интересно

Как подключиться к вашей сети и увидеть все, что происходит на ней

Ваша домашняя сеть - ваша крепость. Внутри него хранятся тонны ценной информации - незашифрованные файлы, личные, личные данные и, возможно, самое главное, компьютеры, которые могут быть взломаны и использованы для любых целей. Давайте поговорим о том, как вы можете, используя силу зла, обнюхать домашнюю сеть, чтобы убедиться, что у вас нет незваных гостей.

В этом посте мы покажем вам, как составить карту вашей сети, заглянуть под одеяло, чтобы узнать, кто с чем разговаривает, и как раскрыть устройства или процессы, которые могут высасывать пропускную способность. Вкратце: вы сможете распознать признаки того, что что-то в вашей сети взломано. Мы предполагаем, что вы знакомы с некоторыми основами работы в сети, например, с тем, как найти список устройств вашего маршрутизатора и каков MAC-адрес. Если нет, то отправляйтесь в нашу ночную школу «Знай свою сеть», чтобы сначала почистить.

Однако прежде чем идти дальше, мы должны выдать предупреждение: используйте эти полномочия навсегда и запускайте эти инструменты и команды только на оборудовании или сетях, которыми вы владеете или управляете. Вашему дружелюбному отделу ИТ не понравится, что вы сканируете порты или просматриваете пакеты в корпоративной сети, равно как и всем людям в вашем местном кафе. Как и в каждом злом посте на неделю, смысл в том, чтобы научить вас, как это делается, чтобы вы могли сделать это сами и защитить себя, а не эксплуатировать других.

Шаг первый: создайте карту сети

Прежде чем войти в свой компьютер, запишите, что вы думаете, что знаете. Начните с листа бумаги и запишите все подключенные устройства. Это включает в себя такие вещи, как умные телевизоры, телевизионные приставки, ноутбуки и компьютеры, планшеты и телефоны или любое другое устройство, которое может быть подключено к вашей сети. Если это поможет, нарисуйте карту своего дома, в комплекте с комнатами. Затем запишите каждое устройство и где оно живет. Вы можете быть удивлены, сколько именно устройств вы подключили к Интернету одновременно.

Сетевые администраторы и инженеры признают этот шаг - это первый шаг в изучении любой сети, с которой вы не знакомы. Проведите инвентаризацию устройств на нем, идентифицируйте их, а затем посмотрите, соответствует ли реальность тому, что вы ожидаете. Если (или когда) этого не произойдет, вы сможете быстро устранить то, что вы знаете, из того, что вы не знаете. У вас может возникнуть желание просто войти в свой маршрутизатор и посмотреть на его странице состояния, чтобы увидеть, что подключено, но пока не делайте этого. Если вы не можете идентифицировать все в своей сети по IP-адресу и MAC-адресу, вы просто получите большой список материалов, в который входят любые злоумышленники или халявщики. Сначала проведите инвентаризацию, затем перейдите к цифровой.

Шаг второй: проверьте вашу сеть, чтобы увидеть, кто на ней

Как только у вас будет физическая карта вашей сети и список всех ваших доверенных устройств, пришло время копаться. Войдите в свой роутер и проверьте его список подключенных устройств. Это даст вам основной список имен, IP-адресов и MAC-адресов. Помните, однако, что список устройств вашего маршрутизатора может показать или не показать вам все. Это так, но некоторые маршрутизаторы показывают только те устройства, которые используют маршрутизатор для своего IP-адреса. В любом случае, держите этот список в стороне - это хорошо, но нам нужна дополнительная информация.

Далее мы обратимся к нашему старому другу nmap. Для тех, кто незнаком, nmap - это кроссплатформенный инструмент сетевого сканирования с открытым исходным кодом, который может обнаружить устройства в вашей сети, а также тонну деталей об этих устройствах. Вы можете видеть открытые порты, используемую операционную систему, IP- и MAC-адреса, даже открытые порты и службы. Загрузите nmap здесь, ознакомьтесь с этими инструкциями по установке и следуйте этим инструкциям, чтобы найти хосты в вашей домашней сети.

В моем случае я установил и запустил его из командной строки (если вам нужен графический интерфейс, Zenmap обычно поставляется с установщиком), а затем велел nmap сканировать диапазон IP-адресов, который я использую для своей домашней сети. Он обнаружил большинство активных устройств в моей домашней сети, за исключением нескольких, на которых включена повышенная безопасность (хотя их можно было обнаружить и с помощью некоторых команд nmap, которые вы можете найти по ссылке выше).

Сравните список nmap со списком вашего роутера. Вы должны увидеть то же самое (если только что-то, что вы записали ранее, не выключено сейчас). Если вы видите на своем маршрутизаторе что-то, что nmap не появляется, попробуйте использовать nmap непосредственно для этого IP-адреса. Затем, основываясь на том, что вы знаете, посмотрите на информацию nmap, найденную об устройстве. Если он претендует на то, чтобы быть Apple TV, вероятно, на нем не должно быть таких служб, как http, например. Если это выглядит странно, проверьте это специально для получения дополнительной информации, как я сделал на скриншоте выше. Я заметил, что одна из моих машин отклоняла запросы ping, из-за чего nmap пропускал ее. В любом случае я сказал nmap просто проверить его и убедиться, что он достаточно отреагировал.

Nmap - чрезвычайно мощный инструмент, но он не самый простой в использовании. Если вы немного стеснительны, у вас есть другие варианты. Angry IP Scanner - еще одна кроссплатформенная утилита, которая имеет красивый и простой в использовании интерфейс, который даст вам много той же информации. Ранее упоминалось, кто на моем Wi-Fi - это утилита Windows, которая предлагает аналогичные функции и может быть настроена на сканирование в фоновом режиме, если кто-то выходит в сеть, когда вы не смотрите. Wireless Network Watcher, опять же для Windows, - еще одна утилита, о которой мы упоминали, с приятным интерфейсом, который, несмотря на свое название, не ограничивается беспроводными сетями.

Шаг третий: понюхать и посмотреть, с кем все разговаривают

К настоящему времени у вас должен быть список устройств, которые вы знаете и которым доверяете, и список устройств, которые вы нашли подключенными к вашей сети. Если повезет, вы здесь закончили, и все либо совпадает, либо говорит само за себя (например, телевизор, который в данный момент выключен, например). Однако, если вы видите каких-либо действующих лиц, которых вы не узнаете, работающих служб, которые не соответствуют устройству (Почему мой Roku запускает postgresql?), Или что-то еще чувствует себя нехорошо, пришло время немного понюхать. Пакет нюхает, то есть.

Когда два компьютера общаются, либо в вашей сети, либо через Интернет, они посылают друг другу биты информации, называемые «пакетами». Вместе эти пакеты создают сложные потоки данных, которые составляют видео, которые мы смотрим, или документы, которые мы загружаем. Обнаружение пакетов - это процесс сбора и изучения этих битов информации, чтобы увидеть, куда они идут и что они содержат. Для этого нам понадобится Wireshark. Это кроссплатформенный инструмент для мониторинга сети, который мы использовали для небольшого анализа пакетов в нашем руководстве по анализу паролей и файлов cookie. В этом случае мы будем использовать его аналогичным образом, но наша цель - не захватить что-то конкретное, а просто отслеживать, какие типы трафика проходят по сети. Для этого вам нужно будет запустить Wireshark через Wi-Fi в «беспорядочном режиме». Это означает, что он не просто ищет пакеты, идущие на ваш компьютер или с него, он собирает любые пакеты, которые он может видеть в вашей сети.

После установки откройте WireShark и выберите свой адаптер Wi-Fi. Нажмите «параметры» рядом с ним, и, как вы видите в видео выше (любезно предоставлено людьми из Hak5), вы можете выбрать «смешанный режим» для этого адаптера. Как только вы это сделаете, вы можете начать захват пакетов. Когда вы начнете захват, вы получите много информации. К счастью, Wireshark предвидит это и упрощает фильтрацию.

Поскольку мы просто смотрим, что делают подозрительные участники вашей сети, убедитесь, что рассматриваемая система подключена к сети. Идите вперед и захватите несколько минут трафика для начинающих. Затем вы можете отфильтровать этот трафик на основе IP-адреса этого устройства, используя встроенные фильтры Wireshark. Это дает вам быстрый взгляд на то, с кем говорит этот IP-адрес, и какую информацию они отправляют туда и обратно. Вы можете щелкнуть правой кнопкой мыши по любому из этих пакетов, чтобы проверить его, проследить за разговором между двумя сторонами и отфильтровать весь захват по IP или разговору. Более того, в How-To Geek есть подробное руководство по фильтрации Wireshark. Вы можете не знать, на что смотрите, но вот тут-то и начинается небольшая спячка.

Если вы видите, что подозрительный компьютер разговаривает со странным IP-адресом, используйте команду nslookup (в командной строке в Windows или в терминале в OS X или Linux), чтобы получить имя хоста. Это может многое рассказать о местоположении или типе сети, к которой подключается ваш компьютер. Wireshark также сообщает, какие порты используются, поэтому введите номер порта в Google и посмотрите, какие приложения его используют. Если, например, у вас есть компьютер, подключающийся к странному имени хоста через порты, часто используемые для IRC или передачи файлов, у вас может быть нарушитель. Конечно, если вы обнаружите, что устройство подключается к авторитетным службам через обычно используемые порты для таких вещей, как электронная почта или HTTP / HTTPS, возможно, вы просто наткнулись на планшет, который ваш сосед по комнате никогда не говорил вам, что он принадлежит, или кто-то по соседству крадет ваш Wi-Fi. Fi. В любом случае, вы будете иметь данные, необходимые, чтобы выяснить это самостоятельно.

Шаг четвертый: играйте в длинную игру и записывайте свои снимки

Конечно, не каждый плохой актер в вашей сети будет в сети и улетает, пока вы их ищете. До этого момента мы учили вас, как проверять подключенные устройства, сканировать их, чтобы определить, кто они, а затем понюхать часть их трафика, чтобы убедиться, что все это над платой. Тем не менее, что вы делаете, если подозрительный компьютер выполняет свою грязную работу ночью, когда вы спите, или кто-то использует ваш Wi-Fi, когда вы весь день на работе, а не для проверки?

Есть несколько способов решить эту проблему. Например, приложение Who's On My Wi-Fi, которое мы упоминали ранее, может работать в фоновом режиме на вашем компьютере с Windows и следить за тем, кто подключается и когда. Он может пинговать вас, когда вы не смотрите на него, и сообщать, когда кто-то подключен к вашей сети, что приятно. Вы можете оставить его работающим на компьютере дома, а затем, когда вы проснетесь или вернетесь с работы, посмотрите, что произошло, пока вы не смотрели.

Ваша следующая опция - проверить возможности регистрации вашего роутера. Глубоко в настройках устранения неполадок или параметров безопасности вашего маршрутизатора обычно находится вкладка, предназначенная для ведения журнала. Сколько вы можете регистрировать и какая информация зависит от маршрутизатора, но вы можете увидеть на скриншоте выше. Я могу регистрировать входящий IP-адрес, номер порта назначения, исходящий IP-адрес или URL-адрес, отфильтрованные устройством в моей сети, внутренний IP-адрес и их MAC-адрес. адрес, и какие устройства в моей сети зарегистрировались на маршрутизаторе через DHCP для получения своего IP-адреса (и, по доверенности, который не имеет.) Это довольно надежно, и чем дольше вы оставляете работающие журналы, тем больше информации вы можете захватить,

Пользовательские прошивки, такие как DD-WRT и Tomato (обе из которых мы показали вам, как установить), позволяют вам отслеживать и регистрировать пропускную способность и подключенные устройства столько времени, сколько вам нужно, и даже могут выгружать эту информацию в текстовый файл, который вы могу просеять позже. В зависимости от того, как настроен ваш маршрутизатор, он может даже отправлять вам этот файл по электронной почте регулярно или помещать его на внешний жесткий диск или NAS. В любом случае, использование часто игнорируемых функций ведения журнала вашего роутера является отличным способом увидеть, например, что после полуночи, когда все ушли спать, ваш игровой компьютер внезапно начинает перебирать и передавать много исходящих данных, или у вас появляется обычная пиявка. кто любит прыгать на своем Wi-Fi и начинать скачивать торренты в неурочные часы.

Ваш последний вариант, и в некотором роде ядерный вариант, это просто позволить Wireshark захватывать часы в течение нескольких часов или дней. Это не неслыханно, и многие сетевые администраторы делают это, когда они действительно анализируют странное поведение сети. Это отличный способ выявить плохих актеров или болтливых устройств. Тем не менее, это требует, чтобы компьютер оставался включенным целую вечность, постоянно перехватывал пакеты в вашей сети, захватывал все, что проходит через него, и эти журналы могут занимать много места. Вы можете урезать вещи, отфильтровывая записи по IP или типу трафика, но если вы не уверены, что ищете, у вас будут данные, которые можно просмотреть, просматривая захват даже по нескольким ч. Тем не менее, он определенно расскажет вам все, что вам нужно знать.

Во всех этих случаях, как только вы зарегистрируете достаточно данных, вы сможете узнать, кто использует вашу сеть, когда и если их устройство соответствует карте сети, которую вы сделали ранее.

Шаг пятый: заблокируйте сеть

Если вы пошли по этому пути, вы определили устройства, которые должны быть в состоянии подключиться к вашей домашней сети, те, которые действительно подключаются, выявили различия и, надеюсь, выяснили, есть ли плохие участники, неожиданные устройства, или пиявки тусуются. Теперь все, что вам нужно сделать, это разобраться с ними, и, что удивительно, это самая легкая часть.

Пиявки Wi-Fi получат загрузку, как только вы заблокируете свой маршрутизатор. Прежде чем делать что-либо еще, измените пароль маршрутизатора и выключите WPS, если он включен. Если кому-то удалось войти непосредственно в ваш маршрутизатор, вы не хотите изменять другие вещи только для того, чтобы они могли войти и восстановить доступ. Убедитесь, что вы используете хороший, надежный пароль, который трудно переборить. Затем проверьте наличие обновлений прошивки. Если ваша пиявка воспользовалась эксплойтом или уязвимостью в прошивке вашего роутера, это не допустит их использования - конечно, если этот эксплойт был исправлен. Наконец, убедитесь, что режим беспроводной безопасности установлен на WPA2 (потому что WPA и WEP очень легко взломать) и измените свой пароль Wi-Fi на другой надежный, длинный пароль, который не может быть взломан. Тогда единственные устройства, которые должны быть в состоянии восстановить соединение, - это те, которым вы даете новый пароль.

Это должно позаботиться о том, чтобы кто-нибудь воспользовался вашим Wi-Fi и делал все их загрузки в вашей сети, а не у них. Это также поможет с проводной безопасностью. Если вы можете, вы также должны предпринять несколько дополнительных шагов безопасности беспроводной сети, таких как отключение удаленного администрирования, отключение UPnP и, конечно же, проверка того, поддерживает ли ваш маршрутизатор Tomato или DD-WRT.

Для плохих актеров на ваших проводных компьютерах вам придется охотиться. Если это физическое устройство, оно должно иметь прямое соединение с вашим маршрутизатором. Начните отслеживать кабели и разговаривать со своими соседями по комнате или с семьей, чтобы узнать, что случилось. В худшем случае вы всегда можете снова войти в свой маршрутизатор и полностью заблокировать этот подозрительный IP-адрес. Владелец этой телевизионной приставки или тихо подключенного компьютера быстро заработает, когда перестанет работать.

Больше беспокойства здесь, хотя, скомпрометированы компьютеры. Например, настольный компьютер, который был взломан и присоединен к ботнету для ночной добычи биткойнов, или машина, зараженная вредоносным ПО, которое звонит домой и отправляет вашу личную информацию, кто знает, где, может быть плохим. После того, как вы сузите область поиска до конкретных компьютеров, пришло время определить, в чем заключается проблема на каждой машине. Если вы действительно обеспокоены, воспользуйтесь подходом инженера по безопасности к проблеме: если ваши машины принадлежат, они больше не заслуживают доверия. Сбросьте их, переустановите и восстановите из резервных копий. (У вас есть резервные копии ваших данных, не так ли?) Просто убедитесь, что вы следите за ПК после этого - вы не хотите восстанавливать из зараженной резервной копии и запускать процесс заново.

Если вы хотите засучить рукава, вы можете взять себе хорошую антивирусную утилиту и сканер по требованию для защиты от вредоносных программ (да, вам понадобится и то, и другое), и попытаться почистить компьютер, о котором идет речь. Если вы видели трафик для определенного типа приложений, посмотрите, не является ли это вредоносным программным обеспечением или просто тем, что кто-то установил, которое ведет себя плохо. Продолжайте сканирование, пока все не станет чистым, и продолжайте проверять трафик с этого компьютера, чтобы убедиться, что все в порядке.

Мы только действительно поцарапали поверхность, когда дело доходит до мониторинга сети и безопасности. Существует множество специальных инструментов и методов, которые эксперты используют для защиты своих сетей, но эти шаги сработают для вас, если вы являетесь администратором сети для своего дома и семьи.

Исключение подозрительных устройств или пиявок в вашей сети может быть длительным процессом, требующим тщательного изучения и бдительности. Тем не менее, мы не пытаемся разжечь паранойю. Скорее всего, вы не найдете ничего необычного, а эти медленные загрузки или дрянные скорости Wi-Fi - это совсем другое. Тем не менее, полезно знать, как исследовать сеть и что делать, если вы найдете что-то незнакомое. Просто не забывайте использовать свои силы для добра.