Как да докоснете вашата мрежа и да видите всичко, което се случва в нея

  Изображение за статия, озаглавена Как да докоснете вашата мрежа и да видите всичко, което се случва в нея
Изображение: Shutterstock (Shutterstock)

Вашата домашна мрежа — и всичко свързано с нея — е като трезор. Зад вашето влизане се крие тонове ценна информация, от некриптирани файлове, съдържащи лични данни, до устройства, които могат да бъдат отвлечени и използвани за всякакви цели. В тази публикация ще ви покажем как да начертаете вашата мрежа, да надникнете под завивките, за да видите кой с какво говори и как да разкриете, че устройствата или процесите може да намаляват честотната лента (или са неочаквани гости във вашата мрежа) .


Накратко: ще можете да разпознаете признаците, че нещо във вашата мрежа е компрометирано. Ще приемем, че сте запознати с някои основи на работата в мрежа, като например как да намерите списъка с устройства на вашия рутер и какво представлява MAC адресът. Ако не, отидете до нашия Вечерно училище Know Your Network първо да изчеткам.

Преди да продължим обаче, трябва да издадем предупреждение: Използвайте тези правомощия за добро и изпълнявайте тези инструменти и команди само на хардуер или мрежи, които притежавате или управлявате. Вашият дружелюбен квартален ИТ отдел не би харесал сканирането на портове или надушването на пакети в корпоративната мрежа, както и всички хора в местното ви кафене.

Първа стъпка: Направете мрежова карта

Преди дори да влезете в компютъра си, запишете какво мислите, че знаете за вашата мрежа. Започнете с лист хартия и запишете всичките си свързани устройства. Това включва неща като интелигентни телевизори, интелигентни високоговорители, лаптопи и компютри, таблети и телефони или всяко друго устройство, което може да е свързано към вашата мрежа. Ако помага, начертайте карта на дома си всяка стая. След това запишете всяко устройство и къде живее. Може да се изненадате точно колко устройства сте свързали към интернет едновременно.

Мрежовите администратори и инженери ще разпознаят тази стъпка - това е първата стъпка в изследването на всяка мрежа, с която не сте запознати. Направете инвентаризация на устройствата в него, идентифицирайте ги и след това вижте дали реалността съвпада с това, което очаквате. Ако (или когато) не стане, ще можете бързо да отделите това, което знаете, от това, което не знаете.


Може да се изкушите просто да влезете в своя рутер и да погледнете страницата му за състояние, за да видите какво е свързано, но все още не го правете. Освен ако не можете да идентифицирате всичко във вашата мрежа по неговия IP и MAC адрес, вие просто ще получите голям списък с неща - такъв, който включва всички натрапници или безплатни потребители. Първо направете физическа инвентаризация, след това преминете към цифровата.

Стъпка втора: Проучете мрежата си, за да видите кой е в нея

  Изображение за статия, озаглавена Как да докоснете вашата мрежа и да видите всичко, което се случва в нея
Екранна снимка: Алън Хенри

След като имате физическа карта на мрежата си и списък на всички ваши доверени устройства, е време да започнете да копаете. Влезте в своя рутер и проверете списъка му със свързани устройства. Това ще ви даде основен списък с имена, IP адреси и MAC адреси. Не забравяйте, че списъкът с устройства на вашия рутер може или не може да ви покаже всичко. Трябва, но някои рутери ви показват само устройствата, които използват рутера за своя IP адрес. Така или иначе, дръжте този списък настрана - добре е, но искаме повече информация.


Изтеглете и инсталирайте Nmap

След това ще се обърнем към наш стар приятел Nmap . За тези, които не са запознати, Nmap е междуплатформен инструмент за мрежово сканиране с отворен код, който може да намери устройства във вашата мрежа, заедно с много подробности за тези устройства. Можете да видите операционната система, която използват, IP и MAC адреси и дори отворени портове и услуги. Изтеглете Nmap тук , Разгледайте тези ръководства за инсталиране да го настроите и следвайте тези инструкции за да откриете хостове във вашата домашна мрежа.

Една от възможностите е да инсталирате и стартирате Nmap от командния ред (ако искате графичен интерфейс, Zenmap обикновено идва с инсталатора). Сканирайте IP обхвата, който използвате за вашата домашна мрежа. Това разкри повечето от активните устройства в моята домашна мрежа, с изключение на няколко, на които имам подобрена защита (въпреки че те също бяха откриваеми с някои от командите на Nmap, които можете да намерите в връзката по-горе).


  Изображение за статия, озаглавена Как да докоснете вашата мрежа и да видите всичко, което се случва в нея
Екранна снимка: Алън Хенри

Сравнете списъка на Nmap със списъка на вашия рутер

Трябва да видите едни и същи неща и в двата списъка, освен ако нещо, което сте записали по-рано, не е изключено сега. Ако видите нещо на вашия рутер, което Nmap не е показало, опитайте да използвате Nmap срещу този IP адрес директно.

След това погледнете информацията, която Nmap намира за устройството. Ако твърди, че е Apple TV, вероятно не би трябвало да има работещи услуги като http, например. Ако изглежда странно, проучете го специално за повече информация.

Nmap е изключително мощен инструмент, но не е от най-лесните за използване. Ако сте малко срамежлив, имате някои други възможности. Ядосан IP скенер е друга помощна програма за различни платформи, която има добре изглеждащ и лесен за използване интерфейс, който ще ви даде много от същата информация. Наблюдател на безжична мрежа е помощна програма за Windows който сканира безжичните мрежи, към които сте свързани. Стъклена тел е друга страхотна опция, която ще ви уведомява, когато устройства се свързват или прекъсват връзката с вашата мрежа.

Стъпка трета: Подушете наоколо и вижте с кого говорят

Досега трябва да имате списък с устройства, които познавате и на които имате доверие, както и списък с устройства, които сте открили, свързани с вашата мрежа. С късмет, вие сте готови тук и всичко или съвпада, или се обяснява само по себе си (като телевизор, който в момента е изключен, например).


Ако обаче видите актьори, които не разпознавате, работещи услуги, които не съответстват на устройството (Защо моят Roku изпълнява postgresql?) или нещо друго не ви се струва, време е да подушите малко. Подухване на пакети, т.е.

Когато два компютъра комуникират във вашата мрежа или в интернет, те изпращат един на друг битове информация, наречени „пакети“. Взети заедно, тези пакети създават сложни потоци от данни, които съставляват видеоклиповете, които гледаме, или документите, които изтегляме. Снифингът на пакети е процес на улавяне и изследване на тези битове информация, за да се види къде отиват и какво съдържат.

Инсталирайте Wireshark

За да направим това, ще ни трябва Wireshark . Това е междуплатформен инструмент за наблюдение на мрежата, който използвахме, за да направим малко пакетно снифване нашето ръководство за надушване на пароли и бисквитки . В този случай ще го използваме по подобен начин, но целта ни не е да уловим нищо конкретно, а само да наблюдаваме какви типове трафик се движат в мрежата.

За да направите това, ще трябва да стартирате Wireshark през wifi в „ безразборен режим .” Това означава, че не просто търси пакети, насочващи се към или от компютъра ви – то събира всички пакети, които може да види във вашата мрежа.

Следвайте тези стъпки, за да настроите:

  • Изтеглете и инсталирайте Wireshark
  • Изберете своя wifi адаптер.
  • Щракнете върху Заснемане > Опции - и както можете да видите във видеото по-горе (с любезното съдействие на хората от Hak5 ), можете да изберете „Capture all in promiscuous mode“ за този адаптер.

Сега можете да започнете да улавяте пакети. Когато започнете заснемането, ще получите много информация. За щастие Wireshark предвижда това и улеснява филтрирането.

  Изображение за статия, озаглавена Как да докоснете вашата мрежа и да видите всичко, което се случва в нея
Екранна снимка: Алън Хенри

Тъй като просто търсим да видим какво правят подозрителните участници във вашата мрежа, уверете се, че въпросната система е онлайн. Продължете и уловете трафик за няколко минути. След това можете да филтрирате този трафик въз основа на IP адреса на това устройство, като използвате вградените филтри на Wireshark.

Правейки това, ви дава бърз преглед на това с кого говори този IP адрес и каква информация изпращат напред-назад. Можете да щракнете с десния бутон върху някой от тези пакети, за да го проверите, да проследите разговора между двата края и да филтрирате цялото заснемане по IP или разговор. За повече вижте Wireshark’s подробни инструкции за филтриране .

Може да не знаете какво гледате (все още), но тук идва малко търсене.

Анализирайте схематична дейност

Ако видите този подозрителен компютър да говори със странен IP адрес, използвайте nslookup команда (в командния ред в Windows или в терминал в OS X или Linux), за да получите името на хоста. Това може да ви каже много за местоположението или вида на мрежата, към която се свързва вашият компютър. Wireshark също ви казва използваните портове, така че Google намерете номера на порта и вижте кои приложения го използват.

Ако, например, имате компютър, който се свързва със странно име на хост през портове, често използвани за IRC или прехвърляне на файлове, може да имате нарушител. Разбира се, ако установите, че устройството се свързва с реномирани услуги през често използвани портове за неща като имейл или HTTP/HTTPS, може току-що да сте се натъкнали на таблет, който вашият съквартирант никога не ви е казал, че притежава, или някой съсед да ви е откраднал wifi. Така или иначе ще разполагате с необходимите данни, за да го разберете сами.

Четвърта стъпка: Играйте дългата игра и запишете своите уловки

  Изображение за статия, озаглавена Как да докоснете вашата мрежа и да видите всичко, което се случва в нея
Екранна снимка: Алън Хенри

Разбира се, не всеки лош актьор във вашата мрежа ще бъде онлайн и ще избяга, докато го търсите. До този момент сме ви научили как да проверявате за свързани устройства, да ги сканирате, за да идентифицирате кои са в действителност, и след това да подушите малко от трафика им, за да сте сигурни, че всичко е над борда. Но какво правите, ако подозрителният компютър върши мръсната си работа през нощта, когато спите, или някой изпие вашия wifi, когато сте на работа цял ден и не сте наоколо, за да проверите?

Използвайте софтуер за наблюдение на мрежата

Има няколко начина да се справите с това. Единият вариант е да използвате програма като Стъклена тел , които споменахме по-рано. Този софтуер ще ви предупреди, когато някой е свързан към вашата мрежа. Когато се събудите сутрин или се приберете от работа, можете да видите какво се е случило, докато не сте гледали.

Проверете дневника на вашия рутер

Следващата ви опция е да използвате възможностите за регистриране на вашия рутер. Заровен дълбоко в опциите за отстраняване на неизправности или защита на вашия рутер обикновено е раздел, посветен на регистриране. Колко можете да регистрирате и какъв вид информация варира в зависимост от рутера, но опциите могат да включват входящ IP адрес, номер на дестинационен порт, изходящ IP или URL адрес, филтриран от устройството във вашата мрежа, вътрешен IP адрес и техния MAC адрес и кои устройства във вашата мрежата са се регистрирали с рутера чрез DHCP за техния IP адрес (и, чрез прокси, които не са.) Това е доста стабилно и колкото по-дълго оставите журналите да работят, толкова повече информация можете да уловите.

Персонализиран фърмуер като DD-WRT и Tomato (и двата от които ние ви показахме как да инсталирате ) ви позволяват да наблюдавате и регистрирате честотната лента и свързаните устройства толкова дълго, колкото желаете, и дори можете да изхвърлите тази информация в текстов файл, който можете да прегледате по-късно. В зависимост от това как сте настроили вашия рутер, той може дори да ви изпраща редовно този файл по имейл или да го пусне на външен твърд диск или NAS.

Така или иначе, използването на често пренебрегваната функция за регистриране на вашия рутер е чудесен начин да видите дали например след полунощ и всички са си легнали, компютърът ви за игри внезапно започва да работи и да предава много изходящи данни или имате обикновена пиявица който обича да скача на вашата wifi и да започва да тегли торенти в нечетни часове.

Поддържайте Wireshark работещ

Вашата последна опция и нещо като ядрена опция е просто да оставите Wireshark да заснема за часове или дни. Не е нечувано и много мрежови администратори го правят, когато наистина анализират странно мрежово поведение. Това е чудесен начин да забележите лоши актьори или бъбриви устройства. Това обаче изисква да оставите компютъра включен в продължение на векове, постоянно да надушвате пакети във вашата мрежа, да улавяте всичко, което минава през нея, и тези регистрационни файлове могат да заемат доста място. Можете да намалите нещата, като филтрирате заснеманията по IP или тип трафик, но ако не сте сигурни какво търсите, ще имате много данни за пресяване, когато разглеждате заснемане дори над няколко часа. Все пак определено ще ви каже всичко, което трябва да знаете.

Във всички тези случаи, след като регистрирате достатъчно данни, ще можете да разберете кой използва вашата мрежа, кога и дали тяхното устройство съвпада с мрежовата карта, която сте направили по-рано.

Стъпка пета: Заключете вашата мрежа

Ако сте следвали дотук, вие сте идентифицирали устройствата, които трябва да могат да се свързват с вашата домашна мрежа, тези, които действително се свързват, идентифицирали сте разликите и, надяваме се, сте разбрали дали има лоши актьори, неочаквани устройства, или пиявици, които висят наоколо. Сега всичко, което трябва да направите, е да се справите с тях и изненадващо, това е лесната част.

Wifi пиявиците ще се заредят веднага след вас заключете вашия рутер . Преди да направите нещо друго, променете паролата на вашия рутер и изключете WPS, ако е включен. Ако някой е успял да влезе директно във вашия рутер, не искате да променяте други неща, само за да го накарате да влезе и да си възвърне достъпа. Уверете се, че използвате добра, силна парола, която е трудна за груба сила.

След това проверете за актуализации на фърмуера. Ако вашата пиявица е използвала експлойт или уязвимост във фърмуера на вашия рутер, това ще ги предпази – разбира се, ако експлойтът е бил коригиран. И накрая, уверете се, че вашият безжичен защитен режим е настроен на WPA2 (защото WPA и WEP са много лесен за кракване ) и променете паролата си за wifi с друга добра, дълга парола, която не може да бъде наложена грубо. Тогава единствените устройства, които трябва да могат да се свържат отново, са тези, на които давате новата парола.

Това трябва да се погрижи за всеки, който изтегля вашата wifi и извършва всичките си изтегляния във вашата мрежа, вместо в своята. Това ще помогне и за кабелната сигурност. Ако можете, трябва също да вземете няколко допълнителни стъпки за безжична сигурност , като например изключване на отдалечено администриране или деактивиране на UPnP.

Имате какво да потърсите за лоши актьори на вашите кабелни компютри. Ако всъщност е физическо устройство, то трябва да има директна връзка с вашия рутер. Започнете да проследявате кабелите и да говорите със съквартирантите или семейството си, за да видите какво става. В най-лошия случай винаги можете да влезете отново във вашия рутер и да блокирате напълно този подозрителен IP адрес. Собственикът на този приемник или тихо включен компютър ще се появи доста бързо, когато спре да работи.

  Изображение за статия, озаглавена Как да докоснете вашата мрежа и да видите всичко, което се случва в нея
Екранна снимка: Алън Хенри

По-голямото притеснение тук обаче са компрометираните компютри. Десктоп, който е бил отвлечен и присъединен към ботнет за еднонощно копаене на биткойн, например, или машина, заразена със злонамерен софтуер, който се обажда у дома и изпраща личната ви информация кой знае къде, може да бъде лошо.

След като стесните търсенето си до конкретни компютри, е време да откриете къде се крие проблемът на всяка машина. Ако наистина се притеснявате, вземете подхода на инженера по сигурността към проблема: След като вашите машини бъдат притежавани, те вече не са надеждни. Издухайте ги, преинсталирайте и възстановете от резервните си копия. ( Имате резервни копия на вашите данни, нали ?) Просто се уверете, че държите под око компютъра си – не искате да възстановявате от заразен архив и да започнете процеса отначало.

Ако сте готови да запретнете ръкави, можете да си вземете солидна антивирусна програма и скенер при поискване срещу зловреден софтуер ( да, ще ви трябват и двете ) и опитайте да почистите въпросния компютър. Ако видите трафик за конкретен тип приложение, вижте дали не е злонамерен софтуер или просто нещо, инсталирано от някой, което се държи лошо. Продължавайте да сканирате, докато всичко стане чисто, и продължавайте да проверявате трафика от този компютър, за да сте сигурни, че всичко е наред.

Тук само надраскахме повърхността, когато става въпрос за наблюдение и сигурност на мрежата. Има тонове специфични инструменти и методи, които експертите използват, за да осигурят своите мрежи, но тези стъпки ще работят за вас, ако сте мрежовият администратор за вашия дом и семейство.

Изкореняването на подозрителни устройства или пиявици във вашата мрежа може да бъде дълъг процес, който изисква следене и бдителност. Все пак не се опитваме да предизвикаме параноя. Шансовете са, че няма да намерите нищо необичайно, а тези бавни изтегляния или скапаните скорости на wifi са нещо съвсем друго. Въпреки това е добре да знаете как да изследвате мрежа и какво да правите, ако намерите нещо непознато. Само не забравяйте да използвате силите си за добро.

Тази история първоначално беше публикувана през октомври 2014 г. и беше актуализирана през октомври 2019 г. с актуална информация и ресурси. Актуализирано на 3/3/22 с нови подробности.