Tengo una muestra específica sobre la que me gustaría recibir comentarios, pero mi opinión es que una respuesta sobre técnicas generales es más valiosa para este sitio. Dejaré los detalles en caso de que alguien que esté en Google haya encontrado el mismo servicio.
Mis preguntas:
-
¿Cuáles son las técnicas y recursos generales para identificar un servicio desconocido, o algo en un puerto no estándar que no está siendo hablador?
-
¿El comportamiento a continuación suena con alguien? (¿He omitido algunos pasos para seguir identificando el servicio?)
-
Durante un compromiso, hemos encontrado un puerto abierto, 10001. Como puede haber adivinado, por lo que puedo decir, no responde a los protocolos que generalmente se usan en ese puerto. Mi búsqueda no ha sido completamente exhaustiva, pero he confundido los primeros tres bytes y he encontrado una respuesta para el primer byte.
Observaciones sobre mi servicio desconocido específico:
-
Habla TCP
-
Cuando se envía un capital i,
I\n
, respondeI211568 \x00 \x00
-
Los mensajes parecen estar terminados en nulo y en nueva línea; Cualquier cosa que no sea posterior al capital no afecta el comportamiento, sino un nulo antes de que afecte la respuesta.
-
nmap lo muestra como
scp-config
, una vez comotcpwrapped
EDIT:
Resulta que era el Puerto remoto de un DVR de Swann