টিভি বক্স সংক্রমিত হয়?


0

আমি ঘটনাক্রমে আমার কম্পিউটারে নিম্নলিখিত মত অদ্ভুত ফায়ারওয়াল লগ এন্ট্রি লক্ষ্য:

Apr  1 22:17:56 slavic-probook kernel: [23623.091873] [UFW BLOCK] IN=wlp2s0 OUT= MAC=d0:57:7b:60:3a:6a:18:b8:1f:27:ed:06:08:00 SRC=192.168.1.65 DST=192.168.1.70 LEN=323 TOS=0x00 PREC=0xA0 TTL=64 ID=39529 DF PROTO=UDP SPT=1900 DPT=49952 LEN=303 
Apr  1 22:17:57 slavic-probook kernel: [23624.092666] [UFW BLOCK] IN=wlp2s0 OUT= MAC=d0:57:7b:60:3a:6a:18:b8:1f:27:ed:06:08:00 SRC=192.168.1.65 DST=192.168.1.70 LEN=323 TOS=0x00 PREC=0xA0 TTL=64 ID=39622 DF PROTO=UDP SPT=1900 DPT=49952 LEN=303 
Apr  1 22:17:58 slavic-probook kernel: [23625.094162] [UFW BLOCK] IN=wlp2s0 OUT= MAC=d0:57:7b:60:3a:6a:18:b8:1f:27:ed:06:08:00 SRC=192.168.1.65 DST=192.168.1.70 LEN=323 TOS=0x00 PREC=0xA0 TTL=64 ID=40181 DF PROTO=UDP SPT=1900 DPT=49952 LEN=303 
Apr  1 22:17:59 slavic-probook kernel: [23626.094239] [UFW BLOCK] IN=wlp2s0 OUT= MAC=d0:57:7b:60:3a:6a:18:b8:1f:27:ed:06:08:00 SRC=192.168.1.65 DST=192.168.1.70 LEN=323 TOS=0x00 PREC=0xA0 TTL=64 ID=40237 DF PROTO=UDP SPT=1900 DPT=49952 LEN=303

এসআরসি আইপি অ্যাড্রেস সহ ডিভাইসটি একটি টেলিস DVR বক্স, যা স্মার্ট টিভির সাথে সংযুক্ত। কোনও টিভি বক্সটি নেটওয়ার্কে কম্পিউটারগুলিতে বার্তাগুলি পাঠানোর চেষ্টা করা উচিত নয়, বিশেষত র্যান্ডম পোর্টগুলিতে, কারণ এটি লগের ক্ষেত্রে মনে হয়।

আমি কি ঠিকমত বলছি যে DVR বক্সটি সংক্রামিত হয়েছে এবং কিছু দুর্বলতা স্ক্যানার চলছে?

আপডেট 1

কারণ আমি সম্পূর্ণ ছবি পেতে চেয়েছিলাম, ফায়ারওয়াল কেবল ট্রাফিক বন্ধ করে দিয়েছিলাম, আমি এগিয়ে গিয়েছিলাম এবং আমার কম্পিউটারে কয়েকটি টিসিপিডাম-এস সঞ্চালিত, প্রশ্নে হোস্ট সম্পর্কিত: tcpdump -i wlp2s0 -n "src host 192.168.1.65 or dst host 192.168.1.65" (মনে রাখবেন যে, যদিও আমি একটি ওয়াইফাই ইন্টারফেসে শুনছি, তবুও টিভি বক্স নিজেই ইথারনেটে থাকে তবে তা গুরুত্বপূর্ণ)

ফলাফল এই মত মাল্টিস্টাস্ট অনুরোধ একটি গুচ্ছ ছিল:

01:59:17.410558 IP (tos 0xa0, ttl 1, id 9041, offset 0, flags [DF], proto UDP (17), length 564)
    192.168.1.65.40106 > 239.255.255.250.8082: [udp sum ok] UDP, length 536
01:59:20.482689 IP (tos 0xa0, ttl 1, id 11391, offset 0, flags [DF], proto UDP (17), length 564)
    192.168.1.65.40106 > 239.255.255.250.8082: [udp sum ok] UDP, length 536
01:59:23.350033 IP (tos 0xa0, ttl 1, id 14259, offset 0, flags [DF], proto UDP (17), length 564)
    192.168.1.65.40106 > 239.255.255.250.8082: [udp sum ok] UDP, length 536
01:59:26.421815 IP (tos 0xa0, ttl 1, id 16051, offset 0, flags [DF], proto UDP (17), length 564)
    192.168.1.65.40106 > 239.255.255.250.8082: [udp sum ok] UDP, length 536
01:59:29.494329 IP (tos 0xa0, ttl 1, id 17699, offset 0, flags [DF], proto UDP (17), length 564)
    192.168.1.65.40106 > 239.255.255.250.8082: [udp sum ok] UDP, length 536

এই মত কন্টেন্ট ধারণকারী বার্তা প্রতিটি:

NOTIFY * HTTP/1.1
x-type: dvr
x-filter: f0e4ba33-5680-459b-8c3d-a4fdeffdb2f9
x-lastUserActivity: 4/2/2018 7:26:29 AM
x-location: http://192.168.1.65:8080/dvrfs/info.xml
x-device: 0d90b7cc-3fc2-4890-b2b9-8f7026732fd6
x-debug: http://192.168.1.65:8080

<node count='7102'><activities><schedver dver='3' ver='57' pendcap='True' /><x/><p15n stamp='08D514D5EC333DF818B81F27ED06'/><recordver ver='46' verid='355872864' size='962072674304' free='952610324480' /><x/></activities></node>

তারপর একবার পরিচিত, ফায়ারওয়াল ব্লক অনুরোধ:

02:02:28.005207 IP (tos 0xa0, ttl 64, id 34066, offset 0, flags [DF], proto UDP (17), length 323)
    192.168.1.65.1900 > 192.168.1.70.53280: [udp sum ok] UDP, length 295
02:02:28.900119 IP (tos 0xa0, ttl 64, id 34258, offset 0, flags [DF], proto UDP (17), length 323)
    192.168.1.65.1900 > 192.168.1.70.53280: [udp sum ok] UDP, length 295  

কন্টেন্ট সঙ্গে:

HTTP/1.1 200 OK
LOCATION: http://192.168.1.65:56790/dd.xml
CACHE-CONTROL: max-age=1800
EXT:
BOOTID.UPNP.ORG: 1
SERVER: Linux/2.6 UPnP/1.1 quick_ssdp/1.1
ST: urn:dial-multiscreen-org:service:dial:1
USN: uuid:0d90b7cc-3fc2-4890-b2b9-8f7026732fd6::urn:dial-multiscreen-org:service:dial:1

এটি আমার একটি ভাঙা এসএসডিপি বাস্তবায়ন সুপারিশ করবে, কিন্তু জ্ঞানী মানুষের কাছ থেকে যেকোন ইনপুট পরিস্থিতির উপর আলোড়ন সৃষ্টি করতে পারে।

আপডেট 2

আমি ফায়ারওয়াল দ্বারা ব্লক করা বার্তাগুলির গোষ্ঠীর জন্য অপরাধী খুঁজে পেয়েছি (19২.168.1.65:1900 - & gt; my.computer:random_port)। গুগল ক্রোম প্রতিটি মিনিট বা তাই SSDP আবিষ্কার অনুরোধ multicasting রাখা। এটি কোডেড হওয়ার কারণে, এই অনুরোধগুলি আপাতদৃষ্টিতে র্যান্ডম পোর্টগুলি ব্যবহার করে এবং এইভাবে যখন টিভি বক্স থেকে বৈধ প্রতিক্রিয়া আসে তখন এটি অবরুদ্ধ হয়ে যায়।

এই বার্তা প্রথম গ্রুপ ব্যাখ্যা করে। আমি এখনও জানতে চাই দ্বিতীয় গ্রুপ কি কারণ।


192.168.1.70 একটি ইন্ট্রানেট ঠিকানা এটি আপনার নেটওয়ার্কের বাইরে বিদ্যমান নেই
Ramhound

1
"আমি কি ঠিক এই সিদ্ধান্তে পৌঁছেছি যে DVR বক্সটি সংক্রামিত হয়েছে এবং কিছু দুর্বলতা স্ক্যানার চালাচ্ছে?" - না; আপনি এই অনুমান করার অধিকার হবে না।
Ramhound

@ রামহাউন্ড হ্যাঁ - এটি আসলে একটি ইন্ট্রানেট ঠিকানা। কিভাবে আমার অনুমান সঙ্গে দ্বন্দ্ব হয়?
Slavic

UDP 1900 হয় বা হতে হবে এসএসপিপি উর ইউপিএনপি । আপনার মেশিনে এমন কিছু আছে যা ইউপিএনপি অনুরোধ পাঠাবে? অনুরোধগুলি মাল্টিকাস্টে যান, যা আপনার ফায়ারওয়ালকে এই জবাবগুলি সম্পর্কিত হিসাবে স্বীকৃত না করে ব্যাখ্যা করতে পারে (এটি স্বাভাবিক হিসাবে সম্পর্কিত হিসাবে গ্রহণ করার সিদ্ধান্ত নিয়েছে)।
dave_thompson_085

@ dave_thompson_085 এই মামলাটি কি 1900 সালেরও বেশি মনে হচ্ছে র্যান্ডম বন্দরের বদলে?
Slavic

উত্তর:


1

এটি বেশ কয়েকটি কারণের জন্য ঘটতে পারে, তাই খুব দ্রুত সিদ্ধান্তে তিড়িং লাফ না। অনেক ইন্টারনেট-সক্ষম ডিভাইস একটি নির্দিষ্ট সময়ের ভিত্তিতে নেটওয়ার্ক স্ক্যান স্ক্যান করে বা নির্দিষ্ট শর্তাদি পূরণ করে। যেমনটি প্রাক্তন বলে মনে হচ্ছে না, তেমনই DVR নেটওয়ার্কটিতে একটি পরিবর্তন সনাক্ত করেছে, যেমন একটি নতুন ডিভাইস পাঠানোর প্যাকেট, নেটওয়ার্ক সুরক্ষাতে একটি পরিবর্তন যা প্রাক-ভাগ করা কী একই থাকে (অর্থাত WPA WPA2), বা এমনকি রাউটারের স্বয়ংক্রিয় আপডেট দ্বারা প্রবর্তিত প্রোটোকল সংস্করণগুলির মধ্যে একটি পার্থক্য। ডিভাইস এই কর্ম সঞ্চালন করবে কেন এই কয়েকটি কারণ।

আপনি আমার পরামর্শ একটি নেটওয়ার্ক স্ক্যান চালানো হয়। আপনি বিভিন্ন সরঞ্জাম ব্যবহার করে এটি করতে পারেন, যেমন nmap , একটি খুব জনপ্রিয় ফ্রি নেটওয়ার্ক ম্যাপিং সরঞ্জাম যা কমান্ড-লাইন এবং গ্রাফিক্যাল উভয় বিকল্পগুলি সরবরাহ করে। NMap এবং অন্যান্য অন্যান্য নেটওয়ার্ক ম্যাপিং সরঞ্জামগুলি ম্যাপ করা ডিভাইসগুলিতে প্রচুর বিশদ সরবরাহ করে, তাই আমি আপনার নেটওয়ার্ককে ম্যাপিং এবং কোনও সন্দেহজনক আইপি ঠিকানাগুলি খুঁজে বের করার পরামর্শ দেব। আইএসপি-প্ররোচিত পোর্ট ফিল্টারিং এবং "সক্রিয়-দ্বারা-ডিফল্ট" নেটওয়ার্ক-ওয়াইড ফায়ারওয়ালগুলির আধুনিক প্রাচুর্যের সাথে, এখন নেটওয়ার্কের মধ্যে থেকে সবচেয়ে সাধারণ আক্রমণগুলি আসে (যেমন একটি কাছাকাছি আক্রমণকারী আপনার Wi-Fi নেটওয়ার্ক অ্যাক্সেস অর্জন করেছে এবং লগ করেছে মধ্যে এবং দূষিত আক্রমণ চালু)। অতএব, আপনার নেটওয়ার্ক ম্যাপিং দূষিত সত্তা খুঁজে বের করার জন্য আপনার সেরা বাজি হতে যাচ্ছে। আপনি যেমন একটি নেটওয়ার্ক অনুপ্রবেশ সনাক্তকরণ সিস্টেম নিয়োগ করতে পারে হ্রেষাধ্বনি । যদি আপনি একটি বেতার নেটওয়ার্ক ব্যবহার করছেন তবে প্রথম লজিক্যাল ধাপটি একটি শক্তিশালী, প্রাথমিকভাবে এলোমেলোভাবে উত্পন্ন কীতে প্রাক-ভাগ করা কী (বা "পাসওয়ার্ড") পরিবর্তন করতে হবে। পূর্বে উল্লিখিত হিসাবে, বেশিরভাগ আক্রমণগুলি আপনার নেটওয়ার্কের মধ্যে থেকে আসে, তাই যদি আক্রমণকারী আপনার নেটওয়ার্কের একটি ডিভাইসে স্থায়ী অ্যাক্সেস না করে এবং / অথবা আপনার রাউটারে প্রকৃত অ্যাক্সেস না থাকে তবে এটি অন্তত অস্থায়ীভাবে অনেক আক্রমণকারীকে থামাবে।


আমি যে DVR ক্রমাগত এই কাজ করা উচিত যোগ করা উচিত। প্রায় 15 বার একটি মিনিট। চিরকালের জন্য. এছাড়াও, বিভিন্ন বন্দর নোট।
Slavic

আমি নিশ্চিত নই যে আমি অনুসরণ করি - আমি কী নেটওয়ার্ক স্ক্যানের সাথে খোঁজার চেষ্টা করছি?
Slavic

আপনার প্রশ্ন 4 প্রতি মিনিটে 4 মিনিট নয়, প্রতি মিনিটে 15 দেখায়।
dave_thompson_085

@ স্ল্যাভিক দুঃখিত যে যদি স্পষ্ট না হয়। নেটওয়ার্ক স্ক্যানের উদ্দেশ্য নেটওয়ার্কটিতে সম্ভাব্য আক্রমণকারীদের খুঁজে বের করতে হবে।
interoperability

আপনি আপডেট এবং মন্তব্য থেকে দেখতে পারেন হিসাবে আমি অদ্ভুত ট্র্যাফিক সনাক্ত করতে বেশ কিছু অগ্রগতি করেছি। আমি এখনও জানি না DVR মাল্টিকাস্টগুলি পোর্ট 8082 (আপাতদৃষ্টিতে র্যান্ডম পোর্ট থেকে) কেন, কিন্তু অন্তত আমি ইতিবাচক নই এটি একটি সংক্রমণ নয়, তবে কিছু অদ্ভুত [ভুল] কনফিগারেশন।
Slavic
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.