Hulp bij identificeren apparaat op netwerk

dinsdag 11 februari 2025 14:36

Acties:

0 Henk 'm!

Topicstarter

Sinds een paar dagen zie ik een apparaat op mijn WiFi netwerk dat ik niet kan plaatsen. Ik weet dat ik het kan blokkeren maar ik ben niet zo bang om gehackt te zijn oid, dus ik wil vooral de kans aangrijpen om mijn eigen netwerk kennis wat te vergroten. Hebben jullie tips waarmee ik zelf meer informatie kan achterhalen over dit apparaat?

Netwerk

Router is een Fritzbox 7590
Op elke verdieping 1 Fritz access point
Alleen windows laptops in huis
Alle telefoons zijn iPhone op 1 Samsung Galaxy na, die is al herkend

Het apparaat

Fritzbox herkent het apparaat en meldt het als "Android-4" met MACadres FA:8A:2D:5E:72:81 op 2.4 GHz
Tool Wnetwatcher ziet hetzelfde apparaat af en toe online komen, dan verdwijnt het weer
IP adres is 192.168.178.176 (Dynamisch)
In Fritzbox het IP adres vastgeklikt om hopelijk verder onderzoek makkelijker te maken

Wat heb ik al gedaan?

MAC adres op meerdere sites gezocht, nergens iets gevonden
gezocht op Devicenaam "Android-4" - dat geeft vooral hits op Androis OS 4 uit ~2013
In fritzbox zie ik ook een ipv6 adres
In Fritzbox zag ik connectie op het access point op de 1e verdieping met 5 GHz, 1.1 Gbit/s
In Fritzbox zag ik later ook WPA3, WMM (Qos), 2.4 GHz connected met Channel bandwidth 20 MHz, 2xsend en 2x receive data streams

Door dat laatste vermoed ik dat Android-4 niet op Android OS 4 slaat - WPA3 is nieuwer dacht ik maar als ik die plank missla dan hoor ik het graag

Waar vraag ik hulp bij?

Generiek: hoe kan ik verder onderzoeken welk apparaat dit is?
Met welke tool(s) kan ik beter monitoren wanneer, hoe vaak en hoe lang dit apparaat online is? Ik zie nu enkel dat het af en toe opkomt maar alleen als ik de laptop aan laat en zit te kijken. Hoe log ik dit beter? Als het snachts elk uur actief is dan zal het eerder een apparaat zijn bijv.
Kan ik zien wat dit apparaat doet op het netwerk?

Zoals gezegd: het gaat me er met name om hoe ik dit voorval kan gebruiken om wat te leren: wat kan ik allemaal achterhalen in mijn netwerk. Meer nog dan de daadwerkelijke oplossing.

Ale tips en suggesties welkom.

[ Voor 5% gewijzigd door jaspov op 11-02-2025 16:10 ]

dinsdag 11 februari 2025 14:56

Acties:

+2 Henk 'm!

Ben(V)

Als het tweede karakter van het mac adres een 2 of 6 of A of E is dan is het een private mac-adres (er staat in dit geval een A).
Dus waarschijnlijk een telefoon die mac randomization aan heeft staan.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

dinsdag 11 februari 2025 15:14

Acties:

0 Henk 'm!

jaspov

Topicstarter

Dank! Dat is nuttig om te weten alvast.

dinsdag 11 februari 2025 15:30

Acties:

+1 Henk 'm!

GrtA

TEH

Whois geeft aan dat het uit de IP range van Google komt: https://whois.domaintools.com/192.178.168.176

192.178.xxx.yyy is een _extern_ IP adress en dus niet je standaard interne LAN IP-range 192.168.abc.def (of gaat het hier om een tiepfout?)

Wat zijn je netwerk instellingen? IP range, netmask, etc. Heb je port-forwards of andere dingen die ervoor kunnen zorgen dat men van buiten naar binnen kan?

I can hold my breath for ten minutes.

dinsdag 11 februari 2025 15:33

Acties:

+1 Henk 'm!

Umbrah

The Incredible MapMan

Zou je de lokale IP adressen willen valideren? Lijkt me heel sterk dat je lokaal een public range gebruikt. Private ranges zijn:

Class A (10.0.0.0 to 10.255.255.255) ...
Class B (172.16.0.0 to 172.31.255.255) ...
Class C (192.168.0.0 to 192.168.255.255)

(subnet 255.0.0.0/255.255.0.0/255.255.255.0)

dinsdag 11 februari 2025 15:39

Acties:

0 Henk 'm!

jaspov

Topicstarter

Dank @GrtA en @Umbrah - inderdaan een typo, IP range is intern en moest zijn: 192.168.178.x

dinsdag 11 februari 2025 15:46

Acties:

+1 Henk 'm!

GrtA

TEH

Android TV? Vergeten android tablet? Set-top Box? IoT-meuk? PV-installatie? Kennisen van medebewoners die het wifi wachtwoord gedeeld hebben?

I can hold my breath for ten minutes.

dinsdag 11 februari 2025 15:47

Acties:

+1 Henk 'm!

FRANQ

Geen Google Chromecast in huis?
Kan ook ingebouwd in de tv zitten.

dinsdag 11 februari 2025 16:08

Acties:

+1 Henk 'm!

jaspov

Topicstarter

Dank voor de suggesties allemaal. Hoe gek het ook klinkt wil ik voornamelijk nu wat leren over hoe ik hier achter kan komen. Meer nog dan de oplossing achterhalen zelfs :-)

dinsdag 11 februari 2025 16:14

Acties:

+3 Henk 'm!

breew

Je kunt ook werken met het "piep-systeem"..

Je blokkeert dit device (en overige onbekende MAC adressen) in je fritzbox, en kijkt wie gaat piepen dat zijn/haar wifi niet meer werkt.

dinsdag 11 februari 2025 16:23

Acties:

+2 Henk 'm!

Saeverix

Veel moderne smartphones en tablets hebben een zogenaamde "Privacy" feature op WiFi netwerken. Ze spoofen dan een random MAC adres voor extra privacy. Bij Apple noemen ze het "Private Wi-Fi Address", maar Android zal een soortgelijke functie hebben.

Het kan dus best een apparaat zijn van jou met die functie aan. Probeer dus eerst eens die functie uit te schakelen, dan zie je namelijk de gewone naam van je telefoon/tablet en is het mysterie opgelost.

Chookity-pok

dinsdag 11 februari 2025 16:28

Acties:

+2 Henk 'm!

Sniels

Heb je al eens gezocht of het device open poorten heeft? En zo ja, kun je daar niet iets uit afleiden (een HTTP client fingerprint ofzo)?

dinsdag 11 februari 2025 16:29

Acties:

+3 Henk 'm!

Nielson

jaspov schreef op dinsdag 11 februari 2025 @ 14:36:
• Kan ik zien wat dit apparaat doet op het netwerk?

Je zou het netwerk verkeer via de Fritzbox kunnen capturen/monitoren:

https://davquar.it/post/s...opng-fritzbox-monitoring/

dinsdag 11 februari 2025 16:35

Acties:

+1 Henk 'm!

Fox3214

Tip, sommige IoT devices doen wel eens firmware upgrades waarbij bepaalde finger prints wel eens veranderen voor netwerk apparatuur herkening.

Laatst was er een update mijn KPN tv kasje en ook me Quest 2 VR bril, waarbij er in eens een onbekende Android device op me netwerk was. Ik zou altijd eerst beginnen om je IoT devices af te gaan.

dinsdag 11 februari 2025 16:54

Acties:

0 Henk 'm!

jaspov

Topicstarter

Sniels schreef op dinsdag 11 februari 2025 @ 16:28:
Heb je al eens gezocht of het device open poorten heeft? En zo ja, kun je daar niet iets uit afleiden (een HTTP client fingerprint ofzo)?

Dank voor de suggestie, hoe pak ik zoiets aan? Het apparaat is telkens maar kort online.

dinsdag 11 februari 2025 17:01

Acties:

+1 Henk 'm!

Sniels

Ah, die had ik gemist. Dat maakt het wel wat onhandiger.

Je zou natuurlijk een ping kunnen laten lopen en dan zorgen dat je een alert krijgt als ie een reply geeft. Als, want er is natuurlijk geen garantie dat het device op een ICMP ping reageert.

dinsdag 11 februari 2025 20:25

Acties:

0 Henk 'm!

jaspov

Topicstarter

Nielson schreef op dinsdag 11 februari 2025 @ 16:29:
[...]
Je zou het netwerk verkeer via de Fritzbox kunnen capturen/monitoren:

https://davquar.it/post/s...opng-fritzbox-monitoring/

Dank voor deze tip. Even gekeken maar hier moet ik echt voor gaan zitten.

Zijn er geen simpele tools die net wat meer kunnen dan Wnetwatcher? dus bijhouden wanneer, hoe lang en hoe vaak een device actief is?

dinsdag 11 februari 2025 20:52

Acties:

+1 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Schakel WPS uit. Pas je wifi wachtwoord aan en zie wat niet meer connect. Als ‘ie terug komt is het bedraad. Volg de draden.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 11 februari 2025 21:33

Acties:

0 Henk 'm!

RiDo78

jaspov schreef op dinsdag 11 februari 2025 @ 20:25:
[...]

Dank voor deze tip. Even gekeken maar hier moet ik echt voor gaan zitten.

Zijn er geen simpele tools die net wat meer kunnen dan Wnetwatcher? dus bijhouden wanneer, hoe lang en hoe vaak een device actief is?

Ik denk dat vooral het eerste deel van die post van belang is. Het opzetten van docker containers, ansible scripts enz. heb je niet nodig. Je moet een capture maken, die capture levert je een pcap-file op. Die file kun je inlezen in een network-analyzer zoals Wireshark. In Wireshark kun je dan precies zien wat er gecaptured is.

Je krijgt dan elk netwerkpakketje te zien van of naar de interface waarvoor je de capture hebt gemaakt. Maak die capture dus bij voorkeur op een moment dat het rustig is op je netwerk. Als je bijvoorbeeld de interface van je router captured terwijl je op 1Gbit/s aan het downloaden bent, dan zal die file in no-time uit de kluiten groeien en zal het doorzoeken daarvan met de seconde lastiger worden.

Eens je de file in Wireshark hebt, kun je filteren op van alles en nog wat. Bedenk alleen wel dat als je bijvoorbeeld op een IP-adres filtert, je dat in beide richtingen doet, dus zowel inkomend en uitgaand. Anders heb je maar de helft van de conversatie. Hint: je wilt dus een filter hebben op het bron OF doel adres, want een filter op bron EN doel adres levert enkel pakketten op met hetzelfde ip adres in de bron als de bestemming... en die zijn er doorgaans niet. Aangezien je aangeeft dat je je kennis wilt verbreden mag je zelf uitzoeken hoe die filter-string er uit moet zien. Mocht je daar niet uitkomen, dan staat het internet vol met voorbeelden.

Zodra je er in geslaagd bent om het verkeer van het 'onbekende' apparaat zichtbaar te krijgen en de rest weg te filteren dan zie je gauw genoeg wat het doet. Let op de DNS-lookups, die verklappen vaak de intentie van het apparaat om mee te verbinden. Andere interessante pakkettypes zijn UPNP en MDNS, die vertellen je wat het apparaat van andere apparaten wil en wat het zelf te bieden heeft qua services.

woensdag 12 februari 2025 08:31

Acties:

0 Henk 'm!

Ben(V)

Beetje drukte om niets.
Aangezien het zoals ik al gezegd heb een private macadres is, weet je dus dat het een telefoon is met mac randomization (de meeste nieuwere telefoons hebben dat aan staan).

Dus zoeken naar andere devices is onnodig het is gewoon een telefoon en aangezien hij op je netwerk aanwezig is met een ipadres is moet die telefoon jouw credentials hebben, tenzij je een open guest netwerk hebt gemaakt.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

woensdag 12 februari 2025 08:44

Acties:

0 Henk 'm!

jaspov

Topicstarter

Ben(V) schreef op woensdag 12 februari 2025 @ 08:31:
Beetje drukte om niets.
Aangezien het zoals ik al gezegd heb een private macadres is, weet je dus dat het een telefoon is met mac randomization (de meeste nieuwere telefoons hebben dat aan staan).

Dus zoeken naar andere devices is onnodig het is gewoon een telefoon en aangezien hij op je netwerk aanwezig is met een ipadres is moet die telefoon jouw credentials hebben, tenzij je een open guest netwerk hebt gemaakt.

Hi Ben. Die informatie heeft me tot nu toe het meest geholpen.

Er is wmb helemaal geen drukte, zie de OP. Ik zie dit juist als een kans om wat te leren, anders had ik het apparaat gewoon geblokkeerd.

woensdag 12 februari 2025 09:31

Acties:

+1 Henk 'm!

laurens0619

Mooie doelstelling

Paar dingen die je kunt checken om het apparaat te vinden:

- Discovery: Ping laten lopen naar het ip en dit in log stoppen. Bv met powershell:

code:

1	Ping.exe -t 192.168.178.176 \| ForEach {"{0} - {1}" -f (Get-Date),$_} > ping.log

Dan moet het apparaat wel reageren op ping trouwens

- Piepsysteem: Als die online is., blokkeren en kijken wie er piept

- Packet capture: Vanuit fritzbox packet capture doen en kijken of je het apparaat kan achterhalen

CISSP! Drop your encryption keys!

woensdag 12 februari 2025 10:50

Acties:

0 Henk 'm!

lordgandalf

Wat ik lees is dat apple een private mac address optie heeft met rotating macs dus kijk of je dat kan vinden of daar je mystery guest staat.

I think it is an iOS device. If you have one open wifi network settings, there should be option "private wifi address" turning to "rotating" and your mysterious mac below

Dit is wat ik vond op een github pag dus ik zou daar even op de apple kijken of dat het niet toevallig is.
Lees ook dat android deze functie ook kent vanaf android 10 dat zie je bij de wifi verbinding wat je rando mac is.

[ Voor 11% gewijzigd door lordgandalf op 12-02-2025 10:53 ]

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

woensdag 12 februari 2025 11:44

Acties:

+1 Henk 'm!

Ben(V)

@lordgandalf Misschien eerst even alle post lezen voor je iets plaatst wat allang geconstateerd is.

Verder heeft die telefoon een ipadres gekregen dus is het een telefoon van hemzelf tenzij hij wachtwoorden aan anderen uitdeelt of een open wifi netwerk heeft zonder wachtwoorden.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

woensdag 12 februari 2025 19:00

Acties:

0 Henk 'm!

jaspov

Topicstarter

RiDo78 schreef op dinsdag 11 februari 2025 @ 21:33:
[...]

Ik denk dat vooral het eerste deel van die post van belang is. Het opzetten van docker containers, ansible scripts enz. heb je niet nodig. Je moet een capture maken, die capture levert je een pcap-file op. Die file kun je inlezen in een network-analyzer zoals Wireshark. In Wireshark kun je dan precies zien wat er gecaptured is.

Je krijgt dan elk netwerkpakketje te zien van of naar de interface waarvoor je de capture hebt gemaakt. Maak die capture dus bij voorkeur op een moment dat het rustig is op je netwerk. Als je bijvoorbeeld de interface van je router captured terwijl je op 1Gbit/s aan het downloaden bent, dan zal die file in no-time uit de kluiten groeien en zal het doorzoeken daarvan met de seconde lastiger worden.

Eens je de file in Wireshark hebt, kun je filteren op van alles en nog wat. Bedenk alleen wel dat als je bijvoorbeeld op een IP-adres filtert, je dat in beide richtingen doet, dus zowel inkomend en uitgaand. Anders heb je maar de helft van de conversatie. Hint: je wilt dus een filter hebben op het bron OF doel adres, want een filter op bron EN doel adres levert enkel pakketten op met hetzelfde ip adres in de bron als de bestemming... en die zijn er doorgaans niet. Aangezien je aangeeft dat je je kennis wilt verbreden mag je zelf uitzoeken hoe die filter-string er uit moet zien. Mocht je daar niet uitkomen, dan staat het internet vol met voorbeelden.

Zodra je er in geslaagd bent om het verkeer van het 'onbekende' apparaat zichtbaar te krijgen en de rest weg te filteren dan zie je gauw genoeg wat het doet. Let op de DNS-lookups, die verklappen vaak de intentie van het apparaat om mee te verbinden. Andere interessante pakkettypes zijn UPNP en MDNS, die vertellen je wat het apparaat van andere apparaten wil en wat het zelf te bieden heeft qua services.

Dank, ik heb de pagina gevonden. Er zijn best wel heel veel opties om te capturen. Ik zie alleen al twee Wifi opties (1 en o) - welke zou ik moeten kiezen om intern verkeer te volgen?

@laurens0619 Dank. Draait - vooralsnog geen respons

Update: gisteravond de boosdoener gevonden: quest 3 headset die uit staat. Niet snel aan gedacht omdat ik bij Android sneller de link leg met tablets en telefoons. Was me ook niet bewust dat dat ding telkens connectie zoekt als je hem niet gebruikt, en dat er in de Wifi opties een mac randomizer zit (ik zie het niet echt als een surf apparaat - kan wel natuurlijk maar daar heb ik hem niet voor - zit alleen op prive WiFi met dat ding)

[ Voor 10% gewijzigd door jaspov op 12-02-2025 19:03 ]

woensdag 12 februari 2025 19:04

Acties:

0 Henk 'm!

laurens0619

Heb je iets van een linux doosje/raspberry pi? Dan kun je relatief eenvoudig een wireshark/tcpdumpstarten met filter op dat ip

CISSP! Drop your encryption keys!

Vraag

Alle reacties