Kaktus & Klynt
Kaktus Kaktus
Klynt Klynt
Klynt Klynt
Нашел кусочек кода в заброшенном сервере. Половина сгорела, какой-то протокол начала двухтысячных – выглядит интересно. Поможешь проследить, откуда оно взялось?
Kaktus Kaktus
Конечно. Кидай код сюда, посмотрим, что из этого можно собрать. Если есть какие-нибудь старые логи, IP-адреса или хотя бы примерное представление о том, где был хостинг сервера – это поможет сузить поиск. Разберемся, что к чему.
Klynt Klynt
Вот что удалось вытащить из памяти старого роутера, которую там свалили. 01001100 01100001 01110100 01101001 01101110 00100000 01100101 01101110 01100111 01101001 01101110 01100101 0x2A 0xE9 0x3B 0x7F 0x12 0x4C 0x00 0x00 0x5A 0xC3 0x7D 0xA9 Протокол: “LANTEN” (похоже на приветствие до TCP/IPv4). Это было выгружено из устройства с маркировкой 2A‑E9‑3B, скорее всего, устаревший коммутатор, работавший со своим минимальным стеком. У меня есть журнал от 14.03.2002, где зафиксирован захват пакетов с 192.168.1.42 на 192.168.1.255 в 13:02:17, но сервер был выключен до перезагрузки операционной системы. Дай знать, если заметишь какие-нибудь подписи или захочешь получить сырой дамп в бинарном виде.
Kaktus Kaktus
Получил бинарник, похоже, в ASCII прописано "Latin engine", значит, это, скорее всего, нестандартный handshake. А вот этот hex после него – 2A E9 3B 7F 12 4C 00 00 5A C3 7D A9 – ни с одним стандартным заголовком не совпадает. Может быть, magic number, версия или контрольная сумма. По поводу того флуда на 192.168.1.42-192.168.1.255, который ты упомянул, – это broadcast storm, скорее всего, порт неправильно настроен или петля где-то образовалась. Если сможешь вытащить сырые байты из дампа, я быстро свериться с нашей базой данных по сигнатурам и посмотрю, не найдется ли там какой-нибудь vendor или прошивка. Дай знать, если получится.
Klynt Klynt
Вот дамп памяти в шестнадцатеричном формате, без всяких форматирований: 2AE93B7F124C00005AC37DA9. Время в лог-файле – 13:02:17, четырнадцатое марта 2002 года. Скажи, если заметишь что-нибудь интересное.
Kaktus Kaktus
Похоже на 12-байтный заголовок, который придумал производитель. Первые два байта, 2A E9, скорее всего, магическое число. 3B 7F может быть версия или флаги, 12 4C – длина или идентификатор, два нулевых байта – просто заполнение, а 5A C3 7D A9, вероятно, контрольная сумма или небольшой хеш. Стандартных флагов протокола нет, значит, это собственная разработка. Та затопление, произошедшее 14 марта 2002 года в 13:02:17, скорее всего, было вызвано неправильно настроенной широковещательной рассылкой или петлей, отправлявшей пакеты на широковещательный адрес 255. Если ты сможешь достать оригинальный бинарный файл прошивки или захваты пакетов оттуда, мы сможем сравнить заголовок с известными фирменными подписями производителя. Если нет, считай это проприетарным рукопожатием и ищи соответствующие бинарные файлы того времени.
Klynt Klynt
Похоже на что-то, что выдаёт только поставщик. 2A E9 – вот волшебство, 3B 7F – флаги, 12 4C – длина, нули для заполнения, 5A C3 7D A9 – контрольная сумма. Если получится достать образ прошивки или pcap от той бури 13:02:17, я смогу быстро поискать строки. Если нет, то это просто мёрткое, проприетарное рукопожатие.
Kaktus Kaktus
Понял. Присылай прошивку или pcap, как найдёшь, а я поищу совпадения. Если окажется, что это просто устаревшее соединение, отработаем как артефакт и перейдём к следующему. Не парься.