Mal WeekWelcome para o Mal Semana, nossos anual de mergulho em todos os ligeiramente esboçado hacks nós costuma abster-se de recomendar. Queres entrar em bebidas grátis, jogar jogos mentais elaborados ou lavar dinheiro? Temos toda a informação que precisa para ser desagradável., sua rede doméstica—e tudo conectado a ela-é como um cofre. Por trás de seu login está toneladas de informações valiosas, de arquivos não criptografados contendo dados pessoais para dispositivos que podem ser sequestrados e usados para qualquer finalidade. Neste post, vamos mostrar – lhe como mapear sua rede, dar uma olhada sob as capas para ver quem está falando com o quê, e como descobrir dispositivos ou processos podem estar sugando a largura de banda (ou são convidados inesperados em sua rede).,
Em suma: você será capaz de reconhecer os sinais de que algo na sua rede está comprometido. Vamos assumir que você está familiarizado com algumas noções básicas de rede, como como encontrar a lista de dispositivos do seu router e o que é um endereço MAC. Se não, vai ter com a tua escola noturna da rede, para melhorar primeiro.
Antes de irmos mais longe, porém, devemos emitir um aviso: Use esses poderes para o bem, e apenas execute essas ferramentas e comandos em hardware ou redes que você possui ou gerencia., Seu amigável bairro departamento de TI não gostaria que você varredura port ou fareja pacotes na rede corporativa, e nem todas as pessoas em seu café local.
primeiro Passo: Fazer um mapa de rede
Antes mesmo de iniciar sessão no seu computador, escreva o que você acha que você sabe sobre a sua rede. Comece com uma folha de papel e anote todos os seus dispositivos conectados., Isso inclui coisas como TVs inteligentes, altifalantes inteligentes, laptops e Computadores, tablets e telefones, ou qualquer outro dispositivo que possa estar conectado à sua rede. Se ajudar, desenhe um mapa quarto A quarto da sua casa. Então escreva todos os dispositivos e onde eles vivem. Você pode se surpreender com exatamente quantos dispositivos você tem conectado à internet ao mesmo tempo.,
Clique Aqui Para Ter a Sua Mente Soprado
Obter descontos em vibradores, anéis, e corte-borda de sexo tech agora até o final da semana.
os administradores e engenheiros da rede reconhecerão este passo—é o primeiro passo na exploração de qualquer rede que não esteja familiarizado., Faça um inventário dos dispositivos nele, identifique-os, e depois veja se a realidade corresponde com o que você espera. Se (ou quando) isso não acontecer, você será capaz de separar rapidamente o que você sabe do que você não sabe.
Você pode ser tentado a apenas entrar em seu roteador e olhar para a sua página de status para ver o que está conectado, mas não faça isso ainda. A menos que você possa identificar tudo em sua rede por seu IP e endereço MAC, você vai apenas obter uma grande lista de coisas—uma que inclui qualquer intruso ou freeloaders. Fazer um inventário físico primeiro, depois passar para o digital.,
segundo Passo: Sonda de sua rede para ver o que está sobre ele
uma Vez que você tem um mapa físico da rede e uma lista de todos os seus aparelhos confiáveis, é hora de ir cavar., Entre no seu router e verifique a sua lista de dispositivos conectados. Isso dar-lhe-á uma lista básica de nomes, endereços IP e endereços MAC. Lembre-se, a lista de dispositivos do seu router pode ou não mostrar-lhe tudo. Deveria, mas alguns roteadores mostram apenas os dispositivos que usam o roteador para seu endereço IP. Seja como for, mantém essa lista de lado.é bom, mas queremos mais informação.
Baixe e instale Nmap
a seguir, vamos voltar para o nosso velho amigo Nmap., Para aqueles que não estão familiarizados, Nmap é uma ferramenta de digitalização de rede de plataforma aberta, que pode encontrar dispositivos estão em sua rede, juntamente com uma tonelada de detalhes sobre esses dispositivos. Você pode ver o sistema operacional que eles estão usando, endereços IP e MAC, e até mesmo portas e serviços abertos. Faça o Download do Nmap aqui, veja estas guias de instalação para configurá-lo, e siga estas instruções para descobrir as máquinas na sua rede doméstica.,
Uma opção é instalar e executar o Nmap partir da linha de comando (se você quiser uma interface gráfica, Zenmap geralmente vem com o instalador). Verifica o intervalo de IP que estás a usar para a tua rede doméstica. Isto descobriu a maior parte dos dispositivos activos na minha rede doméstica, excluindo alguns em que tenho alguma segurança melhorada (embora estes também tenham sido descobertos com alguns dos comandos do Nmap, que você pode encontrar no link acima).,
Comparar o Nmap lista com o router da lista
Você deve ver as mesmas coisas em ambas as listas, a menos que algo que você anotou anteriormente é desligado agora. Se vir alguma coisa no seu router que o Nmap não tenha aparecido, tente usar o Nmap directamente contra esse endereço IP.,
em Seguida, examinar as informações do Nmap encontra sobre o dispositivo. Se afirma ser uma Apple TV, provavelmente não deveria ter serviços como http em execução, por exemplo. Se parecer estranho, investiga-o especificamente para mais informações.
Nmap é uma ferramenta extremamente poderosa, mas não é a mais fácil de usar. Se és um pouco tímido, tens outras opções., Angry IP Scanner é outro utilitário cross-platform que tem uma boa aparência e fácil de usar interface que lhe dará um monte da mesma informação. Wireless Network Watcher é um utilitário do Windows que varre as redes sem fio às quais você está conectado. Glasswire é outra grande opção que irá notificá-lo quando os dispositivos se conectam ou se desconectam da sua rede.,
Passo Três: Farejar em volta e ver que todo mundo está falando a
Por agora, você deve ter uma lista de dispositivos que você conhece e confia, e uma lista de dispositivos que você encontrou conectado à sua rede. Com sorte, você está acabado aqui, e tudo bate certo ou é auto-explicativo (como uma TV que está atualmente desligada, por exemplo).,
no Entanto, se você ver qualquer actores que você não reconhece, execução de serviços que não correspondem ao dispositivo (Por que é a minha Roku executar o postgresql?), or something else feels off, it’s time to do a little sniffing. Farejamento de pacotes, quero dizer.
Quando dois computadores comunicam, seja na sua rede ou através da internet, eles enviam bits de informação chamados “pacotes” um para o outro., Juntos, esses pacotes criam fluxos de dados complexos que compõem os vídeos que vemos ou os documentos que baixamos. Cheirar pacotes é o processo de capturar e examinar esses bits de informação para ver onde eles vão e o que eles contêm.
Instalar o Wireshark
Para fazer isso, vamos precisar de Wireshark. É uma ferramenta de monitoramento de rede multi-plataforma que costumávamos fazer um pouco de sniffing de pacotes em nosso guia para farejar senhas e cookies., Neste caso, vamos usá-lo da mesma forma, mas nosso objetivo não é capturar nada específico, apenas monitorar Que tipos de tráfego estão circulando pela rede.
Para fazer isso, você precisa executar o Wireshark através de wi-fi em modo “promíscuo.”Isso significa que não está apenas à procura de pacotes que vão de ou para o seu computador—é para recolher quaisquer pacotes que possa ver na sua rede.,
siga estes passos para se configurar:
- Baixe e instale Wireshark
- selecione o adaptador Wi-Fi.
- clique em capturar > opções—e como você pode ver no vídeo acima (cortesia das pessoas em Hak5), você pode selecionar” Capture all in promiscuous mode ” para esse adaptador.
Agora você pode iniciar a captura de pacotes. Quando começares a captura, vais ter muita informação., Felizmente, a Wireshark antecipa isso e torna fácil de filtrar.
Já que estamos só olhando para ver o que as suspeitas de atores na rede estão fazendo, certifique-se de que o sistema em questão é on-line. Vá em frente e capture alguns minutos de tráfego., Então você pode filtrar esse tráfego com base no endereço IP desse dispositivo usando os filtros embutidos da Wireshark.fazendo isso, você tem uma visão rápida de com quem o endereço IP está falando e com que informações eles estão enviando para trás e para a frente. Você pode clicar com o botão direito em qualquer um desses pacotes para inspecioná-lo, acompanhar a conversa entre ambas as extremidades, e filtrar toda a captura por IP ou conversa. Para mais, confira as instruções de filtragem detalhadas da Wireshark.,
Você pode não saber o que você está olhando (ainda), mas é aí que um pouco investigando vem.
Analisar a actividade esboçada
Se vir que o computador suspeito a falar para um endereço IP estranho, use o comando nslookup (na linha de comandos no Windows, ou num terminal no OS X ou Linux) para obter o seu nome de máquina. Isso pode dizer-lhe muito sobre a localização ou tipo de rede que o seu computador está conectando., A Wireshark também lhe diz as portas que estão a ser usadas, por isso procure no Google o número do porto e veja que aplicações o usam.
Se, por exemplo, você tem um computador ligar a um estranho nome de host através de portas, muitas vezes usado para IRC ou de transferência de arquivo, você pode ter um intruso., Claro, se você achar que o dispositivo está se conectando a serviços conceituados sobre portas comumente usadas para coisas como e-mail ou HTTP/HTTPS, você pode ter apenas tropeçado em um tablet seu companheiro de quarto nunca disse que ele era dono, ou alguém da porta ao lado roubando seu Wi-Fi. De qualquer forma, você terá os dados necessários para descobrir por conta própria.,
Passo quatro: Jogar o jogo longo e o seu registo de capta
claro, nem todo mau ator na rede será on-line e parasitismo de distância, enquanto você está olhando para eles., Até este ponto, somos ensinados a verificar se há dispositivos conectados, digitalizá-los para identificar quem eles realmente são, e então farejar um pouco de seu tráfego para se certificar de que está tudo acima do quadro. No entanto, o que você faz se o computador suspeito está fazendo o seu trabalho sujo à noite quando você está dormindo, ou alguém está leeching seu wi-fi quando você está no trabalho o dia todo e não por perto para verificar?
utilize o software de monitorização da rede
Existem algumas formas de abordar esta questão. Uma opção é usar um programa como o Glasswire, que mencionamos anteriormente., Este software irá alertá-lo quando alguém está conectado à sua rede. Quando acordas de manhã ou voltas do trabalho, consegues ver o que aconteceu enquanto não estavas a olhar.
Verifique o seu roteador de registo
a Sua próxima opção é usar o roteador recursos de log. Enterrado no fundo das opções de resolução de problemas ou segurança do seu router é geralmente um tab dedicado ao registro., Quanto você pode logar e que tipo de informação varia por router, mas as opções podem incluir IP de entrada, número da porta de destino, IP de saída ou URL filtrado pelo dispositivo em sua rede, endereço IP interno e seu endereço MAC, e que dispositivos em sua rede ter verificado com o router via DHCP para o seu endereço IP (e, por proxy, que não têm.) É bastante robusto, e quanto mais tempo você deixar os registros funcionando, mais informações você pode capturar.,
Custom firmware, como o DD-WRT e o Tomate (que mostramos a você como instalar) permitem monitorar o log e de largura de banda e os dispositivos ligados para contanto que você quiser, e pode, até mesmo, despejo de informações para um arquivo de texto que você pode saltar mais tarde. Dependendo de como você tem o seu router configurado, ele pode até mesmo e-mail que arquivo para você regularmente ou deixá-lo em um disco rígido externo ou NAS.,
de qualquer forma, usar a funcionalidade de Registo ignorada do seu router é uma óptima maneira de ver se, por exemplo, depois da meia-noite e todos se deitarem, o seu PC de jogo começa de repente a analisar e a transmitir muitos dados de saída, ou se tem uma sanguessuga normal que gosta de saltar para a sua wi-fi e começar a descarregar torrentes a horas estranhas.
Manter o Wireshark execução
a opção final, e o tipo da opção nuclear com isso, é só deixar o Wireshark para capturar horas—ou dias., Não é inédito, e muitos administradores de rede fazem isso quando estão analisando um comportamento estranho de rede. É uma óptima maneira de apanhar maus actores ou dispositivos faladores. No entanto, isso requer deixar um computador ligado por idades, constantemente farejando pacotes em sua rede, capturando tudo o que passa por ele, e esses logs podem ocupar um bom pedaço de espaço. Você pode reduzir as coisas filtrando capturas por IP ou tipo de tráfego, mas se você não tem certeza do que você está procurando, você terá um monte de dados para analisar quando você está olhando para uma captura ao longo de algumas horas., Mesmo assim, vai dizer-te tudo o que precisas de saber.
Em todos esses casos, uma vez que você tenha dados suficientes logado, você será capaz de descobrir quem está usando sua rede, quando, e se o seu dispositivo combina com o mapa de rede você fez anteriormente.,
Passo Cinco: Bloqueio de sua rede para baixo
Se você seguiu junto para aqui, você já identificou os dispositivos que devem ser capazes de se conectar à sua rede doméstica, aqueles que realmente se conectar, identificadas as diferenças, e espero que descobrimos se há maus atores, dispositivos inesperados, ou sanguessugas aí. Agora, tudo que você tem que fazer é lidar com eles, e surpreendentemente, essa é a parte fácil.,
wi-Fi sanguessugas terá a inicialização assim que você bloquear seu roteador. Antes de fazer mais alguma coisa, mude a senha do seu router, e desligue o WPS se estiver ligado. Se alguém conseguiu entrar diretamente em seu roteador, você não quer mudar outras coisas apenas para tê-los login e recuperar o acesso. Certifique-se de usar uma senha boa e forte que seja difícil de usar.
Next, check for firmware updates., Se a sua sanguessuga fez uso de uma exploit ou vulnerabilidade no firmware do seu router, isso irá mantê—los fora-assumindo que essa exploit foi remendada, é claro. Finalmente, certifique-se de que o seu modo de segurança sem fio está configurado para WPA2 (porque WPA e WEP são muito fáceis de quebrar) e mude a sua senha Wi-Fi para outra senha longa e boa que não pode ser forçada por bruto. Então, os únicos dispositivos que devem ser capazes de reconectar são aqueles a quem você dá a nova senha.,
Que deve cuidar de alguém leeching wi-fi e fazendo todos os seus download em sua rede, em vez deles. Também vai ajudar com a segurança. Se você puder, você também deve tomar alguns passos adicionais de segurança sem fio, como desligar a administração remota ou desativar UPnP.
para maus actores nos seus computadores com fios, você tem alguma caça a fazer., Se é realmente um dispositivo físico, deve ter uma ligação directa com o seu router. Começa a localizar os cabos e a falar com os teus colegas de quarto ou com a tua família para ver o que se passa. Na pior das hipóteses, pode sempre ligar – se ao seu router e bloquear completamente esse endereço IP suspeito. O dono da caixa de set-top ou computador ligado silenciosamente virá correndo muito rapidamente quando parar de funcionar.,
A preocupação maior aqui, porém, é comprometida computadores. Um desktop que foi sequestrado e ligado a um botnet para mineração de Bitcoin durante a noite, por exemplo, ou uma máquina infectada com malware que liga para casa e envia suas informações pessoais para quem-sabe-onde, pode ser ruim.,
Uma vez que você restringe sua busca a computadores específicos, é hora de descobrir onde o problema está em cada máquina. Se você está realmente preocupado, tome a abordagem do engenheiro de segurança para o problema: uma vez que suas máquinas são propriedade, eles não são mais confiáveis. Rebenta com eles, reinstala e recupera dos teus backups. (Você tem cópias de segurança de seus dados, não tem?) Certifique—se apenas de manter um olho em seu PC-você não quer restaurar de um backup infectado e iniciar o processo de novo.,
Se você estiver disposto a arregaçar as mangas, você pode agarrar-se um sólido utilitário antivírus e um anti-malware on-demand (sim, você vai precisar de dois), e tentar limpar o computador em questão. Se você viu o tráfego para um tipo específico de Aplicação, olhe para ver se não é malware ou apenas algo que alguém está instalado que está se comportando mal. Continua a procurar até tudo ficar limpo, e continua a verificar o tráfego daquele computador para ter a certeza que está tudo bem.,
Temos apenas arranhamos a superfície, aqui, quando se trata de monitoramento de rede e de segurança. Existem toneladas de ferramentas e métodos específicos que os especialistas usam para proteger suas redes, mas esses passos funcionarão para você se você for o administrador de rede para sua casa e família.,
erradicar o suspeito dispositivos ou sanguessugas em sua rede pode ser um processo longo, que requer investigando e vigilância. Ainda assim, não estamos a tentar criar paranóia. As probabilidades são que não vais encontrar nada fora do normal, e aqueles downloads lentos ou velocidades de Wi-Fi da treta são outra coisa completamente diferente. Mesmo assim, é bom saber como sondar uma rede e o que fazer se você encontrar algo estranho. Lembra-te de usar os teus poderes para o bem.