Вопросы Теги

Обнаружьте компьютер, который делает сканирование портов

Если Вы получаете БАКАЛАВРА НАУК по смежной области, Вам действительно не нужны никакие сертификации для получения достойного задания, если у Вас нет очень определенной цели, которая требует того.

Хорошие классы, некоторые интересные параллельные проекты и глубокое понимание основных принципов Вашей промышленности обычно достаточны.

2
задан 6 July 2010 в 19:00
6 ответов

Это - определенная сумасшедшая идея, и она включила бы некоторое сетевое время простоя, но она кажется, что Ваши опции ограничены Вашим дешевым шлюзом без способа видеть то, что является NAT'd.

Измените IP-адрес своего шлюза к чему-то еще, затем отключите DHCP для предотвращения любых машин, узнав новый адрес шлюза. Начальная загрузка машина, работающая ethereal/wireshark прием в старый IP-адрес Вашего шлюза.

Незаконная машина должна подойти как рождественские огни, теперь, когда машина, делающая пакетный сниффинг, ЯВЛЯЕТСЯ шлюзом!

3
ответ дан 3 December 2019 в 08:50
  • 1
    +1 Это - хорошая идея. Я могу также установить свой ПК как точку доступа и подключение к маршрутизатору с WI-FI прочь. Вы могли записать несколько слов, как установить это с отслеживанием в обратном порядке или некоторым другим дистрибутивом? –  agsamek 7 July 2010 в 10:56
  • 2
    Почему делают Ваш ПК AP? Никакая потребность использовать. Bactrack. Установите статический IP на своем ПК, чтобы быть IP шлюза и запустить wireshark. –  Nick Kavadias 7 July 2010 в 18:34
  • 3
    @Nick я попробую это. Как я могу направить весь трафик с Linux к моему маршрутизатору? –  agsamek 8 July 2010 в 11:28
  • 4
    , почему Вы хотите сделать это? –  Nick Kavadias 8 July 2010 в 15:22
  • 5
    @Nick - Я хотел бы сохранить все работой и поместить мою машину в середине для наблюдения сетевого трафика. Есть ли другая опция? Это было также идеей с установкой Точки доступа. Я не могу подавить сеть в течение часа. опция 1 –  agsamek 8 July 2010 в 18:49

Необходимо проверить журнал NAT маршрутизатора так, чтобы, если кто-то от внешнего мира дает Вам исходные порты и время сканирования портов, можно было проверить журналы маршрутизатора для нахождения соответствующего внутреннего компьютера.
Если Ваш маршрутизатор не может сохранить журнал NAT, Вы, вероятно, хотите купить новый, потому что рассмотрение журналов является действительно единственным способом иметь 100%-й хороший результат

2
ответ дан 3 December 2019 в 08:50
  • 1
    Это должно быть правильным путем. Это просто не работает с моим сценарием. –  agsamek 7 July 2010 в 11:01

Вы могли использовать wireshark, чтобы контролировать входящие сетевые пакеты и искать аварийное поведение (ARP, "у кого есть" тип запросов - только серверы DNS должны делать их много).

То же самое может быть сделано с tcpdump:

tcpdump -l -n arp | egrep 'arp who-has' | head -100 | awk '{ print $NF }' |sort | uniq -c | sort -n
2
ответ дан 3 December 2019 в 08:50
  • 1
    спасибо. Я не попробовал tcpdump, но wireshark только. Я добавил еще некоторую информацию в вопросе. –  agsamek 6 July 2010 в 19:05
  • 2
    @agsamek: использование tcpdump или wireshark являются почти тем же –  radius 6 July 2010 в 21:02
  • 3
    Если сканирование будет только выполнено к внешней стороне, то он не будет видеть stange arp trafic –  radius 6 July 2010 в 21:04

Предположите, что сканирование идет на непрерывный уровень:

  • Подключите ноутбук или выберите станцию на той же LAN, где компьютеры.
  • Запустите графическое программное обеспечение для наблюдения пакетов, как INAV или etherape или rumint
  • Наблюдайте за соединениями выполнения хоста на многих портах

С другой стороны, если там только сканирует на определенных периодах, Вы могли бы установить фырканье и ожидать события 'сканирования портов'.

За исключением etherape, я думаю, что все эти инструменты работают на Windows. Если Вы не хотите смешивать с установкой их, Вы могли бы попробовать безопасность Linux liveCD как отслеживание в обратном порядке.

В любом случае не забудьте реализовывать исходящие правила о маршрутизаторе к известным используемым портам (например, 80, 443, и т.д.) для ограничения сканирований.

2
ответ дан 3 December 2019 в 08:50
  • 1
    , я просто записал отслеживание в обратном порядке. Сканирование происходит непрерывно. Вы могли записать некоторые команды в качестве примера, которые я мог использовать в отслеживании в обратном порядке для нахождения машины? –  agsamek 6 July 2010 в 16:41
  • 2
    Например, можно запуститься etherape и слушайте сеть. Необходимо видеть список хостов, расположенных как круг со строками от них. Ищите хост с более широкой строкой и соединениями. Это должно быть незаконным хостом. См. этот снимок экрана etherape.sourceforge.net/images/v0.9.3.png –  chmeee 6 July 2010 в 18:22
  • 3
    Спасибо - я попробовал это, и это, кажется, правильное программное обеспечение. Проблема состоит в том, что это представляет только мой связанный с ноутбуком трафик и широковещательные сообщения. Никакая информация о других компьютерах. Я добавил еще некоторую информацию к вопросу. –  agsamek 6 July 2010 в 19:03

На основе более раннего опыта я раньше имел программные брандмауэры, которые предупредили мой, что другие компьютеры были portscanning.

Я также проверил журнал своего filezilla FTP-сервера, который дал мне IP от каждого компьютера, который просканировал меня.

Вы проверили вход в систему tl-wr340G маршрутизатор?

0
ответ дан 3 December 2019 в 08:50

Можно включить IDS как Фырканье на контрольном порте переключателя если таковые имеются. Я думаю, что немного поиска с помощью Google даст Вам предварительно сконфигурированные виртуальные машины с Фырканьем и установленной Основой.

0
ответ дан 3 December 2019 в 08:50

Теги

Похожие вопросы