Este informe identifica los dispositivos que tienen un servicio DVR DHCPDiscover abierto en el puerto 37810/UDP. DHCPDiscover es un protocolo JSON basado en UDP que se usa para ayudar a administrar grabadoras de video digital (DVR) en red, particularmente de la marca Dahua.
Se abusa activamente de este servicio para los ataques de amplificación DDoS, con un factor de amplificación de alrededor de 25. Se pueden encontrar más detalles en la investigación original y el descubrimiento de Phenomite.
Si recibe este informe, tome medidas para filtrar/bloquear el tráfico a este servicio desde Internet.
Para obtener más información sobre los esfuerzos de escaneo, consulte la página de resumen de escaneo de Internet.
Este informe fue habilitado como parte del proyecto INEA CEF VARIOT de la Unión Europea .
Nombre de archivo: scan_dvr_dhcpdiscover
CAMPOS
| timestamp | Hora en que se sondeó la IP en UTC+0 |
| ip | La dirección IP del dispositivo en cuestión. |
| protocol | Protocolo en el que se produjo la respuesta DVR DHCPDiscover (siempre UDP) |
| port | Puerto del que provino la respuesta DVR DHCPDiscover (a menudo 37810 aunque el escaneo apunta a 37777). |
| hostname | Nombre DNS inverso del dispositivo en cuestión |
| tag | Establecer en dvrdhcpdiscover |
| ans | ASN de donde reside el dispositivo en cuestión |
| geo | País donde reside el dispositivo en cuestión |
| region | Estado/Provincia/Región administrativa donde reside el dispositivo en cuestión |
| city | Ciudad en la que reside el dispositivo en cuestión |
| naics | Código del sistema de clasificación de la industria de América del Norte |
| sic | Código del sistema de clasificación industrial estándar |
| device_vendor | Proveedor del dispositivo identificado, si lo hay |
| device_type | Tipo de dispositivo identificado, si lo hay |
| device_model | Modelo de dispositivo identificado, si corresponde |
| device_version | Versión del dispositivo identificada, si la hay |
| device_id | ID del dispositivo identificado, si lo hay |
| device_serial | Número de serie del dispositivo identificado, si lo hay |
| machine_name | Nombre de la máquina |
| manufacturer | Fabricante |
| method | Método de solicitud (client.notifyDevInfo) |
| http_port | Puerto HTTP del dispositivo según lo informado por el dispositivo |
| internal_port | Puerto del dispositivo utilizado para la administración (diferente al que se está escaneando), según lo informado por el dispositivo |
| video_input_channels | Canal de entrada de vídeo |
| alarm_input_channels | Canal de entrada de alarma |
| video_output_channels | Canal de salida de vídeo |
| alarm_output_channels | Canal de salida de alarma |
| remote_video_input_channels | Canales de entrada de video remotos |
| mac_address | Dirección MAC del dispositivo |
| ipv4_address | Dirección IPv4 del dispositivo (según lo informado por el dispositivo) |
| ipv4_gateway | Puerta de enlace IPv4 del dispositivo (según lo informado por el dispositivo) |
| ipv4_subnet_mask | Máscara de subred IPv4 de la red del dispositivo (según lo informado por el dispositivo) |
| ipv4_dhcp_enable | ¿Está habilitado IPv4 DHCP? |
| ipv6_address | Dirección IPv6 del dispositivo, si corresponde (según lo informado por el dispositivo) |
| ipv6_link_local | Dirección local del enlace IPv6 (según lo informado por el dispositivo) |
| ipv6_gateway | Puerta de enlace IPv6 del dispositivo (según lo informado por el dispositivo) |
| ipv6_dhcp_enable | ¿Está habilitado IPv6 DHCP? |
| response_size | Tamaño de respuesta en bytes |
| amplification | Factor de amplificación (Esta amplificación se basa únicamente en el tamaño de la carga útil enviada y el tamaño de la carga útil recibida) |
EJEMPLO
"timestamp","ip","protocol","port","hostname","tag","asn","geo","region","city","naics","sic","sector","device_vendor","device_type","device_model","device_version","device_id","device_serial","machine_name","manufacturer","method","http_port","internal_port","video_input_channels","alarm_input_channels","video_output_channels","alarm_output_channels","remote_video_input_channels","mac_address","ipv4_address","ipv4_gateway","ipv4_subnet_mask","ipv4_dhcp_enable","ipv6_address","ipv6_link_local","ipv6_gateway","ipv6_dhcp_enable","response_size","amplification"
"2010-02-10 00:00:00",192.168.0.1,udp,37810,node01.example.com,dvrdhcpdiscover,64512,ZZ,Region,City,0,0,"Communications, Service Provider, and Hosting Service",General,IPC,BCS-TIP3401IR-E-V,2.800.106F004.0.R,,6J0E022PAG35073,6J0E022PAG35073,General,client.notifyDevInfo,80,37777,1,0,0,0,0,38:c4:e8:03:b3:e2,192.168.0.1,192.168.0.240,255.255.255.0,0,fd09:4ab5:dae9:b078::1,fe80::3ac4:e8ff:fe03:b3e2/64,fd09:4ab5:dae9:b078::ff,0,794,794.00
"2010-02-10 00:00:01",192.168.0.2,udp,37810,node02.example.com,dvrdhcpdiscover,64512,ZZ,Region,City,0,0,,Private,HCVR,HCVR,3.210.1.4,,2K0488CPAGS0ND6,HCVR,Private,client.notifyDevInfo,80,37777,3,0,0,0,9,3c:ef:8c:18:a5:07,192.168.0.2,192.168.0.240,255.255.255.0,0,fd09:4ab5:dae9:b078::2,fe80::3eef:8cff:fe18:a507/64,fd09:4ab5:dae9:b078::ff,,761,761.00
"2010-02-10 00:00:02",192.168.0.3,udp,37810,node03.example.com,dvrdhcpdiscover,64512,ZZ,Region,City,0,0,"Communications, Service Provider, and Hosting Service",General,HCVR,BCS-XVR0401-IV,4.000.0000002.11,,5L034FAPAZA0E30,XVR,General,client.notifyDevInfo,80,37777,4,0,0,0,0,38:c4:e8:02:74:da,192.168.0.3,192.168.0.240,255.255.255.0,0,fd09:4ab5:dae9:b078::3,fe80::3ac4:e8ff:fe02:74da/64,fd09:4ab5:dae9:b078::ff,,711,711.00
Fuente: https://www.shadowserver.org/what-we-do/network-reporting/open-dvr-dhcpdiscover-report/