আমি ঘটনাক্রমে আমার কম্পিউটারে নিম্নলিখিত মত অদ্ভুত ফায়ারওয়াল লগ এন্ট্রি লক্ষ্য:
Apr 1 22:17:56 slavic-probook kernel: [23623.091873] [UFW BLOCK] IN=wlp2s0 OUT= MAC=d0:57:7b:60:3a:6a:18:b8:1f:27:ed:06:08:00 SRC=192.168.1.65 DST=192.168.1.70 LEN=323 TOS=0x00 PREC=0xA0 TTL=64 ID=39529 DF PROTO=UDP SPT=1900 DPT=49952 LEN=303
Apr 1 22:17:57 slavic-probook kernel: [23624.092666] [UFW BLOCK] IN=wlp2s0 OUT= MAC=d0:57:7b:60:3a:6a:18:b8:1f:27:ed:06:08:00 SRC=192.168.1.65 DST=192.168.1.70 LEN=323 TOS=0x00 PREC=0xA0 TTL=64 ID=39622 DF PROTO=UDP SPT=1900 DPT=49952 LEN=303
Apr 1 22:17:58 slavic-probook kernel: [23625.094162] [UFW BLOCK] IN=wlp2s0 OUT= MAC=d0:57:7b:60:3a:6a:18:b8:1f:27:ed:06:08:00 SRC=192.168.1.65 DST=192.168.1.70 LEN=323 TOS=0x00 PREC=0xA0 TTL=64 ID=40181 DF PROTO=UDP SPT=1900 DPT=49952 LEN=303
Apr 1 22:17:59 slavic-probook kernel: [23626.094239] [UFW BLOCK] IN=wlp2s0 OUT= MAC=d0:57:7b:60:3a:6a:18:b8:1f:27:ed:06:08:00 SRC=192.168.1.65 DST=192.168.1.70 LEN=323 TOS=0x00 PREC=0xA0 TTL=64 ID=40237 DF PROTO=UDP SPT=1900 DPT=49952 LEN=303
এসআরসি আইপি অ্যাড্রেস সহ ডিভাইসটি একটি টেলিস DVR বক্স, যা স্মার্ট টিভির সাথে সংযুক্ত। কোনও টিভি বক্সটি নেটওয়ার্কে কম্পিউটারগুলিতে বার্তাগুলি পাঠানোর চেষ্টা করা উচিত নয়, বিশেষত র্যান্ডম পোর্টগুলিতে, কারণ এটি লগের ক্ষেত্রে মনে হয়।
আমি কি ঠিকমত বলছি যে DVR বক্সটি সংক্রামিত হয়েছে এবং কিছু দুর্বলতা স্ক্যানার চলছে?
আপডেট 1
কারণ আমি সম্পূর্ণ ছবি পেতে চেয়েছিলাম, ফায়ারওয়াল কেবল ট্রাফিক বন্ধ করে দিয়েছিলাম, আমি এগিয়ে গিয়েছিলাম এবং আমার কম্পিউটারে কয়েকটি টিসিপিডাম-এস সঞ্চালিত, প্রশ্নে হোস্ট সম্পর্কিত: tcpdump -i wlp2s0 -n "src host 192.168.1.65 or dst host 192.168.1.65"
(মনে রাখবেন যে, যদিও আমি একটি ওয়াইফাই ইন্টারফেসে শুনছি, তবুও টিভি বক্স নিজেই ইথারনেটে থাকে তবে তা গুরুত্বপূর্ণ)
ফলাফল এই মত মাল্টিস্টাস্ট অনুরোধ একটি গুচ্ছ ছিল:
01:59:17.410558 IP (tos 0xa0, ttl 1, id 9041, offset 0, flags [DF], proto UDP (17), length 564)
192.168.1.65.40106 > 239.255.255.250.8082: [udp sum ok] UDP, length 536
01:59:20.482689 IP (tos 0xa0, ttl 1, id 11391, offset 0, flags [DF], proto UDP (17), length 564)
192.168.1.65.40106 > 239.255.255.250.8082: [udp sum ok] UDP, length 536
01:59:23.350033 IP (tos 0xa0, ttl 1, id 14259, offset 0, flags [DF], proto UDP (17), length 564)
192.168.1.65.40106 > 239.255.255.250.8082: [udp sum ok] UDP, length 536
01:59:26.421815 IP (tos 0xa0, ttl 1, id 16051, offset 0, flags [DF], proto UDP (17), length 564)
192.168.1.65.40106 > 239.255.255.250.8082: [udp sum ok] UDP, length 536
01:59:29.494329 IP (tos 0xa0, ttl 1, id 17699, offset 0, flags [DF], proto UDP (17), length 564)
192.168.1.65.40106 > 239.255.255.250.8082: [udp sum ok] UDP, length 536
এই মত কন্টেন্ট ধারণকারী বার্তা প্রতিটি:
NOTIFY * HTTP/1.1
x-type: dvr
x-filter: f0e4ba33-5680-459b-8c3d-a4fdeffdb2f9
x-lastUserActivity: 4/2/2018 7:26:29 AM
x-location: http://192.168.1.65:8080/dvrfs/info.xml
x-device: 0d90b7cc-3fc2-4890-b2b9-8f7026732fd6
x-debug: http://192.168.1.65:8080
<node count='7102'><activities><schedver dver='3' ver='57' pendcap='True' /><x/><p15n stamp='08D514D5EC333DF818B81F27ED06'/><recordver ver='46' verid='355872864' size='962072674304' free='952610324480' /><x/></activities></node>
তারপর একবার পরিচিত, ফায়ারওয়াল ব্লক অনুরোধ:
02:02:28.005207 IP (tos 0xa0, ttl 64, id 34066, offset 0, flags [DF], proto UDP (17), length 323)
192.168.1.65.1900 > 192.168.1.70.53280: [udp sum ok] UDP, length 295
02:02:28.900119 IP (tos 0xa0, ttl 64, id 34258, offset 0, flags [DF], proto UDP (17), length 323)
192.168.1.65.1900 > 192.168.1.70.53280: [udp sum ok] UDP, length 295
কন্টেন্ট সঙ্গে:
HTTP/1.1 200 OK
LOCATION: http://192.168.1.65:56790/dd.xml
CACHE-CONTROL: max-age=1800
EXT:
BOOTID.UPNP.ORG: 1
SERVER: Linux/2.6 UPnP/1.1 quick_ssdp/1.1
ST: urn:dial-multiscreen-org:service:dial:1
USN: uuid:0d90b7cc-3fc2-4890-b2b9-8f7026732fd6::urn:dial-multiscreen-org:service:dial:1
এটি আমার একটি ভাঙা এসএসডিপি বাস্তবায়ন সুপারিশ করবে, কিন্তু জ্ঞানী মানুষের কাছ থেকে যেকোন ইনপুট পরিস্থিতির উপর আলোড়ন সৃষ্টি করতে পারে।
আপডেট 2
আমি ফায়ারওয়াল দ্বারা ব্লক করা বার্তাগুলির গোষ্ঠীর জন্য অপরাধী খুঁজে পেয়েছি (19২.168.1.65:1900 - & gt; my.computer:random_port)। গুগল ক্রোম প্রতিটি মিনিট বা তাই SSDP আবিষ্কার অনুরোধ multicasting রাখা। এটি কোডেড হওয়ার কারণে, এই অনুরোধগুলি আপাতদৃষ্টিতে র্যান্ডম পোর্টগুলি ব্যবহার করে এবং এইভাবে যখন টিভি বক্স থেকে বৈধ প্রতিক্রিয়া আসে তখন এটি অবরুদ্ধ হয়ে যায়।
এই বার্তা প্রথম গ্রুপ ব্যাখ্যা করে। আমি এখনও জানতে চাই দ্বিতীয় গ্রুপ কি কারণ।