IP kameralar varsayılan IP adresleri ile gelebiliyor ya da sahada belirli işlemler sonrasında değişiklikler yapılmaktadır. Sonrasında IP adresinin ne olduğunu bulabilmek baş ağrıtıcı bir süreç olarak karşımıza çıkabiliyor. Eğer üretici tool’u dışında global bir araç olan Wireshark ile herhangi bir marka kameranın IP adresini bulmak istiyorsanız kolları sıvayın başlayalım.
Wireshark, network trafik analiz yazılımıdır ve çok farklı tipte protokole ait paketleri işleyebilir ve gösterebilir. IP kameralar ilk başlatıldığında ARD veya SSDP paketleri gönderir. Bu paketleri yakalayıp filtreleyerek bilinmeyen IP adreslerini kısa süre içinde bulabiliriz.
1- IP Kamera ve PC’nizin aynı ağda olduğundan emin olun.
2-Wireshark yazılımını açın. Eğer Wireshark yazılımı bilgisayarınızda yüklü değilse, https://www.wireshark.org/download.html adresinden Wireshark’ı indirip yükleyebilirsiniz.
Bilgisayarımızın ethernet ara yüzünü kullandığımız için Ethernet’i seçiyoruz.
3- IP kamerayı başlatın.
4-“239.255.255.250” hedef adresine gönderilen SSDP duyurularını arayarak Wireshark’ın çıktısını izleyin. Aramayı daha da spesifikleştirmek için MAC adresini de AND operatörü ile filtreye bağlayabilirsiniz. Daha önceki yazılarda bahsettiğimiz gibi IP kameraların fiziksel adreslerinin / MAC adreslerinin ilk 3 karakteri OUI adresi olup, Üreticisi tarafından verilmektedir. Bu MAC adresi ile filtreleme yapacağız. Üreticilerin MAC adreslerini öğrenmek için daha önceki yazımızı inceleyebilirsiniz. (http://turk-iot.com/ip-kamera-ag-kavramlari-1-mac-adres/)
Hikvision IP Kameranın, bilinmeyen IP adresi için filtreleme yapalım :
Wireshark display filtre alanına yazılacak filtre : ip.addr==239.255.255.250 and eth.addr[:3]==94:e1:ac
Hikvision’ın birçok MAC adresi olduğunu önceki yazıda göstermiştik. Eğer yazmış olduğunuz MAC adresi olmazsa farklı MAC adresleri de deneyebilirsiniz.
Axis IP Kameranın, bilinmeyen IP adresi için filtreleme yapalım :
Wireshark display filtre alanına yazılacak filtre : ip.addr==239.255.255.250 and eth.addr[:3]==ac:cc:8e
Sonuçta 192.168.0.90 IP adresinin, Axis IP kamerasına ait olduğunu görüyoruz. Teyit etmek isterseniz Axis IP Utility tool’u ile de bulabilirsiniz..
Benzer sonucun döndüğünü görüyoruz.
Pelco IP kameranın, bilinmeyen IP adresi için filtreleme yapalım :
Wireshark display filtre alanına yazılacak filtre : ip.addr==239.255.255.250 and eth.addr[:3]==00:04:7d
Benzer yöntemi farklı markalar için de uygulayabilirsiniz.
Yazıyı bitirmeden önce SSDP protokolü hakkında bilgi vererek sonlandıralım.
SSDP : Simple Service Discovery Protocol – Basit Hizmet Bulma Protokolü, ağ hizmetlerinin ve durum bilgilerinin anons ve keşfi için İnternet protokol paketine dayalı bir ağ protokolüdür. Bunu, DHCP veya DNS gibi sunucu tabanlı yapılandırma mekanizmalarının yardımı olmadan ve bir ağ ana bilgisayarının özel statik yapılandırması olmadan gerçekleştirir. SSDP, Evrensel Tak ve Çalıştır (UPnP) keşif protokolünün temelidir. SSDP, HTTPU’ya dayalı metin tabanlı bir protokoldür. Temel aktarım protokolü olarak UDP’yi kullanır. Servisler, 1900 numaralı UDP bağlantı noktasında özel olarak belirlenmiş çok noktaya yayın adresi – multicast IP adresi ile çok noktaya yayın adresleme ile kaynak (source) tarafından duyurulur. Burada kaynak ya da source IP kameramız olmaktadır. IPv4’te, çok noktaya yayın adresi 239.255.255.250’dir. 1900 numaralı port üreticiler tarafından farklı değerler olarak atanabilmektedir. Örneğin Hikvision udp 37020 portunu kullanır.
Pelco’nun udp 1900 portunu kullandığını görüyoruz..
Bazı üreticiler SSDP protokolünü güvenlik amacıyla devre dışı bırakabilmektedir ya da sonradan manuel olarak devre dışı bırakılmış olabilir. 2014 yılında SSDP’nin “reflection attack” olarak bilinen DDoS saldırılarında kullanıldığı keşfedildi. Bazı router’lar da dahil olmak üzere birçok cihaz, UPnP yazılımında, bir saldırganın 1900 numaralı bağlantı noktasından kendi seçtikleri bir hedef adrese yanıt almasına olanak tanıyan bir güvenlik açığına sahiptir. Binlerce cihazdan oluşan bir botnet ile, saldırganlar yeterli paket hızları üretebilir ve hatları şişirmek için bant genişliğini işgal ederek hizmetlerin durdurulmasına neden olabilir.
SSDP’yi / Multicast discovery protocol Hikvision cihazlarda devre dışı bırakmak için :
Axis IP kameralar için ssdp / upnp’yi devre dışı bırakmak için :
UPnP’yi devre dışı bıraktıktan sonra hem Hikvision’da hem Axis’te sonuç gelmediğini görüyoruz..
UPnP devre dışı bırakıldıktan sonra Wireshark bulamasa da Axis IP utility bulabilmekte..
Benzer durum Hikvision için de görülmektedir.
Farklı markalar için de benzer işlemleri uygulayarak benzer sonuçları elde edebilirsiniz.