协议

送走了局长，张强立马坐到电脑前，开始从历史数据中寻找证据，以验证自己的思想：一个来自外网的数据包，激活一个内网对外的访问请求，然后开始进行数据传输。是这样吗？好像很合理，但是又总觉得缺少点什么。

从开始做端口镜像以来，来自六三七的数据已经有几百个G了，这些数据被按天分别保存到了不同的文件中，如果是几百个G的电影或欧美剧，看起来应该不会太枯燥乏味，但是这些数据可不是电影，更不是欧美剧，绝大多数都是内网对外网的访问数据、外网对服务器的访问数据、DNS的广播和请求应答数据以及偶尔出现的ICMP测试数据和SNMP数据，一条一条地查看起来可就没那么生动有趣了。

张强想，要通过网络对外传递数据，有两种方式，一种是是内网主动向外推送，这种方式比较直接，当然也比较容易暴露自己的踪迹和身份，即便是通过SSL加密方式，也是相当不安全的。不会的，肯定不会是这种方式，作为一家涉密单位，一家军工企业，基本的内控和审计应该还是有的，谁也不敢冒着被杀头的风险通过这种方式来泄露机密信息。

那么另外一种可能的方式，就是由外网的访问来激活并建立会话，然后再完成数据的传递。张强一边想一边列出镜像下来的数据文件。

或许还有其它方式，比如从内网上传到服务器上，再由外网去下载。这个可能更麻烦，如果不是了要攻破服务器的安防系统，那就是一定得有系统管理员做内应。要知道即便是网站的数据更新和内容的发布，按照国家保密局的要求也必须要使用摆渡机来交换数据，想人工插手实在是难上加难。

虽然刚才跟局长汇报工作的时候，灵机一闪的想法让自己有些小激动，甚至是敲键盘的手都有点止不住得轻微发抖，但是要真正搜寻线索，寻找突破口，还是需要一点一点地来，是急不得的。

张强用手抹了一把脸，两只手又在脸上来回地搓了两把，好让自己的头脑清醒些，连日来白天黑夜的加班让自己有些疲惫，甚至是感觉脸上的皮肤都已经乏的有些发皱。

还是先从协议开始好了。张强想着调用了wireshark的一个命令，将输入文件指定为镜像下来的第一个文件，开始对数据文件中的镜像数据进行分析，然后通过tee三通管道命令将输出结果显示在屏幕上的同时又通过重定向输出将结果保存到另外一个文件中。

回车键刚一敲下去，张强就有点后悔。因为处理的都是第一手的原始数据，他吃不准直接这样处理会不会破坏数据文件，要是原始文件被毁了麻烦可就大了。但是因为也不知道强行终止wireshark的运行会不会破坏文件，可真是让他左右为难。犹豫了一下，张强心想就这样吧。

分析程序在运行，显示屏上开始一行一行地输出分析结果，基本上是一个数据包输出一行。按照张强设置的参数，已经跳过了以太网地址数据，但是数据包的类型还是有的，然后输出的就是数据报的类型，包括IP、ICMP、SNMP和未知类型，对于IP类型的报文，还进一步检测是TCP数据包还是UDP数据包。

wireshark的输出结果快速地在屏幕上从下向上滚动着，靠眼睛来审视屏幕上的结果其实没有任何意义，所以张强往后靠在椅子上，想闭目养神地歇一会，但是不知不觉地竟然睡着了。