Identificazione del traffico sospetto

Veehxia

Salve a tutti,
Da qualche tempo c'è un dispositivo nella rete di un conoscente che genera molto traffico sospetto e trattandosi di un'NVR ci piacerebbe approfondire la cosa.
Come router utilizziamo un'Ubiquiti Cloud Gateway Ultra e l'unica porta esposta nell'NVR è quella necessaria per connettersi da remoto.
Stando alle statistiche del CGU, l'NVR ha praticamente 1Mbps di upload costante 24/7 e viene indentificato come "Web File Transfer", generando circa 10GB di traffico quotidianamente.
Sempre guardando le insight del CGU, nella sezione Geo, posso notare che tutto questo traffico non va in un solo paese in particolare, ma in una giornata con 20GB di utilizzo tutto il traffico della casa si divide in 4 parti quasi uguali tra US/Irlanda/Germania e Italia.
Considerando l'altra metà del traffico si dirige verso IG / YT / Apple, sarei più orientato tra Germania e Italia.
Mi piacerebbe approfondire la cosa in modo più specifico e cercando online ho trovato delle guide Ubiquiti per aver dei log dove si riferisce alla possibilità di effettuare un TCPDump collegandosi in SSH al Gateway,
Vedo però solamente come far per generare un log di un'interfaccia e non di un singolo client, cosa che mi servirebbe in quando l'NVR è collegato a uno switch e non a una porta del CGU, se lo facessi di tutta l'interfaccia temo solamente che genererei un log incasinato e inleggibile.
Vi domando quindi se qualcuno avesse qualche consigli su come far per diagnosticare al meglio questo strano comportamento in modo da poterci poi porre rimedio, grazie.

giuse56

Veehxia Io ti consiglierei di staccare da internet l'NVR e di farti un canale sicuro magari con VPN.
Di che marca è il DVR? Dahua? Hikvision?

Filippo94

Veehxia mmm 10gb/dì non è poco; senza log immagino non indichi il tipo di traffico. Portare un cavo singolo ritieni sia poco fattibile?

Rekko

Veehxia Stando alle statistiche del CGU, l'NVR ha praticamente 1Mbps di upload costante 24/7 e viene indentificato come "Web File Transfer", generando circa 10GB di traffico quotidianamente.

Ma è un NVR Cloud?
Se la risposta è no,è abbastanza preoccupante come roba

Veehxia

giuse56 Io ti consiglierei di staccare da internet l'NVR e di farti un canale sicuro magari con VPN.

Anche io sono di questa scuola, NVR su VLAN separata blindata da tutto e accessibile in remoto solo da VPN, ma in questo caso non è stato installato da me / non è di mia competenza quindi mi limito a far quello che mi è stato chiesto.

giuse56 Di che marca è il DVR? Dahua? Hikvision?

Dahua, ma non ho trovato nulla di che riguardo vulnerabilità recenti, solo roba del 2018 o 2021.
Anche perché ho una configurazione molto simile (sempre CGU + NVR Dahua, solo un modello diverso) in un'altra sede e non genera alcun traffico.

Giann

Veehxia beh ma se è su una VLAN non puoi fare il log solo dell'interfaccia della VLAN? Ora non so come funzioni il tuo firewall però

Veehxia

Filippo94 immagino non indichi il tipo di traffico

L'unica cosa che mi indica appunto è "Web File Transfer" come tipo di servizio.
Per questo cercavo un modo di restringere un TCPDump a un solo IP in modo da aver un log più leggibile.

Filippo94 Portare un cavo singolo ritieni sia poco fattibile?

Come soluzione temporanea si, per tenerlo giusto un paio d'ore ecco, solo che se c'era modo di farlo da remoto "mi portavo avanti".

Qwertyadmin

Veehxia Per questo cercavo un modo di restringere un TCPDump a un solo IP in modo da aver un log più leggibile.

Vado a memoria ma credo che quando lanci tcpdump puoi impostare un'espressione filtro per catturare solo determinati pacchetti. Sicuramente si può filtrare per porta e protocollo (provato per sistemare una configurazione SIP), ma credo si possa filtrare anche per IP sorgente.
In sintesi lanci tcpdump in ascolto sull'interfaccia dove è collegato anche il DVR e imposti un filtro basato sull'IP. Per dettagli e sintassi: man tcpdump.

Veehxia

Giann beh ma se è su una VLAN non puoi fare il log solo dell'interfaccia della VLAN?

Nella VLAN tra telecamere e allarme ci sono circa 40 device, che partono tutti dalla stessa porta quindi non mi cambierebbe molto.

Giann Ora non so come funzioni il tuo firewall però

Il firewall lo gestisce sempre il CGU ed essendo un'abitazione non ci sono regole particolari, c'è un blocco del routing tra le 4 VLAN con delle eccezioni per dei device specifici e un blocco verso le interfacce dei device di rete, con qualche regola poi di port forwarding per cose come appunto NVR / allarme e domotica.

Rekko Ma è un NVR Cloud?
Se la risposta è no,è abbastanza preoccupante come roba

Infatti la risposta è no e per questo voglio indagar.
Avevo ipotizzato anche che magari fosse traffico LAN che venisse conteggiato per via di come è strutturata la rete, ma ho già escluso la cosa dopo aver analizzato le statistiche di ogni porta e client.

GusEdgestream L’unico modo per capire il traffico anomalo é loggare dal gateway le connessioni che fa con l’ip di destinazione, la durata e quante volte.

È quello che vorrei provare a fare, ma cercavo un modo di farlo senza dover collegar fisicamente l'NVR a una porta dedicata del gateway semplicemente filtrando la mia richiesta di TCPDump.
Anche per aver la possibilità di loggar magari per un periodo di tempo maggiore.

GusEdgestream

L’unico modo per capire il traffico anomalo é loggare dal gateway le connessioni che fa con l’ip di destinazione, la durata e quante volte. Un volta collezionato gli ip pubblici di destinazione che van per la maggiore, cerchi con gli N mile webtool che trovi online a chi é intestato l’ip, la nazionalita’ dell’ubicazione e la sua reputazione. Se é ip lecito é un errore di conf o bug, mentre se é illecito é stato compromesso. Probabile che alla fine per una causa o per l’altra un reset con riconfigurazione é da fare.

microchip1967

Non è che è stata attivata la funzione P2P del DVR?
Io tutti i DVR che ho installato li ho sempre messi su vlan separate e l'accesso avviene solo con una VPN
ALtro "trucchetto" per evitare che il DVR vada in internet è modificare il gateway.
Verifica anche nel log del DVR se vi è qualcuno costantemente collegato
Altra cosa da verificare se nella configurazione del NVR non sia stato settato di salvare gli eventi su esterno, come pure verificare (sempre dal NVR) di aver instalalto l'ultima versione disponibile

Veehxia

microchip1967 Non è che è stata attivata la funzione P2P del DVR?
microchip1967 Verifica anche nel log del DVR se vi è qualcuno costantemente collegato
Altra cosa da verificare se nella configurazione del NVR non sia stato settato di salvare gli eventi su esterno, come pure verificare (sempre dal NVR) di aver instalalto l'ultima versione disponibile

Come ho detto prima, l'NVR non è stato installato da me e non ho accesso a nessun parametro, io ho solamente consegnato una porta sullo switch configurata come richiestomi, con VLAN dedicata.
Non vedo comunque motivo per cui dovrebbe esserci attivato un P2P sull'NVR visto registra su se stesso ecco, in un'impianto analogo (stesso installatore / brand, solo meno device) tutto questo non avviene, per questo mi sento di escludere configurazioni particolari.

microchip1967 Io tutti i DVR che ho installato li ho sempre messi su vlan separate e l'accesso avviene solo con una VPN
ALtro "trucchetto" per evitare che il DVR vada in internet è modificare il gateway.

Sempre per il motivo sopra, mi è stato chiesto di aprir la porta di default che usano per l'accesso via app.

m1k4bz Che marca è l'impianto TVCC?

Dahua, installato giusto da qualche mese quindi modello recente e tutto, non ti so dire di preciso il modello ora come ora.

m1k4bz I marchi più noti HIKVISION, DAHUA, TWT, usano server in UE, e backup con quelli in Asia, in questo caso, inviano spot immagini solo in quello UE ma non in quello extraUE.

Infatti è quello che noto, un continuo flusso tra Germania e Irlanda.

m1k4bz nviano solo log di connessione online/offline e live quando un utente lo visualizza da remoto.

Capisco l'invio di log e tutto però mi sembra eccessivo 10GB al giorno.

m1k4bz Hikvision e dahua, i migliori brand sul mercato, hanno avuto un lotto di nvr che inviavano i video live sul server e non si sà il perchè... Molte volte bastava staccare l'impianto dalla corrente e riattaccarlo per farsì che non inviasse più nulla...

Credo sia quello che sta succedendo, proverò a chiedere di far cosi e vedrò se cambia qualcosa.

Per ora sono riuscito a fare un TCPDump isolando il client e l'ho caricato su Wireshark, quello che sono riuscito a capire per ora è che continua a comunicare con appunto dei datacenter in Germania e Irlanda, che però sono di proprietà di società Cinesi (AliCloud/Huawei) o Singapore.
Il comando che ho usato è stato sudo tcpdump -i switch0.30 src IPNVR -c 100000 -w dump.pcap, essendo 30 la VLAN dove si trova l'NVR.
Una volta caricato su Wireshark non noto un'IP particolare che ha maggioranza di traffico masvariati tutti riconducibili ai datacenter che indicavo prima in Germania e Irlanda, ve ne lascio alcuni per darvi un'idea.

8.211.47.105 - 101.46.136.98 - 119.8.215.8 - 8.209.65.165

In uno in particolare che ora non trovo avevo letto "Service: Public Free Proxy" e la cosa mi ha un'attimo insospettito, ma era uno solo.
Ho provato a bloccar i blocchi a cui questi IP appartengono ma ogni volta ne spuntano degli altri e so bene che se c'è un'accesso bucato è una causa persa, era solo per "diagnostica".

Sempre tramite Wireshark posso notare alcune info sospette, specialmente molte voci riguardo stream video.

Queste sono solo quelle filtrate per start-picture-stream e canale 12, ci sono anche vari end-picture-stream e per vari canali.
Vi lascio un dump completo con qualche censura di un pacchetto di questo tipo come esempio.

Premi per mostrare Premi per nascondere

Frame 8952: 851 bytes on wire (6808 bits), 851 bytes captured (6808 bits) Encapsulation type: Ethernet (1) Arrival Time: Sep 20, 2024 14:38:29.384985000 ora legale Europa occidentale [Time shift for this packet: 0.000000000 seconds] Epoch Time: 1726835909.384985000 [Time delta from previous captured frame: 0.017002000 seconds] [Time delta from previous displayed frame: 42.619768000 seconds] [Time since reference or first frame: 435.821351000 seconds] Frame Number: 8952 Frame Length: 851 bytes (6808 bits) Capture Length: 851 bytes (6808 bits) [Frame is marked: False] [Frame is ignored: False] [Protocols in frame: eth:ethertype:ip:tcp:http:json] [Coloring Rule Name: HTTP] [Coloring Rule String: http || tcp.port == 80 || http2] Ethernet II, Src: *MACNVR* (*MACNVR*), Dst: *MACDEST* (*MACDEST*) Destination: *MACDEST* (*MACDEST*) Address: *MACDEST* (*MACDEST*) .... ..1. .... .... .... .... = LG bit: Locally administered address (this is NOT the factory default) .... ...0 .... .... .... .... = IG bit: Individual address (unicast) Source: *MACNVR* (*MACNVR*) Address: *MACNVR* (*MACNVR*) .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default) .... ...0 .... .... .... .... = IG bit: Individual address (unicast) Type: IPv4 (0x0800) Internet Protocol Version 4, Src: *IPLANNVR*, Dst: 47.91.79.74 0100 .... = Version: 4 .... 0101 = Header Length: 20 bytes (5) Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT) 0000 00.. = Differentiated Services Codepoint: Default (0) .... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0) Total Length: 837 Identification: 0x77ab (30635) 010. .... = Flags: 0x2, Don't fragment 0... .... = Reserved bit: Not set .1.. .... = Don't fragment: Set ..0. .... = More fragments: Not set ...0 0000 0000 0000 = Fragment Offset: 0 Time to Live: 64 Protocol: TCP (6) Header Checksum: 0x7fb0 [validation disabled] [Header checksum status: Unverified] Source Address: *IPLANNVR* Destination Address: 47.91.79.74 Transmission Control Protocol, Src Port: *CENS, Dst Port: 15100, Seq: 1, Ack: 1, Len: 785 Source Port: *CENS* Destination Port: 15100 [Stream index: 55] [Conversation completeness: Incomplete (29)] ..0. .... = RST: Absent ...1 .... = FIN: Present .... 1... = Data: Present .... .1.. = ACK: Present .... ..0. = SYN-ACK: Absent .... ...1 = SYN: Present [Completeness Flags: ·FDA·S] [TCP Segment Len: 785] Sequence Number: 1 (relative sequence number) Sequence Number (raw): 526412143 [Next Sequence Number: 786 (relative sequence number)] Acknowledgment Number: 1 (relative ack number) Acknowledgment number (raw): 4048984915 1000 .... = Header Length: 32 bytes (8) Flags: 0x018 (PSH, ACK) 000. .... .... = Reserved: Not set ...0 .... .... = Accurate ECN: Not set .... 0... .... = Congestion Window Reduced: Not set .... .0.. .... = ECN-Echo: Not set .... ..0. .... = Urgent: Not set .... ...1 .... = Acknowledgment: Set .... .... 1... = Push: Set .... .... .0.. = Reset: Not set .... .... ..0. = Syn: Not set .... .... ...0 = Fin: Not set [TCP Flags: ·······AP···] Window: 502 [Calculated window size: 64256] [Window size scaling factor: 128] Checksum: 0xad42 [unverified] [Checksum Status: Unverified] Urgent Pointer: 0 Options: (12 bytes), No-Operation (NOP), No-Operation (NOP), Timestamps TCP Option - No-Operation (NOP) TCP Option - No-Operation (NOP) TCP Option - Timestamps [Timestamps] [Time since first frame in this TCP stream: 0.032911000 seconds] [Time since previous frame in this TCP stream: 0.017002000 seconds] [SEQ/ACK analysis] [iRTT: 0.015909000 seconds] [Bytes in flight: 786] [Bytes sent since last PSH flag: 785] TCP payload (785 bytes) Hypertext Transfer Protocol POST /start-picture-stream/*SERIALENVR*/*NUMEROCAMERA* HTTP/1.1\r\n Authorization: WSSE profile="UsernameToken"\r\n Content-Length: 336\r\n Content-MD5: \r\n Content-Type: application/json\r\n Host: 47.91.79.74:15100\r\n X-Date: 20240920T123829Z\r\n X-Seq: 263002\r\n X-Version: 3.2.0\r\n X-WSSE: UsernameToken Username="EASY4IP-V1\*SERIALENVR*", PasswordDigest="*CENSURA*", Nonce="*CENSURA*", Created="20240920T123829Z"\r\n \r\n [Full request URI: http://47.91.79.74:15100/start-picture-stream/*SERIALENVR*/*CAMERA*] [HTTP request 1/3] [Next request in frame: 9245] File Data: 336 bytes JavaScript Object Notation: application/json
!<

Se faccio sempre da Wireshark una ricerca per oggetti, trovo svariati file "end-picture-stream" da circa 2MB l'uno ma non riesco ad aprirli con nulla una volta esportati.

Ho provato a vedere se riuscivo ad estrarre dei fotogrammi o altro usando questo script ma non credo sia adatto, da una parte quello che leggo su Wireshark mi fa pensare ci sia effettivamente uno stream sconosciuto mentre dall'altra mi sembra comunque poca banda 1Mbps costante vedendo non è solo un canale e una destinazione per renderlo effettivamente possibile.

Proverò a far riavviare l'NVR e terrò monitorato nei prossimi giorni
Nel mentre, se qualcuno ha altre idee su come potrei ispezionare meglio il contenuto di questi pacchetti, sono tutto orecchie.
Al momento ho mezza dozzina di dump da 100k pacchetti.

PS: C'è un comando per Wireshark che mi permette di filtrare la colonna INFO per un match parziale?
Usando _ws.col.info mi trova solo match esatti e non posso filtrar un generico "video-stream".

m1k4bz

Che marca è l'impianto TVCC?

Ti chiedo perchè ho già avuto problemi simili con alcuni miei clienti, ma in base al marchio ti so aiutare

Nell'attesa di sapere il marchio dell'impianto, ci sono alcuni marchi cinesi ( marchi strani che si trovano online), che usando cloud only estero. Molti di questi, inviano i video live in un server solitamente situato in Cina / Corea.
Marchi cinesi più conosciuti ( EZVIZ brand lowcost Hikvision, e IMOU, ex brand Dahua), usando server solo ubicati in Asia, con invio spot di immagini nei loro server.
I marchi più noti HIKVISION, DAHUA, TWT, usano server in UE, e backup con quelli in Asia, in questo caso, inviano spot immagini solo in quello UE ma non in quello extraUE.
Infine, marchi conosciuti ma meno utilizzati tipo IESS, COMELIT, URMET, hanno server solamente situati in Italia ( con AWS di amazon), e inviano solo log di connessione online/offline e live quando un utente lo visualizza da remoto.

Hikvision e dahua, i migliori brand sul mercato, hanno avuto un lotto di nvr che inviavano i video live sul server e non si sà il perchè... Molte volte bastava staccare l'impianto dalla corrente e riattaccarlo per farsì che non inviasse più nulla...

Technetium

m1k4bz Hikvision e dahua, i migliori brand sul mercato, hanno avuto un lotto di nvr che inviavano i video live sul server e non si sà il perchè... Molte volte bastava staccare l'impianto dalla corrente e riattaccarlo per farsì che non inviasse più nulla...

Ma è il motivo per cui o li isoli completamente e ci accedi solo tramite VPN o non li usi. Per me, banditi proprio.

giuse56

m1k4bz è dahua l'aveva detto sopra

m1k4bz

Veehxia alcuni indirizzi IP gli ho confrontati e il mio cliente inviava flussi anche lui.
Ti consiglio, oltre a un riavvio, di fare un cambio password sia dell'NVR che dell'account del cloud ivms, non vorrei che te l'avessero hackerato o che qualcuno abbia accesso al tuo account.
Hai tutte cam dahua o qualcuna di altro marchio messa in onvif generico per acquisirla nel registratore dahua?

microchip1967

Veehxia Come ho detto prima, l'NVR non è stato installato da me e non ho accesso a nessun parametro, io ho solamente consegnato una porta sullo switch configurata come richiestomi, con VLAN dedicata.

scusa se ti rispondo solo ora
Pretendi di avere assolutamente la configurazione. Altrimenti blocca l'accesso ad internet della macchina
Altra cosa: ti ricordo che l'uso di app per l'accesso dall'esterno, in caso lavorativo, non e GDPR compliant, a meno che tu non attui tutte le protezioni del caso (per questo ti ho accennato alla VPN)
Ho installato (ed installo) dahua e, proprio per questo, ti ho dato le indicazioni

Veehxia

m1k4bz Hai tutte cam dahua o qualcuna di altro marchio messa in onvif generico per acquisirla nel registratore dahua?

Da quanto so tutte le cam sono Dahua ma sicuramente c'è qualche integrazione con domotica / allarme di altri brand.

m1k4bz

Veehxia mmmm... fai un controllo allora...
Il traffico in uscita mi sembra troppo eccessivo in ogni caso. Non vorrei che i flussi video vadano anche su qualche server della domotica/allarme....

Veehxia

m1k4bz Non vorrei che i flussi video vadano anche su qualche server della domotica/allarme....

Sempre da quello che so, la domotica viene gestita da un mini PC installato in sede, mentre l'allarme ha anche quella una porta esposta, non sono prodotti "alla Verisure" ecco.
Ho fatto un dump di tutta la VLAN e non noto nulla di strano / traffico eccessivo da quei device verso l'esterno, vorrei riuscir a far un'altro dump del traffico tra i due device ma essendo sotto uno switch e nella stessa VLAN non passano dal gateway.

Veehxia

microchip1967 ti ricordo che l'uso di app per l'accesso dall'esterno, in caso lavorativo, non e GDPR compliant

L'impianto è per un'abitazione e non è stato fatto da azienda per cui non mi preoccuperei di quello.
Alla fine comunque ho messo un blocco al traffico da/per Germania e Irlanda nel firewall per l'NVR ed è passato da 10GB a 20MB al giorno.
Continuerò ad indagare ma per ora lo considero bonificato, grazie a tutti per le dritte.

Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile