和固定標頭分析），它簡化了繁瑣的協定文件編制過程。

• 使用 tcpdump 和 tshark 等標準命令列工具擷取並檢查流量。

• 使用 Wireshark 過濾器和串流重組進行深度封包檢測。

• 透過 mitmproxy 攔截並修改加密流量，以測試安全通訊。

• 使用 Scapy 框架自動化協定解析和自定義封包建構。

• 識別常見協定特徵碼（HTTP, TLS, SMB, SSH, Redis, MongoDB）並分析專有二進位格式。

• 使用結構化範本和十六進位轉儲分析從二進位串流中提取有意義的資料。

• 使用擷取工具時，請確保配置正確的網路權限；通常需要提升權限 (sudo)。

• 使用提供的 Python 範本處理 TLV 和長度前綴的二進位資料，以確保解析結果的一致性。

• 優先在 tshark 和 tcpdump 中使用過濾表達式，以減少雜訊並優化大型擷取檔案的效能。

• 透過管理主密鑰日誌或將必要的 SSL/TLS 金鑰匯入分析環境來處理加密協定。

• 在記錄專有結構之前，請務必針對已知正確的流量樣本驗證自定義解析器。