Se detectó un protocolo TLS desconocido en la red

Navega tus respuestas
1

Hemos detectado un protocolo desconocido que intenta comunicarse en el puerto 443 de nuestra red. Los primeros cinco bytes son:

[67 66 75 80 80]

No he podido relacionar esto con ningún protocolo TLS conocido, pero tal vez me haya perdido algo. Como referencia, los primeros cinco bytes de TLS 1.2 son:

Primer byte: Tipo de contenido - generalmente 22 (Handshake)

2-3: Versión de protocolo

4-5: longitud de cifrado: el máximo permitido es 16384. La longitud por encima de (80, 80) es igual a 20,560.

Pregunta: ¿Qué es este protocolo?

Para mayor claridad, estos son los primeros cinco bytes de la parte (posible) de ClientHello del protocolo de enlace TLS.

Edición 2: aquí está el mensaje completo que se está transmitiendo (en decimal):

67 66 75 80 80 82 5 80 70 2 54 0 0 0 0 208 45 246 211 76 241 199 209 119 166 249 155 90 161 37 74 180 147 167 229 45 169 151 37 41 5 98 128 154 101 134 242 105 139 201 35 8 14 78 222 188 96 64 26 151 133 163 92 148 135 172 237 253

    
pregunta Winston Privacy 02.11.2018 - 02:13
fuente

2 respuestas

1

Lo resolvimos. Este fue un protocolo propietario utilizado por Honeywell en sus sistemas de alarma. Lo están enviando a través del puerto 443, lo cual es una muy mala idea ya que su documentación indica que tienen problemas con muchos enrutadores diferentes (debido a eso).

Ojalá pudiera decir que resolvimos esto de una manera elegante. Procedí a interceptar el mensaje TLS / ClientHello fallido y luego busqué el destino original en las tablas de conexión. Una búsqueda de IP inversa indicó que esto era propiedad de AlarmNet, lo que nos llevó a experimentar con la activación / desactivación de la intercepción de la red mientras observábamos el sistema de alarma. Solo el trabajo de detective y la grasa del codo a la antigua.

    
respondido por el Winston Privacy 02.11.2018 - 17:51
fuente
0

No creo que sea TLS, parece que a alguien se le olvida configurar un sistema que usa ese protocolo para conectarse a sus sistemas básicamente. Sería bueno si pudiera cargar el archivo pcap con la conexión TCP para comprender un poco. más el protocolo desconocido si es necesario

    
respondido por el camp0 02.11.2018 - 09:10
fuente

Lea otras preguntas en las etiquetas

Windows 64-bit Reverse TCP Shell no funciona ¿Cómo puedo verificar los certificados cuando me conecto a un servidor FTP con Filezilla?