Protocollo TLS sconosciuto rilevato sulla rete

Naviga le tue risposte
1

Abbiamo rilevato un protocollo sconosciuto che tenta di comunicare sulla porta 443 sulla nostra rete. I primi cinque byte sono:

[67 66 75 80 80]

Non sono riuscito ad associarlo a nessun protocollo TLS conosciuto, ma forse mi sono perso qualcosa. Come riferimento, i primi cinque byte di TLS 1.2 sono:

Primo byte: Tipo di contenuto - tipicamente 22 (Handshake)

2-3: versione del protocollo

4-5: lunghezza cifrata - max consentito 16384. La lunghezza sopra (80, 80) equivale a 20.560.

Domanda: che cos'è questo protocollo?

Per chiarezza, questi sono i primi cinque byte della (possibile) porzione ClientHello dell'handshake TLS.

Modifica 2: qui viene trasmesso il messaggio completo (in decimale):

67 66 75 80 80 82 5 80 70 2 54 0 0 0 0 208 45 246 211 76 241 199 209 119 166 249 155 90 161 37 74 180 147 167 229 45 169 151 37 41 5 98 128 154 101 134 242 105 139 201 35 8 14 78 222 188 96 64 26 151 133 163 92 148 135 172 237 253

    
posta Winston Privacy 02.11.2018 - 02:13
fonte

2 risposte

1

L'abbiamo risolto. Questo era un protocollo proprietario usato da Honeywell nei loro sistemi di allarme. Lo stanno inviando sulla porta 443, che è una pessima idea dato che la loro documentazione afferma che hanno problemi con molti router diversi (a causa di ciò).

Vorrei poter dire che lo abbiamo capito in maniera elegante. Ho proseguito intrappolando il messaggio TLS / ClientHello non riuscito, quindi ho cercato la destinazione originale nelle tabelle conntrac. Una ricerca IP inversa ha indicato che questo era di proprietà di AlarmNet, che poi ci ha portato a sperimentare l'attivazione / disattivazione dell'intercettazione della rete durante l'osservazione del sistema di allarme. Solo vecchio lavoro investigativo e grasso al gomito.

    
risposta data 02.11.2018 - 17:51
fonte
0

Non penso che sia TLS, sembra che qualcuno non sia in grado di configurare un sistema che usa quel protocollo per connettersi ai tuoi sistemi in pratica, Sarebbe bello se tu potessi caricare il file pcap con la connessione TCP per capire un po ' più il protocollo sconosciuto se necessario

    
risposta data 02.11.2018 - 09:10
fonte

Leggi altre domande sui tag

È possibile forzare un file crittografato con un file di chiavi? Hashcat bruteforce definisce la forma dell'intervallo di cifre e a