Tecniche generali per l'identificazione di un servizio sconosciuto

3

Ho un campione specifico su cui vorrei un feedback, ma il mio punto di vista è una risposta sulle tecniche generali è più prezioso per questo sito. Lascerò i dettagli, nel caso in cui qualcuno chiami questo urtato nello stesso servizio.

Le mie domande:

  1. Quali sono le tecniche e le risorse generali per identificare un servizio sconosciuto o qualcosa su una porta non standard che non è loquace?

  2. Il comportamento sotto fa suonare un campanello con chiunque? (Sono mancati passaggi per identificare ulteriormente il servizio?)

-

Durante un incarico, abbiamo incontrato una porta aperta, 10001. Come avrete intuito, per quanto posso dire non risponde ai protocolli solitamente usati su quella porta. La mia ricerca non è stata completamente esaustiva, ma ho cancellato i primi tre byte e ho trovato una risposta per il primo byte.

Osservazioni sul mio specifico servizio sconosciuto:

  • Parla TCP

  • Quando viene inviata una maiuscola i, I\n , risponde I211568 \x00 \x00

  • I messaggi sembrano essere nulli e newline terminati; tutto tranne quelli dopo la capitale non influiscono sul comportamento, ma un valore nullo prima che comprometta la risposta.

  • nmap lo mostra come scp-config , una volta come tcpwrapped

Modifica

È stato rilevato che Porta remota di un DVR Swann

    
posta J.A.K. 13.02.2017 - 03:55
fonte

1 risposta

2

Penso che quello che stai chiedendo (a ben vedere) è Port Independent Protocol Identification (PIPI) , un metodo per rilevare protocolli di livello applicativo ben noti (pubblicati come RFC) o protocolli oscuri (come malware, backdoor nascosti ecc.) sottoposti a manutenzione su una porta non standard. In effetti, questo è ciò che i ricercatori del protocollo offuscamento, sviluppatori di malware (e anti-malware) e team IDS / IPS riflettono continuamente. L'obiettivo in parte è identificare l'applicazione senza fare affidamento sui numeri di porta del livello 4. Esistono due tecniche ampiamente utilizzate in IDS,

  1. Analisi statistica del traffico all'interno di una connessione
  2. Individuazione di modelli di byte specifici del protocollo nel payload della connessione

Fai leggi questo white paper per una spiegazione completa.

Nel tuo caso specifico potresti,

  1. Personalizza file nmap-services-probe per aggiungere una nuova firma di servizio in base alle osservazioni del tuo servizio sconosciuto specifico.
  2. Considera scrivendo un dissettore Wireshark una volta che hai raccolto abbastanza dati affidabili dettagli sul comportamento del protocollo come dimensione del pacchetto, modello di comunicazione, idiosincrasie nel carico utile e simili.
risposta data 14.02.2017 - 11:05
fonte

Leggi altre domande sui tag