У меня около 15 компьютеров в локальной сети за простым роутером TP-LINK TL-WR340G. Все работает нормально и роутер делает свое дело.
Недавно нам сообщили, что сканирование портов выполняется изнутри нашей сети.
Как я могу определить, какой компьютер выполняет сканирование портов?
Я использую Win XP и хорошо разбираюсь в Linux. Так что простые пошаговые инструкции были бы здорово.
Дополнительная информация:
Дополнительная информация 06.07.2010:
Я смог записать backtrack-linux. Мой ноутбук SL300 с Intel 5100. Запуск Wireshark на wlan0 показывает только трафик на / с моего компьютера и выполняет широковещательную передачу. То же самое и с другими инструментами. Я перевел свою карту в режим монитора с помощью какого-то скрипта airmon-ng. После этого я получил несколько пакетов управления на mon0. Мне удалось расшифровать его с помощью ключа WEP с помощью Wireshark, но я не смог интерпретировать его как IP для дальнейшего анализа. Я не уверен, получил ли я полный трафик или связанный только с моим ноутбуком.
Можно ли прослушать весь Wi-Fi трафик и преобразовать его в IP для дальнейшего анализа?
Это немного сумасшедшая идея, и она может повлечь за собой некоторое время простоя сети, но похоже, что ваши возможности ограничены вашим дешевым шлюзом, без возможности увидеть, что используется NAT.
Измените IP-адрес своего шлюза на другой, затем отключите DHCP, чтобы никакие машины не узнали новый адрес шлюза. Загрузите машину, на которой запущен ethereal / wirehark, взяв на себя старый IP-адрес вашего шлюза.
Машина-нарушитель должна загореться, как рождественские огни, теперь, когда машина обнюхивает пакеты ЯВЛЯЕТСЯ шлюз!
Представьте, что сканирование идет с постоянной скоростью:
С другой стороны, если сканирование выполняется только в определенные периоды, вы можете установить фырканье и дождитесь события «сканирование порта».
За исключением etherape, я думаю, что все эти инструменты работают в Windows. Если вы не хотите возиться с их установкой, вы можете попробовать liveCD для безопасности Linux, например отступать.
В любом случае не забудьте реализовать внешние правила на маршрутизаторе для известных используемых портов (например, 80, 443 и т. Д.), Чтобы ограничить сканирование.
Вы могли бы использовать WireShark для мониторинга входящих сетевых пакетов и поиска аномального поведения (ARP-запросы типа «у кого есть» - только DNS-серверы должны делать это много).
То же самое можно сделать с помощью tcpdump:
tcpdump -l -n arp | egrep 'arp who-has' | head -100 | awk '{ print $NF }' |sort | uniq -c | sort -n
Вы должны проверить журнал NAT вашего маршрутизатора, чтобы, если кто-то из внешнего мира предоставит вам исходные порты и время сканирования портов, вы можете проверить журналы своего маршрутизатора, чтобы найти соответствующий внутренний компьютер.
Если ваш маршрутизатор не может вести журнал NAT, вы, вероятно, захотите купить новый, потому что просмотр журналов - действительно единственный способ получить 100% хороший результат.
Исходя из предыдущего опыта, у меня были программные брандмауэры, которые предупреждали меня о том, что другие компьютеры сканируют порты.
Я также проверил журнал своего ftp-сервера filezilla, который дал мне IP-адрес каждого компьютера, который меня просканировал.
Вы проверили логи на роутере tl-wr340G?
Вы можете подключить IDS, например Фырканье на порт мониторинга коммутатора, если таковой имеется. Я думаю, что небольшой поиск в Google даст вам предварительно сконфигурированные виртуальные машины с установленными Snort и Base.