Se Bob sta usando un server proxy e sta comunicando con esso su TLS. È possibile che un utente malintenzionato seduto tra Bob e il server proxy determini quale tipo di pacchetto Bob sta ricevendo e chiedendo al / dal server proxy.
Ovviamente, l'attaccante non può vedere il contenuto dei pacchetti perché sono crittografati. Ma se vuole sapere il tipo di traffico come ftp, smtp, http, ecc. Su TLS sarà in grado di saperlo?
Come @Sjoerd ha proposto nella sua risposta puoi vedere il numero di porta. Ma questo non aiuta se non è semplice un protocollo abilitato TLS (vale a dire smtps invece di smtp, ftps invece di ftp ...) ma se Bob sta usando un server proxy o VPN per tunnelare il protocollo.
In questo caso si potrebbe provare a rilevare il protocollo mediante analisi del flusso perché diversi protocolli hanno caratteristiche di traffico diverse riguardo a quale quantità di dati viene inviata e in quale momento in quale direzione. E questo comportamento è visibile anche al di fuori del tunnel TLS.
Ad esempio, sia SMTP che FTP si avviano in modo simile, in quanto il server invia per la prima volta un breve messaggio di benvenuto seguito da diversi piccoli scambi (es. USER, PASS, .. con FTP ed EHLO, MAIL FROM, RCPT TO ... con SMTP) che sono poi seguiti da un più ampio trasferimento da client a server con SMTP (cioè la posta) e la maggior parte delle volte da server a client con FTP (elenco di directory). Con HTTP invece i client inviano solitamente una piccola richiesta (ma evidente più grande dei comandi all'interno di SMTP, FTP) mentre il server invia una risposta molto più ampia.
Sebbene non sia possibile essere completamente sicuri del protocollo parlato, queste euristiche manuali forniscono già un modo per classificare il traffico. Anche la classificazione del traffico in questo modo è rilevante al di fuori di TLS, in quanto un controllo del traffico più approfondito solo per la classificazione è spesso costoso e lento. Se cerchi solo la classificazione del traffico netflow troverai molti articoli scientifici e altre informazioni per ulteriori la ricerca.
Sì. Il computer si connette a una determinata porta, ad esempio 21 per FTP o 80 per HTTP e solo successivamente viene configurata la connessione TLS. Un utente malintenzionato che può ascoltare la connessione vedrà a quale porta ti colleghi e quindi quale servizio stai usando.
Per ulteriori informazioni su ciò che nasconde specificamente TLS, è questo video , sebbene sia incentrato su HTTPS .