Evil weekwitamy na Evil week, nasze coroczne zanurzenie się we wszystkich nieco szkicowych hacków, które zwykle powstrzymujemy się od polecania. Chcesz dostać się do darmowych drinków, grać w wymyślne gry umysłowe, albo wyprać trochę pieniędzy? Mamy wszystkie informacje, których potrzebujesz, aby być skutecznie niesmaczne., Twoja sieć domowa – i wszystko, co z nią związane-jest jak skarbiec. Za loginem kryje się mnóstwo cennych informacji, od niezaszyfrowanych plików zawierających dane osobowe po urządzenia, które można porwać i wykorzystać w dowolnym celu. W tym poście pokażemy Ci, jak zmapować swoją sieć, zajrzeć pod pokrywy, aby zobaczyć, kto z kim rozmawia, i jak odkryć, że urządzenia lub procesy mogą wysysać przepustowość (lub są nieoczekiwanymi Gośćmi w Twojej sieci).,
w skrócie: będziesz w stanie rozpoznać oznaki, że coś w Twojej sieci jest zagrożone. Zakładamy, że znasz podstawy sieciowe, na przykład jak znaleźć listę urządzeń routera i jaki jest adres MAC. Jeśli nie, udaj się do naszej szkoły nocnej Know Your Network, aby najpierw odświeżyć.
Zanim jednak przejdziemy dalej, powinniśmy wydać ostrzeżenie: używaj tych uprawnień na dobre i uruchamiaj te narzędzia i polecenia tylko na sprzęcie lub sieciach, które posiadasz lub zarządzasz., Twój przyjazny dział IT w okolicy nie chciałby, abyś skanował lub wąchał pakiety w sieci korporacyjnej, podobnie jak wszyscy ludzie w Twojej lokalnej kawiarni.
Krok pierwszy: Stwórz mapę sieci
zanim jeszcze zalogujesz się na swój komputer, zapisz, co myślisz, że wiesz o swojej sieci. Zacznij od kartki papieru i zanotuj wszystkie podłączone urządzenia., Obejmuje to takie rzeczy, jak inteligentne telewizory, inteligentne głośniki, laptopy i komputery, tablety i telefony lub inne urządzenia, które mogą być podłączone do sieci. Jeśli to pomoże, narysuj mapę domu po pokoju. Następnie zapisz każde urządzenie i gdzie ono mieszka. Możesz być zaskoczony dokładną liczbą urządzeń podłączonych do Internetu w tym samym czasie.,
kliknij tutaj, aby mieć twój umysł dmuchany
uzyskaj zniżki na wibratory, pierścienie i najnowocześniejsze technologie seksualne teraz do końca tygodnia.
administratorzy i inżynierowie sieci rozpoznają ten krok—jest to pierwszy krok w eksploracji dowolnej sieci, z którą nie jesteś zaznajomiony., Zrób spis urządzeń na nim, zidentyfikuj je, a następnie sprawdź, czy rzeczywistość pasuje do tego, czego oczekujesz. Jeśli (lub kiedy) tak się nie stanie, będziesz w stanie szybko oddzielić to, co wiesz od tego, czego nie wiesz.
możesz się skusić, aby po prostu zalogować się do routera i spojrzeć na jego stronę statusu, aby zobaczyć, co jest podłączone, ale nie rób tego jeszcze. O ile nie możesz zidentyfikować wszystkiego w swojej sieci po adresie IP i MAC, otrzymasz po prostu dużą listę rzeczy—taką, która obejmuje wszelkich intruzów lub darmozjadów. Najpierw zrób inwentaryzację fizyczną, a następnie przejdź do cyfrowej.,
gdy już masz fizyczną mapę swojej sieci i listę wszystkich zaufanych urządzeń, nadszedł czas, aby zacząć kopać., Zaloguj się do routera i sprawdź jego listę podłączonych urządzeń. To daje podstawową listę nazw, adresów IP i adresów MAC. Pamiętaj, że lista urządzeń Twojego routera może, ale nie musi, pokazać ci wszystko. Powinno, ale niektóre routery pokazują tylko urządzenia, które używają routera do jego adresu IP. Tak czy siak, trzymaj tę listę z boku—jest dobra, ale chcemy więcej informacji.
Pobierz i zainstaluj Nmap
następnie zwrócimy się do naszego starego przyjaciela Nmap., Dla osób nieznanych, Nmap jest wieloplatformowym, otwartym narzędziem do skanowania sieci, które może znaleźć urządzenia znajdujące się w Twojej sieci, wraz z mnóstwem szczegółów na tych urządzeniach. Możesz zobaczyć używany system operacyjny, adresy IP i MAC, a nawet otwarte porty i usługi. Pobierz Nmap tutaj, zapoznaj się z przewodnikami instalacji, aby go skonfigurować, i postępuj zgodnie z tymi instrukcjami, aby odkryć hosty w sieci domowej.,
jedną z opcji jest zainstalowanie i uruchomienie Nmap z linii poleceń (jeśli chcesz mieć interfejs graficzny, Zenmap zazwyczaj jest dostarczany z instalatorem). Przeskanuj zasięg IP, którego używasz w sieci domowej. To odkryło większość aktywnych urządzeń w mojej sieci domowej, z wyjątkiem kilku, na których mam pewne ulepszone zabezpieczenia (chociaż były one wykrywalne również za pomocą niektórych poleceń Nmap, które można znaleźć w linku powyżej).,
porównaj listę nmap z listą Twojego routera
powinieneś zobaczyć te same rzeczy na obu listach, chyba że coś, co zapisałeś wcześniej, jest teraz wyłączone. Jeśli na routerze widzisz coś, czego Nmap nie znalazł, spróbuj użyć Nmap bezpośrednio z tym adresem IP.,
następnie spójrz na informacje, które Nmap znajdzie o urządzeniu. Jeśli twierdzi, że jest Apple TV, prawdopodobnie nie powinien mieć uruchomionych usług takich jak http, na przykład. Jeśli wygląda dziwnie, zbadaj go specjalnie, aby uzyskać więcej informacji.
Nmap jest niezwykle potężnym narzędziem, ale nie jest najłatwiejszym w użyciu. Jeśli jesteś trochę nieśmiały, masz inne opcje., Angry IP Scanner to kolejne narzędzie wieloplatformowe, które ma dobrze wyglądający i łatwy w użyciu interfejs, który da Ci wiele tych samych informacji. Kontrola sieci bezprzewodowej to narzędzie Windows, które skanuje sieci bezprzewodowe, z którymi jesteś połączony. Glasswire to kolejna świetna opcja, która powiadomi Cię, gdy urządzenia łączą się lub odłączają od sieci.,
Krok trzeci: powąchaj i zobacz, Z kim wszyscy rozmawiają
już teraz powinieneś mieć listę urządzeń, które znasz i którym ufasz, oraz listę urządzeń, które znalazłeś podłączony do twojej sieci. Przy odrobinie szczęścia jesteś tu skończony, a wszystko albo pasuje, albo jest oczywiste(jak na przykład telewizor, który jest obecnie wyłączony).,
Jeśli jednak widzisz aktorów, których nie rozpoznajesz, uruchamiane są usługi, które nie odpowiadają urządzeniu (Dlaczego mój rok uruchamia postgresql?), albo coś innego czuje się nie tak, Czas trochę powąchać. Wąchanie pakietów.
gdy dwa komputery komunikują się w sieci lub przez internet, wysyłają do siebie fragmenty informacji zwane „pakietami”., Pakiety te tworzą złożone strumienie danych, które składają się na oglądane przez nas filmy lub pobierane przez nas dokumenty. Sniffing pakietów to proces przechwytywania i badania tych bitów informacji, aby zobaczyć, gdzie idą i co zawierają.
zainstaluj Wireshark
aby to zrobić, potrzebujemy Wireshark. Jest to wieloplatformowe narzędzie do monitorowania sieci, którego użyliśmy do zrobienia małego wąchania pakietów w naszym Przewodniku po wąchaniu haseł i plików cookie., W tym przypadku będziemy go używać w podobny sposób, ale naszym celem nie jest przechwytywanie niczego konkretnego, tylko monitorowanie, jakie rodzaje ruchu poruszają się po sieci.
aby to zrobić, musisz uruchomić Wireshark przez wifi w trybie promiscuous.”Oznacza to, że nie tylko szuka pakietów kierujących się do lub z komputera—ale także zbiera wszystkie pakiety, które może zobaczyć w sieci.,
wykonaj następujące kroki, aby skonfigurować:
- Pobierz i zainstaluj Wireshark
- Wybierz swój adapter wifi.
- kliknij Capture > Options-i jak widać na powyższym filmie (dzięki uprzejmości ludzi na Hak5), możesz wybrać „Capture all in promiscuous mode” dla tego adaptera.
teraz możesz rozpocząć przechwytywanie pakietów. Kiedy rozpoczniesz przechwytywanie, otrzymasz wiele informacji., Na szczęście Wireshark przewiduje to i ułatwia filtrowanie.
iv id
ponieważ chcemy tylko zobaczyć, co robią podejrzani aktorzy w Twojej sieci, upewnij się, że dany system jest online. Śmiało i uchwyć kilka minut korków., Następnie możesz filtrować ten ruch na podstawie adresu IP tego urządzenia za pomocą wbudowanych filtrów Wireshark.
robi to daje szybki wgląd w to, z kim ten adres IP rozmawia i jakie informacje wysyłają tam iz powrotem. Możesz kliknąć prawym przyciskiem myszy dowolny z tych pakietów, aby go sprawdzić, śledzić rozmowę między obydwoma końcami i filtrować całe przechwycenie według adresu IP lub rozmowy. Aby uzyskać więcej informacji, sprawdź szczegółowe instrukcje filtrowania Wireshark.,
możesz nie wiedzieć, na co patrzysz (jeszcze)—ale tutaj pojawia się małe śledztwo.
Analizuj podejrzaną aktywność
Jeśli widzisz, że podejrzany komputer rozmawia z dziwnym adresem IP, użyj polecenia nslookup (w wierszu polecenia w systemie Windows lub w terminalu w systemie OS X lub Linux), aby uzyskać jego nazwę hosta. Może to wiele powiedzieć o lokalizacji lub rodzaju sieci, z którą łączy się komputer., Wireshark informuje również o używanych portach, więc wpisz numer portu w Google i zobacz, jakie aplikacje go używają.
Jeśli na przykład masz komputer łączący się z dziwną nazwą hosta przez porty często używane do przesyłania plików lub IRC, możesz mieć intruza., Oczywiście, jeśli okaże się, że urządzenie łączy się z renomowanymi usługami przez powszechnie używane porty dla rzeczy takich jak e-mail lub HTTP / HTTPS, być może po prostu natknąłeś się na tablet, o którym twój współlokator nigdy Ci nie powiedział, że jest jego właścicielem, lub ktoś z sąsiedztwa kradnący Twoje wifi. Tak czy inaczej, będziesz miał dane potrzebne do samodzielnego rozwiązania tego problemu.,
Krok czwarty: Zagraj w długą grę i rejestruj swoje przechwycenia
oczywiście nie każdy zły aktor w Twojej sieci będzie online i szukasz ich., Do tego momentu nauczyliśmy Cię, jak sprawdzać podłączone urządzenia, skanować je, aby zidentyfikować, kim naprawdę są, a następnie powąchać trochę ich ruchu, aby upewnić się, że wszystko jest na wierzchu. Co jednak zrobić, jeśli podejrzany komputer wykonuje brudną robotę w nocy, gdy śpisz, lub ktoś pijawi Twoje wifi, gdy jesteś w pracy przez cały dzień, a nie w pobliżu, aby sprawdzić?
użyj oprogramowania do monitorowania sieci
istnieje kilka sposobów rozwiązania tego problemu. Jedną z opcji jest użycie programu takiego jak Glasswire, o którym wspominaliśmy wcześniej., To oprogramowanie powiadomi Cię, gdy ktoś jest podłączony do twojej sieci. Kiedy budzisz się rano lub wracasz do domu z pracy, możesz zobaczyć, co się stało, gdy nie patrzyłeś.
Sprawdź dziennik routera
następną opcją jest skorzystanie z możliwości logowania routera. Głęboko w rozwiązywaniu problemów lub opcjach zabezpieczeń routera zwykle znajduje się zakładka poświęcona logowaniu., Ile można zarejestrować i jakiego rodzaju informacje różnią się w zależności od routera, ale opcje mogą obejmować przychodzący adres IP, numer portu docelowego, wychodzący adres IP lub adres URL filtrowany przez urządzenie w sieci, wewnętrzny adres IP i ich adres MAC oraz które urządzenia w sieci zarejestrowały się w routerze za pośrednictwem DHCP dla swojego adresu IP (a przez proxy, które nie.) Jest dość solidny, a im dłużej zostawiasz logi uruchomione, tym więcej informacji możesz przechwycić.,
(oba programy pokazaliśmy, jak zainstalować) pozwalają monitorować i rejestrować przepustowość i podłączone urządzenia tak długo, jak chcesz, a nawet może zrzucić te informacje do pliku tekstowego, który można przesiać przez później. W zależności od konfiguracji routera może on nawet regularnie wysyłać do Ciebie e-mail lub upuszczać go na zewnętrzny dysk twardy lub serwer NAS.,
tak czy inaczej, korzystanie z często ignorowanej funkcji rejestrowania routera to świetny sposób, aby sprawdzić, czy na przykład po północy i wszyscy poszli spać, komputer do gier nagle zaczyna się chrupać i przesyłać dużo danych wychodzących, lub masz zwykłą pijawkę, która lubi wskoczyć na wi-fi i zacząć pobierać torrenty o dziwnych godzinach.
utrzymuj Wireshark w działaniu
ostatnią opcją i rodzajem opcji nuklearnej jest pozwolić Wireshark przechwytywać przez wiele godzin lub dni., Nie jest to niespotykane i wielu administratorów sieci robi to, gdy naprawdę analizuje dziwne zachowanie sieci. To świetny sposób na złapanie złych aktorów lub gadatliwych urządzeń. Wymaga to jednak pozostawienia włączonego komputera przez wieki, ciągłego wąchania pakietów w sieci, przechwytywania wszystkiego, co przechodzi przez nią, a te dzienniki mogą zająć sporo miejsca. Możesz przyciąć rzeczy, filtrując przechwytywania według adresu IP lub rodzaju ruchu, ale jeśli nie masz pewności, czego szukasz, będziesz mieć wiele danych do przesiania podczas przechwytywania nawet przez kilka godzin., Mimo to na pewno powie Ci wszystko, co musisz wiedzieć.
we wszystkich tych przypadkach, po zarejestrowaniu wystarczającej ilości danych, będziesz mógł dowiedzieć się, kto korzysta z twojej sieci, kiedy i czy ich urządzenie pasuje do mapy sieci, którą wcześniej zrobiłeś.,
krok piąty: Zablokuj sieć
Jeśli śledziłeś dalej, zidentyfikowałeś urządzenia, które powinny być w stanie połączyć się z Twoją siecią domową, te, które faktycznie się łączą, zidentyfikowałeś różnice i miejmy nadzieję, że zorientowałem się, czy są tu źli aktorzy, nieoczekiwane urządzenia, czy pijawki. Teraz wszystko, co musisz zrobić, to poradzić sobie z nimi, i o dziwo, to jest łatwa część.,
pijawki Wifi zostaną uruchomione, gdy tylko zablokujesz router. Zanim zrobisz cokolwiek innego, Zmień hasło routera i wyłącz funkcję WPS, jeśli jest włączona. Jeśli komuś udało się zalogować bezpośrednio do Twojego routera, nie chcesz zmieniać innych rzeczy tylko po to, aby zalogował się i odzyskał dostęp. Upewnij się, że używasz dobrego, silnego hasła, które jest trudne do brutalnej siły.
następnie sprawdź czy nie ma aktualizacji firmware., Jeśli twoja pijawka użyła exploita lub luki w oprogramowaniu sprzętowym Twojego routera, będzie to ich powstrzymywać-zakładając oczywiście, że exploit został załatany. Na koniec upewnij się, że tryb zabezpieczeń sieci bezprzewodowej jest ustawiony na WPA2 (ponieważ WPA i WEP są bardzo łatwe do złamania) i zmień hasło wifi na inne dobre, długie hasło, którego nie można zmusić brutalnie. Następnie jedynymi urządzeniami, które powinny być w stanie ponownie połączyć się, są te, do których podajesz nowe hasło.,
która powinna zająć się każdym, kto korzysta z twojego wifi i robi wszystkie ich pobieranie w Twojej sieci zamiast ich. Pomoże też w zabezpieczeniach przewodowych. Jeśli to możliwe, należy również wykonać kilka dodatkowych kroków zabezpieczeń bezprzewodowych, takich jak wyłączenie zdalnej administracji lub wyłączenie UPnP.
dla złych aktorów na swoich przewodowych komputerach, masz trochę polowania., Jeśli jest to urządzenie fizyczne, powinno mieć bezpośrednie połączenie z routerem. Zacznij śledzić Kable i rozmawiać ze swoimi współlokatorami lub rodziną, aby zobaczyć, co się dzieje. W najgorszym przypadku zawsze możesz zalogować się z powrotem do routera i całkowicie zablokować ten podejrzany adres IP. Właściciel tego dekodera lub cicho podłączonego komputera uruchomi się dość szybko, gdy przestanie działać.,
większym zmartwieniem jest jednak skompromitowanie komputerów. Pulpit, który został porwany i dołączył do botnetu do nocnego wydobywania Bitcoin, na przykład, lub maszyna zainfekowana złośliwym oprogramowaniem, które dzwoni do domu i wysyła swoje dane osobowe do kto-wie-gdzie, może być zły.,
gdy zawęzisz wyszukiwanie do konkretnych komputerów, nadszedł czas, aby wykorzenić, gdzie problem leży na każdej maszynie. Jeśli naprawdę się martwisz, przyjmij podejście inżyniera ds. bezpieczeństwa do problemu: gdy twoje maszyny staną się własnością, nie będą już godne zaufania. Zdmuchnij je, zainstaluj ponownie i przywróć z kopii zapasowych. (Masz kopie zapasowe swoich danych, prawda?) Po prostu upewnij się, że masz oko na swój komputer—nie chcesz przywracać z zainfekowanej kopii zapasowej i rozpoczynać procesu od nowa.,
Jeśli chcesz zakasać rękawy, możesz chwycić solidne narzędzie antywirusowe i skaner antywirusowy na żądanie (tak, potrzebujesz obu) i spróbować wyczyścić dany komputer. Jeśli zauważyłeś ruch dla określonego typu aplikacji, sprawdź, czy nie jest to złośliwe oprogramowanie lub po prostu coś, co ktoś zainstalował, co źle się zachowuje. Skanuj, aż wszystko będzie czyste, i sprawdzaj ruch z tego komputera, aby upewnić się, że wszystko jest w porządku.,
mamy tylko naprawdę porysowane powierzchnię tutaj, jeśli chodzi o Monitorowanie sieci i bezpieczeństwo. Istnieje mnóstwo konkretnych narzędzi i metod, których eksperci używają do zabezpieczania sieci, ale te kroki będą działać dla Ciebie, jeśli jesteś administratorem sieci w domu i rodzinie.,
wypatrywanie podejrzanych urządzeń lub pijawek w sieci może być długim procesem, wymagającym wykrywania i czujności. Mimo to, nie chcemy wzbudzać paranoi. Szanse są, że nie znajdziesz niczego niezwykłego, a te powolne pobieranie lub gówniane prędkości Wi-Fi to coś zupełnie innego. Mimo to dobrze jest wiedzieć, jak zbadać Sieć i co zrobić, jeśli znajdziesz coś nieznanego. Tylko pamiętaj, aby używać swoich mocy dla dobra.