Unbekannte Geräte Identifizieren

[RudiP]

Ich bin gerade dabei, mit Pi.Alert mein Netzwerk mal vernünftig zu Katalogisieren. Also was habe ich da überhaupt alles für Geräte, MAC, IP usw.
Ich muß dabei sagen, ich habe relativ viele Geräte im Netzwerk, Rolladenschalter, Lampen usw.
Nun habe ich noch 6 Geräte, die ich nicht zuordnen kann, die mir in der FritzBox 7590 AX nur so dargestellt werden.

Ich habe schon mal alle Apps, die zum Steuern der Geräte auf meinem Handy sind, danach durchsucht, aber leider ohne Erfolg.

Die Geräte vom Netzwerk trennen, um dann zu sehen, was nicht mehr geht, möchte ich eher nicht.
Kennt ihr noch andere Methoden, wie man solche Geräte Identifizieren könnte ?

 

[blurrrr]

Versuch es mal über die MAC-Adresse der jeweiligen Geräte: https://macvendors.com/. Ansonsten ggf. mal die Ports der Geräte scannen. Dazu sei aber zu sagen, dass es heutzutage auch üblich ist, dass Mobilgeräte ihre MAC faken - ist dann so ein "Security-Feature". So kann es halt sein, dass ein Gerät ständig mit einer anderen MAC auftaucht (welche dann i.d.R. auch keinem Hersteller zuweisbar ist).

 

[the other]

Moinsen,
wenig überraschend: es scheint aus China zu kommen....
https://macaddress.io/macaddress/F0:C8:14

 

[RudiP]

Hi blurrrr
Ja, den Gedanken hatte ich auch schon, aber da bekommt man halt nur den Hersteller und der sagt leider wenig aus.
SHENZHEN BILIAN ELECTRONIC CO.，LTD
Shanghai High-Flying Electronics Technology Co., Ltd
um nur zwei Beispiele zu nennen.
Das Handy und Tablet mit wechselnder MAC Unterwegs sind, erkennt die Software tatsächlich selbständig, was ich schon mal genial finde.

Ja the other, überrascht mich auch nicht, das da einiges aus China kommt. Du kannst nen Rolladenschalter mit Sensor Touchfeld für 5 € in China kaufen, für 15 € bei Pearl (absolut selbes Model) oder für 20 € bei Amazon.
Du kannst Glück haben und das China Teil funktioniert perfekt (90% der Fälle) oder Pech, es tut nicht so, wie Du dachtest und kaufst halt woanders.
Hilft aber leider alles nicht beim Identifizieren, was für ein Gerät es nun ist.
Hersteller hilft da nicht wirklich, die haben so viele Geräte im Angebot und bei einigen meiner gekauften Geräte kenne ich den Hersteller auch nicht.

Außer bei einem, da zeigte er mir Tuya an, auf der Webseite, die Du angegeben hast. Das Gerät muß ich also eigentlich in der Tuya bzw. Smartlife App finden. Das hilft schon mal ein wenig.

 

[El_Despo74]

Könntest dir auch mal ne andere App laden.
Ich hab n iPhone und nutze die App „IP-Scanner“… Logo ist schwarz mit nem grauen Fadenkreuz drauf…
Ist kostenlos und bringt vllt Licht ins Dunkel….

 

[blurrrr]

Hilft aber leider alles nicht beim Identifizieren, was für ein Gerät es nun ist.

Scan halt mal die Ports und schau, was dabei rum kommt... Bin ja bekanntlich nicht so fit in Sachen Smarthome, aber wenn die Dinger eine "IP" haben und somit im regulären Netz sind, dann wird man sehr wahrscheinlich auch offene Ports dort finden, worüber die Geräte angesteuert werden (falls das nicht nur rein ausgehend Richtung Cloud ist und darüber die Steuerung erfolgt). Anhand der Ports (und ggf. bereitgestellten Dienste) kann man dann ggf. auch noch ein bisschen mehr ausmachen.

 

[RudiP]

Scan halt mal die Ports und schau, was dabei rum kommt...

Das macht mir jetzt Angst.
Beim ersten Gerät, wo ich das gemacht habe, kommt Port 80 offen.
Also mal die IP in den Browser eingegeben und da kommt ein Anmeldefeld. Benutzername und Passwort.
Leider keine näheren Infos und mit meinen sonst üblichen Anmeldedaten komme ich da auch nicht weiter.

Bin ja bekanntlich nicht so fit in Sachen Smarthome,

Ja, ist ja bekannt, das Du von nichts wirklich Ahnung hast.

aber wenn die Dinger eine "IP" haben und somit im regulären Netz sind, dann wird man sehr wahrscheinlich auch offene Ports dort finden, worüber die Geräte angesteuert werden (falls das nicht nur rein ausgehend Richtung Cloud ist und darüber die Steuerung erfolgt). Anhand der Ports (und ggf. bereitgestellten Dienste) kann man dann ggf. auch noch ein bisschen mehr ausmachen.

Alle anderen unbekannten Geräte haben keine offenen Ports.

Ein Detaillierter Scan auf diesem einen Gerät erzeugt gerade nicht nur Angst, sondern fast schon Panik.

ospf soll angeblich in großen Unternehmer Netzwerken eingesetzt werden.
Auch ein RTRR Server auf einem QNAP kann es sein. QNAP NAS habe ich, aber RTRR Server ist deaktiviert.

Und dann habe ich noch das hier gefunden.

8899

udp

malware

Backdoor.Win32.Singu.a / Remote Stack Buffer Overflow (UDP Datagram) - the malware listens on UDP ports 2211 and 8899. Third-party attackers who can reach an infected host can send a specially crafted UDP packet to port 8899, triggering a classic buffer overflow overwriting ECX and EIP registers. References: [MVID-2021-0221]

Heißt also erst mal, alles runterfahren und diesen Übeltäter suchen.
Ich melde mich, wenn ich mehr weiß.

 

[blurrrr]

Leg Dir vielleicht mal bei Zeiten eine kleine Doku an... Gerätebezeichnungen, Modelle, MAC-Adressen, ggf. auch IP-Adressen (sofern statisch, oder via DHCP reserviert)... Wird ja auch nicht weniger in so einem Geräte-Zoo...

 

[RudiP]

Leg Dir vielleicht mal bei Zeiten eine kleine Doku an... Gerätebezeichnungen, Modelle, MAC-Adressen, ggf. auch IP-Adressen (sofern statisch, oder via DHCP reserviert)... Wird ja auch nicht weniger in so einem Geräte-Zoo...

Pappnase. Was habe ich den oben Geschrieben, warum ich das mache ?

 

[the other]

Moinsen,
beim Portscan aber auch beachten: machst du den intern oder von extern? Ein intern offener Port 80 wird ja nun auch bei den Billigheimern genutzt fürs webGUI. Das bedeutet aber nicht automatisch, dass das auch von extern erreichbar sein muss. Also erst durchatmen...

Außerdem: was @blurrrr sagte...ich habe hier vermutlich deutlich weniger Geräte im Heimnetz...mal geschaut: unter 50. Ich führe hier aber trotzdem eine recht ausführliche Doku (MACs, IPv4s, IPv6s > ULA und linklocale, hostnames, Portbelegungen der switche, DHCP ranges der VLANs usw). Alles auf einen Blick als Tabelle...hilft wirklich einen kühlen Kopf zu bewahren...

Und zur Malware: die nutzt ja anscheinend das UDP Protokoll, nicht TCP.

 

[blurrrr]

Ich bin gerade dabei, mit Pi.Alert mein Netzwerk mal vernünftig zu Katalogisieren.

Keine Ahnung was Pi.Alert ist, aber was ich meinte, wäre schon eine niedergeschriebene Doku (z.B. in Form einer Excel-Tabelle oder dergleichen), im besten Fall sogar noch - jetzt wird's richtig altbacken - in ausgedruckter Form, falls mal "nichts" mehr geht (dann würde man auch an so eine Tabelle nicht mehr dran kommen)

 

[the other]

Moinsen,
oder eben im Umkehrschluss identifizieren:
angenommen du hast 100 Geräte im WLAN. 6 werden dir noch kryptisch in der Fritzbox angezeigt. Die übrigen 94 kannst du mittlerweile sicher zuordnen...hab ich zumindest so (mit anderen Zahlen) verstanden.
Also: die bekannten abgleichen mit deiner Fuhrparkliste, die Geräte, die dann noch übrig sind nacheinander vom Netz trennen...und analysieren, welche es sind. Ist zwar auch nervig, aber dann hättest du mehr Überblick (und bei 6 unbekannten Clients noch gut machbar).
Dann am Besten den Geräten direkt reservierte IPs vergeben, notieren, bei Bedarf Einstellungen vornehmen (zB dass die MACs immer gleich bleiben)...Liste fertig.
Ich nutze hier dynamisches DHCP nur noch für Gäste und im Labor-VLAN, in das neue Geräte zunächst kommen (um deren MAC zu ermitteln und zu dokumentieren bevor sie in ihr eigentliches VLAN gesteckt werden und die eigentlliche IP zugeteilt wird). Alles was mir gehört (Harharhar...MEINS!) bekommt ne reservierte IP, einen hostname und ist somit immer unter IP oder mit Namen erkennbar und nachverfolgbar. Einmal Aufwand, danach dann aber Ruhe. Und das Übertragen gelingt mit Copy&Paste dann auch schnell (in die Fritzbox/Router oder auch ins Pihole o.a.)

 

[RudiP]

beim Portscan aber auch beachten: machst du den intern oder von extern?

Zur Zeit Intern. Und nein, im Router sind keine automatischen Freigaben erlaubt und Port 80 auch nicht nach außen frei gegeben.

Ein intern offener Port 80 wird ja nun auch bei den Billigheimern genutzt fürs webGUI. Das bedeutet aber nicht automatisch, dass das auch von extern erreichbar sein muss. Also erst durchatmen...

Sicher, aber die Geräte in meinem Netzwerk, die eine WebGUI haben könnten bzw. haben, kenne ich eigentlich.
Aber ja, ich Atme wieder durch, habe im Router dem Gerät erst mal den Zugriff auf das Internet untersagt und Kaspersky mach nen Full Scan.

Außerdem: was @blurrrr sagte...ich habe hier vermutlich deutlich weniger Geräte im Heimnetz...mal geschaut: unter 50. Ich führe hier aber trotzdem eine recht ausführliche Doku (MACs, IPv4s, IPv6s > ULA und linklocale, hostnames, Portbelegungen der switche, DHCP ranges der VLANs usw). Alles auf einen Blick als Tabelle...hilft wirklich einen kühlen Kopf zu bewahren...

Das mache ich ja mit Pi.Alert gerade. Der Scannt nach allen Geräten, gibt mir alle Infos aus, die er gefunden hat und zeigt dann alle ihm Unbekannten Geräte an.
Hintergrund, habe ich einmal alle Geräte erfasst und es taucht dann ein "unbekanntes Device" auf, muß ich mir Gedanken machen, wer da wohl in mein Netzwerk gekommen ist.
Oder eben auch, das man mal schnell eine IP zu einem Gerät nachsehen kann oder eben auch die MAC.

Und zur Malware: die nutzt ja anscheinend das UDP Protokoll, nicht TCP.

Und ? Macht es nicht weniger Gefährlich.

Blurrrr, Pi.Alert läuft in einer VM auf nem extra Rechner und scannt periodisch das Netzwerk nach allen Geräten.
Neue UNBEKANNTE Geräte werden Angezeigt und man kann sich Warnen lassen.
Zu allen Geräten wird IP, MAC, Name, Hersteller letzte Sichtung, Verbindungstyp, Modell, SerienNr. gespeichert, sofern man letzteres eingegeben hat.
Zusätzlich kann ich mit dem Programm gleich nen Portscan auf den Geräten machen, Gucken, wann und wie lange die Online oder Offline waren.
Also eigentlich genau das, was Du auch machst, nur eben als Excel Tabelle.
Ach ja, Excel. Ein Export als CSV wäre möglich:

 

[RudiP]

oder eben im Umkehrschluss identifizieren:
angenommen du hast 100 Geräte im WLAN. 6 werden dir noch kryptisch in der Fritzbox angezeigt. Die übrigen 94 kannst du mittlerweile sicher zuordnen...hab ich zumindest so (mit anderen Zahlen) verstanden.
Also: die bekannten abgleichen mit deiner Fuhrparkliste, die Geräte, die dann noch übrig sind nacheinander vom Netz trennen...und analysieren, welche es sind.

Das ist eben das Problem. Rolladenschalter sind fest verbaut, die trennt man nicht mal eben.
Aber deine Zahlen sind schon Interessant. Du schaust sicher per Remote gerade zu, was ich mache.
89 Geräte sind aktuell erkannt, 7 davon unbekannt. Woher wußtest Du das nur.
Das Problem was ich sehe, wenn ich den Geräten jetzt den Zugriff auf das Internet per FritzBox untersage, heißt das ja nicht, das die dann nicht mehr funktionieren. Die bekommen halt nur keine Updates mehr. Zum Identifizieren also eher ungeeignet.
Aus dem Router bzw. dem Netzwerk komplett rausnehmen ginge nur, wenn ich wie Du, allen Geräten den Zugriff verwehre und jedes anhand seiner MAC extra freigeben muß. Würde ich aber nur sehr ungern machen.

Habe gerade mal den NAS runter gefahren. Adresse ist aber immer noch erreichbar, also ist es kein RTRR Server von QNAP.
Das Gerät wird im Router angezeigt, das es per WIFI 2.4 Ghz mit dem Netzwerk verbunden ist.
Als Hersteller wird mir in Pi.Alert "Shanghai High-Flying Electronics Technology Co., Ltd" angezeigt.
Hilft jetzt aber leider auch nicht so wirklich weiter. Keine Ahnung, ob es Hackern bereits möglich ist, einen Rolladenschalter oder eine Steckdose zu kapern und eine Backdoor zu installieren.

Ach Du sche.....
Ok, Entwarnung. Habe das Gerät gefunden.
Mein Nachbar hat ne kleine PV auf den Dach mit DEYE Wechselrichter. Die haben standardmäßig nen Access Point offen. Wir wollten den dann mal anweisen, sich in Zukunft ins heimische Netzwerk zu wählen und den AP abschalten.
Hatte leider so nicht geklappt. Ich hatte dann etwas rumgespielt und versucht, den in mein Netzwerk zu bringen und, naja, hat wohl geklappt.
Konnte mich gerade mit den Anmeldedaten für DEYE Wechselrichter dort anmelden.
Au man.

Aber gut, müssen immer noch 6 Geräte Identifiziert werden, die keine Ports frei gegeben haben.

 

[the other]

Moinsen,

Aber deine Zahlen sind schon Interessant. Du schaust sicher per Remote gerade zu, was ich mache.
89 Geräte sind aktuell erkannt, 7 davon unbekannt. Woher wußtest Du das nur.

Wollte schon den Witz bringen "...dann ahnst du ja jetzt, WEM die IP gehört, Muhahahaha *finsteres Lachen"...aber okay, dann eben der Nachbar und seine PV.
Das passiert eben auch immer wieder: ein Gerät aus der Nachbarschaft taucht auf und versetzt Menschen in Angst und Schrecken ...

Keine Ahnung, ob es Hackern bereits möglich ist, einen Rolladenschalter oder eine Steckdose zu kapern und eine Backdoor zu installieren.

Klar ist es das, das ist ja eben der IoT Mist: die können ins Netz, haben alles mögliche dabei...nur wirklich gut abgesichert oder mit Updates versehen sind sie oft nicht. Da gab es ja schon Berichte, in denen solche Devices dann in die kommende DDoS Attacke eingesponnen wurden. Deswegen ja: gute Doku machen und überlegen, ob solche Geräte überhaupt ins Internet müssen. Mal vom oft beobachteten ständigen "nach Hause telefonieren" abgesehen...

Und ? Macht es nicht weniger Gefährlich.

Nö, aber zeigt ja auch, dass es sich dabei vermutlich NICHT um diese Schadsoftware handeln könnte, die würde sonst ja eher den UDP Port 8899 aufmachen...

Und ja, wenn dann des Nachbarn Geräte im eigenen Netz rumirrlichtern...dann ist das natürlich eher semi-schick. Würde ich wenn immer nur ins Gast-WLAN erlauben (sind da ja recht isoliert), eher aber gar nicht. Und wenn, dann ebenfalls dokumentieren.
Kann aber auch manchmal schon ein fremdes Smartphone sein...dafür bietet es sich an, mit eigenen individuellen WLAN SSID Namen zu arbeiten (damit nicht alle in der Reihenhaussiedlung WLAN Netze mit den default Namen haben und am Client 20 x das gleiche angezeigt wird).

 

[RudiP]

Kann aber auch manchmal schon ein fremdes Smartphone sein...dafür bietet es sich an, mit eigenen individuellen WLAN SSID Namen zu arbeiten (damit nicht alle in der Reihenhaussiedlung WLAN Netze mit den default Namen haben und am Client 20 x das gleiche angezeigt wird).

Fremdes Smartphone ? Wie soll das den in mein heimisches Netz kommen ? Dann müßte es mein Passwort kennen und bei Hersteller würde bestimmt ein bekannter Name angezeigt. So viele verschiedene Hersteller gibt es ja nicht.

 

[Stationary]

Kann eine billige WiFi Kamera sein, oder auch ein Smartphone, das im privaten Modus angemeldet ist, also mal bei den Smartphone nach “private Wifi” oder so ähnlich suchen.

 

[RudiP]

Kann eine billige WiFi Kamera sein, oder auch ein Smartphone, das im privaten Modus angemeldet ist, also mal bei den Smartphone nach “private Wifi” oder so ähnlich suchen.

Also viele Kameras habe ich ja nicht. Aber eine ist per Elesion App verbunden, die gibt mir weder IP noch MAC Adresse bekannt. Eine zweite muß ich noch suchen, aber ja, ich denke, zwei der unbekannten Geräte dürften WLAN Kameras sein.
Handy im private Mode, nein. Alle Handys und Tablet werden angezeigt und ja, auch dabei berücksichtigt, das die zwischen 2,4 Ghz und 5 Ghz wechseln können und dabei eine andere IP bekommen.
Ich bin auch schon versucht, mal tief in mich zu gehen und in jeden Raum zu gehen und zu gucken, was da an WiFi Geräten verbaut ist.
Ist natürlich ne üble Arbeit und ob mir dabei alle Geräte einfallen, wage ich auch noch zu bezweifeln. Man ist ja nicht mehr der jüngste.