etc/tcp-clients.sig

   1 ############################################################################
   2 #
   3 # PRADS - Passive Real-time Asset Detection System
   4 #  - TCP client signature list
   5 #
   6 # This contains a database of device signatures to be used with
   7 # Passive Real-time Asset Detection System.
   8 #
   9 # Format:
  10 # <service>,<version info>,<signature>
  11 #
  12 # Service: This describes the service name used by the signature.
  13 # Examples would include SSH, HTTP, SMTP, etc.
  14 #
  15 # Version Info:  This contains a NMAP-like template for the service
  16 # discovered by the signature.  The field follows this format:
  17 #   v/vendorproductname/version/info/
  18 #
  19 # Signature:  This is a PCRE compatable regular expression without the
  20 # surrounding /'s.  The signature should have one or two sets of ()'s
  21 # depending on the Version Info field.
  22 #
  23 # Matching: The matching rutine starts with the first signature in this
  24 # file and ends with the last signature in this file. If a match is
  25 # found, no more signatures will be checked.
  26 # The signatures that you think will match the most in your environment,
  27 # should be on top in this file. Wildcards/Fallback (.* etc) signatures
  28 # should be the last signatures in a match signature group.
  29 #
  30 ############################################################################
  31
  32 ####### OFTEN USED CLIENTS #################################################
  33 ############################################################################
  34
  35 ####### User-Agent Section START ###########################################
  36 # From tests 28 jan 2010: Seems like fallback sigs does better overall
  37 # performance vs detection. Fallback would get close to 100% agents, while
  38 # spesific agents would just match for single agents. Though performace
  39 # showing that 6 spesific sigs uses 22% time in client_tcp4() while using
  40 # the 3 fallback sigs, uses 24 % on my test pcaps in client_tcp4().
  41 # Conclusion: Higher detection rate and a small increase in resources
  42 ### Often used User-Agents
  43 # Mozilla
  44 #http,v/Mozilla Browser/$1/$2/,User-Agent\x3a Mozilla\/(.*)\r\n
  45 ### Moderate used User-Agents
  46 # Opera
  47 #http,v/Opera/$1/$2/,User-Agent\x3a Opera\/(.*)\r\n
  48 ### Little used User-Agents
  49 ## CUPS
  50 #http,v/Cups Client/$1//,User-Agent\x3a CUPS\/(.*)\r\n
  51 ## Perl
  52 #http,v/Perl LWP/$1/$2,lwp-request\/([.\d]+) libwww-perl/([.\d]+)
  53 #http,v/Perl LWP/$1//,User-Agent\x3a lwp-request\/([.\d]+)
  54 ## Mozilla
  55 #http,v/Mozilla/$1/$2/,User-Agent: (Mozilla-)?Thunderbird (.*)
  56
  57 ### User-Agent fallbacks
  58 #http,v/User-Agent: /$1//,User-Agent\x3A (.*)[\0x1F\r\n]
  59 #http,v/User-Agent: /$1//,User-Agent\x3A (.*)\0x1F
  60 #http,v/User-Agent: /$1//,User-Agent\x3a (.*)\r
  61 #http,v/User-Agent: /$1//,User-Agent\x3a (.*)\n
  62
  63 # After some testing today, I propose new sigs:
  64 #http,v/User-Agent1:/$1//,User-Agent\x3A ([.+-]+)\0x1F
  65 #http,v/User-Agent2:/$1/$2/,User-Agent\x3A (.*)[+-](.*)\r
  66 #http,v/User-Agent3:/$1/$2/,User-Agent\x3A (.*)[+-](.*)\n
  67 #http,v/User-Agent4:/$1//,User-Agent\x3a (.*)\r
  68 #http,v/User-Agent5:/$1//,User-Agent\x3a (.*)\n
  69 http,v/$1///,User-Agent\x3A ([.+-]+)\0x1F
  70 http,v/$1//$2/,User-Agent\x3A (.*)[+-](.*)\r
  71 http,v/$1//$2/,User-Agent\x3A (.*)[+-](.*)\n
  72 http,v/$1///,User-Agent\x3a (.*)\r
  73 http,v/$1///,User-Agent\x3a (.*)\n
  74
  75 ####### User-Agent Section END #############################################
  76
  77 ####### MODERATE USED CLIENTS ##############################################
  78 ############################################################################
  79
  80 ####### SSH Section START ##################################################
  81 # SSH
  82 ssh,v/OpenSSH/$2/Protocol $1/,SSH-([.\d]+)-OpenSSH[_-](\S+)
  83 ssh,v/libssh/$2/Protocol $1/,SSH-([.\d]+)-libssh-(\S+)
  84 ssh,v/PuTTY/$2/Protocol $1/,SSH-([.\d]+)-PuTTY_(\S+)
  85 ####### SSH Section END ####################################################
  86
  87 ####### TLS/SSL Section START ##############################################
  88 ssl,v/TLS 1.0 Client Hello///,^\x16\x03\x01..\x01...\x03\x01
  89 ssl,v/TLS 1.0 Client Key Exchange///,^\x16\x03\x01..\x10...\x14\x03\x01..
  90 ssl,v/SSL 2.0 Client Hello///,^..\x01\x03\x01..\0\0
  91 #ssl,v/OpenSSL///,^\x16\x03\0\0J\x02\0\0F\x03\0
  92 ####### TLS/SSL Section END ################################################
  93
  94 ####### LITTLE USED CLIENTS ################################################
  95 ############################################################################
  96
  97 ####### SMTP Section START #################################################
  98 #smtp,v/X-Mailer/$1//,X-Mailer: (.*)[\r\n]
  99 ####### SMTP Section END #################################################
 100
 101 #mysql,v/MySQL Login Request(Char:latin1)///,^..\x00\x01\..[\x03\x01]\x00\x00\x00\x00.\x08
 102 #mysql,v/MySQL Request Query (SET NAMES)///,^.\x00\x00\x00\x03SET NAMES utf8$
 103 #mysql,v/MySQL Request Query (SELECT)///,^..\x00\x00\x03\x53\x45\x4c\x45\x43\x54\x20\x60
 104
 105 #ldap,v/LDAP_START_TLS_OID///,^\x30\x1d\x02\x01\x01\x77\x18\x80\x16\x31\x2e\x33\x2e\x36\x2e\x31\x2e\x34\x2e\x31\x34\x36\x36\x2e\x32\x30\x30\x33\x37
 106
 107
 108 ############################################################################
 109