Kā pieskarties savam tīklam un redzēt visu, kas tajā notiek

Attēls rakstam ar nosaukumu Kā pieskarties tīklam un redzēt visu, kas tajā notiek — Attēls: Shutterstock (Shutterstock)

Jūsu mājas tīkls un viss ar to saistītais ir kā glabātuve. Aiz jūsu pieteikšanās slēpjas daudz vērtīgas informācijas, sākot no nešifrētiem failiem, kuros ir personas dati, līdz ierīcēm, kuras var nolaupīt un izmantot jebkuram mērķim. Šajā ziņojumā mēs parādīsim, kā izveidot tīklu, ieskatīties zem segas, lai redzētu, kurš ar ko runā, un kā atklāt, ka ierīces vai procesi, iespējams, samazina joslas platumu (vai ir negaidīti viesi jūsu tīklā). .

Īsāk sakot: jūs varēsit atpazīt pazīmes, kas liecina, ka kaut kas jūsu tīklā ir apdraudēts. Mēs pieņemsim, ka esat iepazinies ar dažiem tīkla pamatiem, piemēram, kā atrast maršrutētāja ierīču sarakstu un kas ir MAC adrese. Ja nē, dodieties uz mūsu Know Your Network nakts skola vispirms sakopt.

Tomēr, pirms mēs ejam tālāk, mums vajadzētu brīdināt: izmantojiet šīs pilnvaras un palaidiet šos rīkus un komandas tikai jums piederošajā vai pārvaldītajā aparatūrā vai tīklos. Jūsu draudzīgajai apkārtnes IT nodaļai nepatiks, ja korporatīvajā tīklā pieslēgtu pakešu skenēšanu vai šņaukšanu, un arī visiem jūsu vietējā kafejnīcas cilvēkiem nepatiks.

Pirmais solis: izveidojiet tīkla karti

Pirms piesakāties datorā, pierakstiet, ko jūs domājat zināt par savu tīklu. Sāciet ar papīra lapu un pierakstiet visas pievienotās ierīces. Tas ietver tādas lietas kā viedie televizori, viedie skaļruņi, klēpjdatori un datori, planšetdatori un tālruņi vai jebkura cita ierīce, kas varētu būt savienota ar jūsu tīklu. Ja tas palīdz, uzzīmējiet savas mājas karti katrai telpai. Pēc tam pierakstiet katru ierīci un tās atrašanās vietu. Jūs varat būt pārsteigts par to, cik daudz ierīču vienlaikus esat izveidojis savienojumu ar internetu.

Tīkla administratori un inženieri atpazīs šo darbību — tas ir pirmais solis, lai izpētītu jebkuru tīklu, kuru jūs nepārzināt. Veiciet tajā esošo ierīču inventarizāciju, identificējiet tās un pēc tam pārbaudiet, vai realitāte atbilst tam, ko jūs sagaidāt. Ja (vai kad) tā nav, jūs varēsit ātri nošķirt to, ko zināt, no tā, ko nezināt.

Jums var rasties kārdinājums vienkārši pieteikties maršrutētājā un apskatīt tā statusa lapu, lai redzētu, kas ir savienots, taču pagaidām to nedariet. Ja vien jūs nevarat identificēt visu savā tīklā pēc tā IP un MAC adreses, jūs iegūsit lielu lietu sarakstu — tādu, kurā būs iekļauti visi iebrucēji vai bezmaksas ielādētāji. Vispirms veiciet fizisko inventarizāciju, pēc tam pārejiet uz digitālo.

Otrais solis: pārbaudiet savu tīklu, lai redzētu, kas tajā atrodas

Kad ir izveidota sava tīkla fiziskā karte un visu uzticamo ierīču saraksts, ir pienācis laiks ķerties pie lietas. Piesakieties maršrutētājā un pārbaudiet pievienoto ierīču sarakstu. Tas sniegs jums pamata vārdu, IP adrešu un MAC adrešu sarakstu. Atcerieties, ka maršrutētāja ierīču sarakstā var parādīties viss. Tam vajadzētu būt, taču daži maršrutētāji parāda tikai tās ierīces, kas izmanto maršrutētāju tā IP adresei. Jebkurā gadījumā paturiet šo sarakstu malā — tas ir labi, bet mēs vēlamies vairāk informācijas.

Lejupielādējiet un instalējiet Nmap

Tālāk mēs pievērsīsimies mūsu vecais draugs Nmap . Tiem, kas nav pazīstami, Nmap ir starpplatformu atvērtā koda tīkla skenēšanas rīks, kas var atrast jūsu tīklā esošās ierīces, kā arī daudz detalizētu informāciju par šīm ierīcēm. Varat redzēt viņu izmantoto operētājsistēmu, IP un MAC adreses un pat atvērtos portus un pakalpojumus. Lejupielādējiet Nmap šeit , pārbaudiet šīs instalēšanas rokasgrāmatas lai to iestatītu, un izpildiet šos norādījumus lai atklātu saimniekdatorus savā mājas tīklā.

Viena iespēja ir instalēt un palaist Nmap no komandrindas (ja vēlaties grafisko interfeisu, Zenmap parasti tiek piegādāts kopā ar instalētāju). Skenējiet IP diapazonu, ko izmantojat savam mājas tīklam. Tas atklāja lielāko daļu manā mājas tīklā esošo aktīvo ierīču, izņemot dažas, kurās man ir uzlabota drošība (lai gan arī tās bija atrodamas ar dažām Nmap komandām, kuras varat atrast iepriekš esošajā saitē).

Salīdziniet Nmap sarakstu ar maršrutētāja sarakstu

Abos sarakstos vajadzētu redzēt vienu un to pašu, ja vien kaut kas, ko iepriekš pierakstījāt, tagad netiek izslēgts. Ja maršrutētājā redzat kaut ko tādu, ko Nmap neparādīja, mēģiniet izmantot Nmap tieši pret šo IP adresi.

Pēc tam apskatiet informāciju, ko Nmap atrod par ierīci. Ja tas apgalvo, ka tas ir Apple TV, iespējams, tajā nevajadzētu darboties, piemēram, tādiem pakalpojumiem kā http. Ja tas izskatās dīvaini, pārbaudiet to, lai iegūtu vairāk informācijas.

Nmap ir ārkārtīgi spēcīgs rīks, taču tas nav visvieglāk lietojams. Ja esat nedaudz kautrīgs, jums ir citas iespējas. Dusmīgs IP skeneris ir vēl viena starpplatformu utilīta, kurai ir izskatīgs un ērti lietojams interfeiss, kas sniegs daudz tādas pašas informācijas. Bezvadu tīkla vērotājs ir Windows utilīta kas skenē bezvadu tīklus, ar kuriem esat izveidojis savienojumu. Stikla stieple ir vēl viena lieliska iespēja, kas jums paziņos, kad ierīces izveido savienojumu ar tīklu vai atvienosies no tā.

Trešais solis: iešņaukieties apkārt un redziet, ar ko visi runā

Tagad jums vajadzētu būt to ierīču sarakstam, kuras pazīstat un kurām uzticaties, kā arī to ierīču sarakstam, kuras esat atradis savienotas ar tīklu. Ja veicas, jūs esat pabeidzis, un viss sakrīt vai ir pašsaprotami (piemēram, piemēram, televizors, kas pašlaik ir izslēgts).

Tomēr, ja redzat kādus dalībniekus, kurus neatpazīstat, pakalpojumus, kas darbojas, kas neatbilst ierīcei (Kāpēc manā Roku darbojas postgresql?), vai kaut kas cits nejūtas, ir pienācis laiks nedaudz iešņaukties. Paciņu šņaukšana, tas ir.

Kad divi datori sazinās jūsu tīklā vai internetā, tie viens otram nosūta informācijas bitus, ko sauc par 'paketēm'. Šīs paketes kopā veido sarežģītas datu straumes, kas veido mūsu skatītos videoklipus vai lejupielādētos dokumentus. Pakešu sniffing ir process, kurā tiek uztvertas un pārbaudītas šīs informācijas daļas, lai redzētu, kur tās nonāk un ko tās satur.

Instalējiet programmu Wireshark

Lai to izdarītu, mums būs nepieciešams Wireshark . Tas ir starpplatformu tīkla uzraudzības rīks, ko izmantojām, lai nedaudz izpētītu pakešu saturu mūsu ceļvedis paroļu un sīkfailu izņemšanai . Šajā gadījumā mēs to izmantosim līdzīgā veidā, taču mūsu mērķis nav tvert neko konkrētu, tikai pārraudzīt, kāda veida trafika notiek tīklā.

Lai to izdarītu, jums būs jāpalaiž Wireshark, izmantojot wifi sadaļā “ izlaidīgs režīms ”. Tas nozīmē, ka tas ne tikai meklē paketes, kas virzās uz jūsu datoru vai no tā, bet arī apkopo visas paketes, kuras tas var redzēt jūsu tīklā.

Lai veiktu iestatīšanu, veiciet šīs darbības:

Lejupielādējiet un instalējiet Wireshark
Izvēlieties savu wifi adapteri.
Noklikšķiniet uz Uzņemt > Opcijas — un, kā redzat augstāk esošajā videoklipā (ar pieklājību no vietnes, kas atrodas vietnē Hak5 ), šim adapterim varat atlasīt “Uzņemt visu izlaidības režīmā”.

Tagad jūs varat sākt pakešu uztveršanu. Uzsākot uzņemšanu, jūs iegūsit daudz informācijas. Par laimi Wireshark to paredz un atvieglo filtrēšanu.

Tā kā mēs tikai vēlamies noskaidrot, ko dara aizdomīgie dalībnieki jūsu tīklā, pārbaudiet, vai attiecīgā sistēma ir tiešsaistē. Dodieties uz priekšu un uzņemiet satiksmi dažu minūšu garumā. Pēc tam varat filtrēt šo trafiku, pamatojoties uz šīs ierīces IP adresi, izmantojot Wireshark iebūvētos filtrus.

To darot, varat ātri uzzināt, ar ko šī IP adrese runā un kādu informāciju viņi sūta uz priekšu un atpakaļ. Varat ar peles labo pogu noklikšķināt uz jebkuras no šīm paketēm, lai to pārbaudītu, sekotu sarunai starp abiem galiem un filtrētu visu tveršanu pēc IP vai sarunas. Lai uzzinātu vairāk, skatiet Wireshark's detalizētas filtrēšanas instrukcijas .

Jūs, iespējams, (vēl) nezināt, uz ko skatāties, taču šeit parādās neliela slepkavība.

Analizējiet ieskicētu darbību

Ja redzat, ka aizdomīgais dators runā ar dīvainu IP adresi, izmantojiet nslookup komandu (komandu uzvednē operētājsistēmā Windows vai terminālī operētājsistēmā OS X vai Linux), lai iegūtu tās resursdatora nosaukumu. Tas var jums daudz pastāstīt par tīkla atrašanās vietu vai veidu, ar kuru jūsu dators savienojas. Wireshark arī norāda izmantotos portus, tāpēc Google izmanto porta numuru un skatiet, kuras lietojumprogrammas to izmanto.

Ja, piemēram, jums ir dators, kas savieno ar dīvainu resursdatora nosaukumu, izmantojot portus, ko bieži izmanto IRC vai failu pārsūtīšanai, iespējams, ka jums ir iebrucējs. Protams, ja konstatējat, ka ierīce savienojas ar cienījamiem pakalpojumiem, izmantojot bieži lietotus portus, piemēram, e-pastam vai HTTP/HTTPS, iespējams, esat tikko uzdūris planšetdatoru, par kuru jūsu istabas biedrs nekad nav teicis, vai kāds blakus esošais nozog jūsu wifi. Jebkurā gadījumā jums būs nepieciešamie dati, lai to noskaidrotu pats.

Ceturtais solis: spēlējiet garo spēli un reģistrējiet uzņemtos attēlus

Protams, ne katrs sliktais aktieris jūsu tīklā būs tiešsaistē un slēpsies, kamēr jūs viņu meklējat. Līdz šim mēs esam iemācījuši jums, kā pārbaudīt pievienotās ierīces, skenēt tās, lai noteiktu, kas tās patiesībā ir, un pēc tam nedaudz nosacīt to trafiku, lai pārliecinātos, ka tas viss ir virs paneļa. Tomēr, ko jūs darāt, ja aizdomīgais dators veic savu netīro darbu naktī, kad jūs guļat, vai kāds izmanto jūsu wifi, kad visu dienu esat darbā un neesat tuvumā, lai pārbaudītu?

Izmantojiet tīkla uzraudzības programmatūru

Ir daži veidi, kā to risināt. Viena iespēja ir izmantot tādu programmu kā Stikla stieple , ko mēs minējām iepriekš. Šī programmatūra jūs brīdinās, kad kāds būs izveidojis savienojumu ar jūsu tīklu. Kad pamostaties no rīta vai atgriežaties mājās no darba, varat redzēt, kas notika, kamēr neskatījāties.

Pārbaudiet maršrutētāja žurnālu

Nākamā iespēja ir izmantot maršrutētāja reģistrēšanas iespējas. Maršrutētāja problēmu novēršanas vai drošības opcijās parasti ir cilne, kas paredzēta reģistrēšanai. Cik daudz varat reģistrēties un kāda veida informācija atšķiras atkarībā no maršrutētāja, taču opcijas var ietvert ienākošo IP, galamērķa porta numuru, izejošo IP vai URL, ko filtrē jūsu tīklā esošā ierīce, iekšējā IP adrese un to MAC adrese, kā arī ierīces jūsu tīklā. tīkls ir reģistrējies maršrutētājam, izmantojot DHCP, lai iegūtu IP adresi (un, izmantojot starpniekserveri, kas to nedarīja). Tas ir diezgan stabils, un, jo ilgāk atstājat žurnālus darboties, jo vairāk informācijas varat iegūt.

Pielāgota programmaparatūra, piemēram, DD-WRT un Tomato (abi mēs jums parādījām kā instalēt ) ļauj pārraudzīt un reģistrēt joslas platumu un pievienotās ierīces tik ilgi, cik vēlaties, un pat var izmest šo informāciju teksta failā, ko vēlāk varēsiet izsijāt. Atkarībā no maršrutētāja iestatīšanas tas pat var regulāri nosūtīt šo failu pa e-pastu vai ievietot to ārējā cietajā diskā vai NAS.

Jebkurā gadījumā maršrutētāja bieži ignorētās reģistrēšanas funkcijas izmantošana ir lielisks veids, kā noskaidrot, vai, piemēram, pēc pusnakts un visi ir devušies gulēt, spēļu dators pēkšņi sāk gurkstēt un pārraidīt daudz izejošo datu, vai arī jums ir parasta dēle. kuram patīk izmantot jūsu wifi un sākt lejupielādēt torrentus nepāra stundās.

Turpiniet Wireshark darboties

Jūsu pēdējā iespēja un sava veida kodoliespēja ir vienkārši ļaut Wireshark uztvert stundas vai dienas. Tas nav nekas neparasts, un daudzi tīkla administratori to dara, kad viņi patiešām analizē dīvainas tīkla darbības. Tas ir lielisks veids, kā atrast sliktus aktierus vai pļāpīgas ierīces. Tomēr tas prasa ilgu laiku atstāt datoru ieslēgtu, nepārtraukti izsūknēt tīkla paketes, tvert visu, kas tam iet cauri, un šie žurnāli var aizņemt daudz vietas. Varat samazināt lietas, filtrējot tvērumus pēc IP vai trafika veida, taču, ja neesat pārliecināts, ko meklējat, jums būs daudz datu, ko izsijāt, kad skatīsit tveršanu pat. dažas stundas. Tomēr tas noteikti pateiks visu, kas jums jāzina.

Visos šajos gadījumos, kad būs reģistrēts pietiekami daudz datu, varēsiet uzzināt, kurš, kad un vai viņa ierīce sakrīt ar jūsu iepriekš izveidoto tīkla karti.

Piektais solis: bloķējiet tīklu

Ja sekojāt līdzi šim gadījumam, esat noteicis ierīces, kurām jāspēj izveidot savienojumu ar jūsu mājas tīklu, tās, kuras faktiski izveido savienojumu, identificējis atšķirības un, cerams, noskaidrojis, vai ir kādi slikti dalībnieki, neparedzētas ierīces, vai dēles karājas apkārt. Tagad viss, kas jums jādara, ir tikt ar tiem galā, un pārsteidzoši, ka tā ir vienkāršā daļa.

Wifi dēles saņems zābaku, tiklīdz jūs bloķējiet maršrutētāju . Pirms kaut ko citu darāt, nomainiet maršrutētāja paroli un izslēdziet WPS, ja tas ir ieslēgts. Ja kādam ir izdevies pieteikties tieši jūsu maršrutētājā, jūs nevēlaties mainīt citas lietas, lai tikai pieteiktos un atgūtu piekļuvi. Pārliecinieties, vai izmantojat labu, spēcīgu paroli, kuru ir grūti izmantot ar rupju spēku.

Pēc tam pārbaudiet programmaparatūras atjauninājumus. Ja jūsu dēle ir izmantojusi jūsu maršrutētāja programmaparatūras ļaunprātīgu izmantošanu vai ievainojamību, tas neļaus tiem piekļūt — protams, pieņemot, ka šī ļaunprātīga izmantošana ir izlabota. Visbeidzot, pārliecinieties, vai bezvadu drošības režīms ir iestatīts uz WPA2 (jo WPA un WEP ir ļoti viegli uzlauzt ) un nomainiet savu Wi-Fi paroli uz citu labu, garu paroli, kuru nevar piespiest. Pēc tam vienīgās ierīces, kurām vajadzētu būt iespējai atkārtoti izveidot savienojumu, ir tās, kurām piešķirat jauno paroli.

Tam vajadzētu rūpēties par to, lai ikviens varētu izmantot jūsu Wi-Fi un veikt lejupielādi jūsu tīklā, nevis savā tīklā. Tas palīdzēs arī ar vadu drošību. Ja var, tad arī jāņem dažas papildu bezvadu drošības darbības , piemēram, attālās administrēšanas izslēgšana vai UPnP atspējošana.

Sliktiem aktieriem jūsu vadu datoros jums ir jāmeklē. Ja tā faktiski ir fiziska ierīce, tai jābūt tiešam savienojumam ar maršrutētāju. Sāciet izsekot kabeļiem un runāt ar saviem istabas biedriem vai ģimeni, lai uzzinātu, kas notiek. Sliktākajā gadījumā jūs vienmēr varat pieteikties atpakaļ maršrutētājā un pilnībā bloķēt šo aizdomīgo IP adresi. Šī televizora pierīces vai klusi pieslēgtā datora īpašnieks sāks darboties diezgan ātri, kad tas pārstāj darboties.

Tomēr lielākas bažas šeit rada kompromitēti datori. Darbvirsma, kas ir nolaupīta un pievienota robottīklam, piemēram, Bitcoin ieguvei vienas nakts laikā, vai mašīna, kas inficēta ar ļaunprātīgu programmatūru, kas zvana uz mājām un nosūta jūsu personisko informāciju uz to, kas zina, kur.

Kad esat sašaurinājis meklēšanu, attiecinot to uz konkrētiem datoriem, ir pienācis laiks izskaust katras iekārtas problēmu. Ja jūs patiešām uztraucaties, izmantojiet drošības inženiera pieeju problēmas risināšanai: kad jūsu mašīnas ir īpašumā, tās vairs nav uzticamas. Izpūtiet tos, atkārtoti instalējiet un atjaunojiet no dublējumkopijām. ( Jums taču ir datu dublējumkopijas, vai ne ?) Vienkārši sekojiet līdzi savam datoram — jūs nevēlaties atjaunot no inficēta dublējuma un sākt visu no jauna.

Ja vēlaties atrotīt piedurknes, varat paņemt sev stabilu pretvīrusu utilītu un ļaunprātīgas programmatūras novēršanas skeneri pēc pieprasījuma ( jā, tev vajadzēs abus ) un mēģiniet notīrīt attiecīgo datoru. Ja redzējāt noteikta veida lietojumprogrammu datplūsmu, pārbaudiet, vai tā nav ļaunprātīga programmatūra vai tikai kāda lietotāja instalēta lieta, kas nedarbojas slikti. Turpiniet skenēšanu, līdz viss kļūst tīrs, un pārbaudiet datplūsmu no šī datora, lai pārliecinātos, ka viss ir kārtībā.

Mēs esam tikai saskrāpējuši virsmu, kad runa ir par tīkla uzraudzību un drošību. Ir daudz īpašu rīku un metožu, ko eksperti izmanto, lai aizsargātu savus tīklus, taču šīs darbības noderēs jums, ja esat tīkla administrators savā mājā un ģimenē.

Aizdomīgu ierīču vai dēles izņemšana no tīkla var būt ilgs process, kas prasa vērību un modrību. Tomēr mēs necenšamies izraisīt paranoju. Iespējams, ka jūs neatradīsit neko neparastu, un lēnās lejupielādes vai vājais wifi ātrums ir pavisam kas cits. Tomēr ir labi zināt, kā pārbaudīt tīklu un ko darīt, ja atrodat kaut ko nepazīstamu. Vienkārši atcerieties izmantot savus spēkus labam.

Šis stāsts sākotnēji tika publicēts 2014. gada oktobrī, bet 2019. gada oktobrī tika atjaunināts ar aktuālo informāciju un resursiem. Atjaunināts 3/3/22 ar jaunu informāciju.