2017-03-21 9 views

答えて

0

興味深い質問です。ユーザーが "Telnet"ソケットに接続する最初のヒントはポート番号ですが、公式ポートは23ですが、サーバーはどのポートでもリッスンする可能性があります。

Telnetを検出する上での最大の問題は、サーバーがそれを実装せずに単純にバニラASCIIを話すことができるため、常に「Telnet」プロトコルが使用されているとは限りません。基本的には、普通のASCII文字と(オプションの)制御文字を扱っています。ほとんどのtelnetサーバーが提供するいくつかの大きなヒントがありますが、トラフィックを検査する必要があります。ネットワークトラフィックに探すために

ものがあります:

  1. トラフィックは通常、ミックスの英語の単語やLinuxのプログラム名で、ほとんどがASCII文字です。

  2. 制御文字。これらは、すべてのTelnetサーバー(またはその背後にあるターミナル)によって実装されることは保証されていませんが、ほとんどの場合そうです。具体的には、CSI control codesを探します。これは端末のサイズ、色、カーソル位置の変更などを行います。

  3. 喫煙銃、Telnet Negotiation。通常、Telnetサーバーは接続時にこれらのコマンドを送信し、クライアントは情報で応答することもできます。端末のサイズ変更や文字セットなどの他の機能も処理しますが、すべてのサーバで実装されているわけではありません。この情報から、通常、クライアントが使用しているクライアントアプリケーション(例えばパテ)をスクラップできます。

TCP接続でこれらのものを検出することは、Telnetセッションが行われていることをかなり示しています。

+0

SMTPとTelnetセッションが同じに見えますか?多くの確立されたプロトコルとサービスがtelnetのように見えるので、Telnetはうんざりですか? 。 –

+0

SMTPには平文が含まれていますが、豊富なCSI制御コードとTelnetネゴシエーションメッセージがありません。しかし、特定の添付ファイルエンコーディングを含む電子メールで誤検出が検出される可能性があります。 SMTPやその他の平文プロトコルを探して明示的にフィルタリングすることもできますが、その日の終わりには実際には生のTCP接続になる可能性があります。何かが何かのように見えるかもしれません。 – Ryan

関連する問題