Як отримати доступ до вашої мережі та побачити все, що в ній відбувається

Ваша домашня мережа — і все, що до неї підключено — схоже на сховище. За вашим логіном ховається безліч цінної інформації, від незашифрованих файлів, що містять особисті дані, до пристроїв, які можна зламати та використовувати з будь-якою метою. У цій публікації ми покажемо вам, як скласти карту вашої мережі, зазирнути під ковдру, щоб побачити, хто з чим розмовляє, і як виявити, що пристрої чи процеси можуть завантажувати пропускну здатність (або є неочікуваними гостями у вашій мережі) .

Коротко: ви зможете розпізнати ознаки того, що щось у вашій мережі зламано. Ми припустимо, що ви знайомі з деякими основами роботи в мережі, наприклад, як знайти список пристроїв вашого маршрутизатора та що таке MAC-адреса. Якщо ні, переходьте до нашого Вечірня школа Know Your Network спочатку почистити.

Але перш ніж ми підемо далі, ми маємо зробити попередження: використовуйте ці повноваження назавжди та запускайте ці інструменти та команди лише на обладнанні чи мережах, якими ви володієте чи керуєте. Вашому доброзичливому ІТ-відділу не сподобається, щоб ви сканували порти або перехоплювали пакети в корпоративній мережі, як і всім людям у вашій місцевій кав’ярні.

Крок перший: Створіть карту мережі

Ще до того, як увійти до свого комп’ютера, запишіть те, що, на вашу думку, ви знаєте про свою мережу. Почніть з аркуша паперу та запишіть усі підключені пристрої. Це стосується таких речей, як смарт-телевізори, розумні колонки, ноутбуки та комп’ютери, планшети та телефони чи будь-які інші пристрої, які можуть бути підключені до вашої мережі. Якщо це допоможе, намалюйте покімнатну карту вашого дому. Потім запишіть кожен пристрій і місце його проживання. Ви можете бути здивовані тим, скільки пристроїв ви підключили до Інтернету одночасно.

Мережні адміністратори та інженери впізнають цей крок — це перший крок у дослідженні будь-якої мережі, з якою ви не знайомі. Проведіть інвентаризацію пристроїв на ньому, ідентифікуйте їх, а потім подивіться, чи реальність збігається з тим, що ви очікуєте. Якщо (або коли) цього не станеться, ви зможете швидко відокремити те, що знаєте, від того, чого не знаєте.

У вас може виникнути спокуса просто увійти до свого маршрутизатора та переглянути його сторінку стану, щоб побачити, що підключено, але поки що не робіть цього. Якщо ви не зможете ідентифікувати все у своїй мережі за його IP- та MAC-адресою, ви отримаєте великий список речей, включаючи будь-яких зловмисників або халявників. Спочатку проведіть фізичну інвентаризацію, а потім перейдіть до цифрової.

Крок другий: перевірте свою мережу, щоб дізнатися, хто в ній є

Коли у вас є фізична карта вашої мережі та список усіх ваших довірених пристроїв, настав час копати. Увійдіть у маршрутизатор і перевірте список підключених пристроїв. Це дасть вам базовий список імен, IP-адрес і MAC-адрес. Пам’ятайте, що список пристроїв вашого маршрутизатора може відображати або не відображати все. Це повинно бути, але деякі маршрутизатори показують лише пристрої, які використовують маршрутизатор як свою IP-адресу. У будь-якому випадку, тримайте цей список осторонь — це добре, але нам потрібна додаткова інформація.

Завантажте та встановіть Nmap

Далі ми звернемося до наш старий друг Nmap . Для тих, хто не знайомий, Nmap — це міжплатформний інструмент мережевого сканування з відкритим вихідним кодом, який може знаходити пристрої у вашій мережі разом із безліччю деталей про ці пристрої. Ви можете побачити операційну систему, яку вони використовують, IP- та MAC-адреси та навіть відкриті порти та служби. Завантажте Nmap тут , перевірити ці посібники зі встановлення щоб налаштувати його, і дотримуйтеся цих інструкцій щоб виявити хости у вашій домашній мережі.

Одним із варіантів є встановлення та запуск Nmap із командного рядка (якщо вам потрібен графічний інтерфейс, Zenmap зазвичай поставляється з інсталятором). Проскануйте діапазон IP-адрес, який ви використовуєте для домашньої мережі. Це виявило більшість активних пристроїв у моїй домашній мережі, за винятком кількох, на яких я використовую посилений захист (хоча їх також можна виявити за допомогою деяких команд Nmap, які ви можете знайти за посиланням вище).

Порівняйте список Nmap зі списком вашого маршрутизатора

Ви маєте побачити однакові елементи в обох списках, якщо щось, що ви записали раніше, зараз не вимкнено. Якщо ви бачите щось на своєму маршрутизаторі, що Nmap не виявив, спробуйте використовувати Nmap безпосередньо для цієї IP-адреси.

Потім перегляньте інформацію, яку Nmap знаходить про пристрій. Якщо він претендує на те, щоб бути Apple TV, він, ймовірно, не повинен мати такі служби, як http. Якщо це виглядає дивно, перевірте його спеціально для отримання додаткової інформації.

Nmap — надзвичайно потужний інструмент, але не найпростіший у використанні. Якщо ви трохи соромитеся, у вас є інші варіанти. Angry IP Scanner це ще одна міжплатформна утиліта, яка має гарний і простий у використанні інтерфейс, який надасть вам багато тієї самої інформації. Спостерігач за бездротовою мережею є утиліта Windows який сканує бездротові мережі, до яких ви підключені. Склодрот є ще одним чудовим варіантом, який сповіщатиме вас, коли пристрої підключатимуться або від’єднуватимуться від вашої мережі.

Крок третій: обнюхайте навколо себе та подивіться, з ким кожен розмовляє

На даний момент у вас має бути список пристроїв, які ви знаєте та яким довіряєте, а також список пристроїв, які ви виявили підключеними до вашої мережі. Якщо пощастить, ви закінчите тут, і все або збігається, або зрозуміло (наприклад, телевізор, який зараз вимкнено).

Однак якщо ви бачите незнайомих акторів, запущені служби, які не відповідають пристрою (чому на моєму Roku запущено postgresql?) або щось інше здається несправним, настав час трохи понюхати. Перехоплення пакетів, тобто.

Коли два комп’ютери спілкуються у вашій мережі чи через Інтернет, вони надсилають один одному фрагменти інформації, які називаються «пакетами». Зібрані разом, ці пакети створюють складні потоки даних, які складають відео, які ми переглядаємо, або документи, які ми завантажуємо. Сніфінг пакетів — це процес захоплення та вивчення цих бітів інформації, щоб побачити, куди вони йдуть і що містять.

Встановіть Wireshark

Для цього нам знадобиться Wireshark . Це міжплатформний інструмент моніторингу мережі, який ми використовували для невеликого аналізу пакетів наш посібник із розпізнавання паролів і файлів cookie . У цьому випадку ми будемо використовувати його подібним чином, але наша мета полягає не в тому, щоб зафіксувати щось конкретне, а просто відстежувати, які типи трафіку проходять по мережі.

Для цього вам потрібно буде запустити Wireshark через Wi-Fi у « безладний режим .” Це означає, що він не просто шукає пакети, що прямують до або з вашого комп’ютера – він збирає будь-які пакети, які може побачити у вашій мережі.

Виконайте такі кроки, щоб налаштувати:

• Завантажте та встановіть Wireshark
• Виберіть адаптер Wi-Fi.
• Натисніть «Зйомка» > «Параметри» — і, як ви бачите на відео вище (люб’язно надано людьми з Hak5 ), для цього адаптера можна вибрати «Захопити все в безладному режимі».

Тепер можна починати захоплення пакетів. Коли ви починаєте захоплення, ви отримаєте багато інформації. На щастя, Wireshark передбачає це та дозволяє легко фільтрувати.

Оскільки ми лише дивимося, що роблять підозрілі учасники вашої мережі, переконайтеся, що відповідна система підключена до мережі. Захоплюйте трафік за кілька хвилин. Потім ви можете відфільтрувати цей трафік на основі IP-адреси цього пристрою за допомогою вбудованих фільтрів Wireshark.

Це дає змогу швидко побачити, з ким ця IP-адреса спілкується та яку інформацію вони надсилають туди й назад. Ви можете клацнути правою кнопкою миші на будь-якому з цих пакетів, щоб перевірити його, стежити за розмовою між обома сторонами та відфільтрувати весь запис за IP-адресою чи розмовою. Щоб дізнатися більше, відвідайте Wireshark детальна інструкція фільтрації .

Можливо, ви (поки що) не знаєте, на що дивитеся, але ось де трохи підшукуєте.

Проаналізуйте схематичну діяльність

Якщо ви бачите, що підозрілий комп’ютер спілкується з незнайомою IP-адресою, скористайтеся nslookup (у командному рядку в Windows або в терміналі в OS X або Linux), щоб отримати його ім’я хоста. Це може багато розповісти вам про розташування або тип мережі, до якої підключається ваш комп’ютер. Wireshark також повідомляє вам про використовувані порти, тож знайдіть номер порту в Google і подивіться, які програми його використовують.

Якщо, наприклад, ваш комп’ютер підключається до незнайомого імені хоста через порти, які часто використовуються для IRC або передачі файлів, можливо, у вас зловмисник. Звичайно, якщо ви виявите, що пристрій підключається до надійних служб через порти, які зазвичай використовуються для таких речей, як електронна пошта або HTTP/HTTPS, можливо, ви просто натрапили на планшет, який ваш сусід по кімнаті ніколи не казав вам, що він йому належить, або хтось із сусіднього будинку вкрав ваш Wi-Fi. У будь-якому випадку ви матимете дані, необхідні для того, щоб розібратися в цьому самостійно.

Крок четвертий: грайте в довгу гру та реєструйте свої захоплення

Звичайно, не всі погані актори у вашій мережі будуть онлайн і викидатимуться, поки ви їх шукатимете. До цього моменту ми навчили вас, як перевіряти наявність підключених пристроїв, сканувати їх, щоб визначити, хто вони насправді, а потім нюхати трохи їхнього трафіку, щоб переконатися, що все це непогано. Однак що робити, якщо підозрілий комп’ютер виконує свою брудну роботу вночі, коли ви спите, або хтось вилучає ваш Wi-Fi, коли ви цілий день на роботі, а не перевіряєте?

Використовуйте програмне забезпечення для моніторингу мережі

Є кілька способів вирішити цю проблему. Одним із варіантів є використання програми, як Склодрот , про який ми згадували раніше. Це програмне забезпечення сповістить вас, коли хтось під’єднається до вашої мережі. Коли ви прокидаєтеся вранці або повертаєтеся з роботи, ви можете побачити, що сталося, поки ви не дивилися.

Перевірте журнал маршрутизатора

Наступним варіантом є використання можливостей журналювання вашого маршрутизатора. Глибоко в параметрах усунення несправностей або безпеки маршрутизатора зазвичай є вкладка, призначена для журналювання. Скільки можна реєструвати та яка інформація залежить від маршрутизатора, але параметри можуть включати вхідну IP-адресу, номер порту призначення, вихідну IP-адресу або URL-адресу, відфільтровану пристроєм у вашій мережі, внутрішню IP-адресу та їхню MAC-адресу, а також пристрої на вашому мережі перевірили свою IP-адресу за допомогою маршрутизатора через DHCP (і через проксі, які цього не зробили). Це досить надійно, і чим довше ви залишаєте журнали відкритими, тим більше інформації ви можете отримати.

Спеціальна прошивка, як-от DD-WRT і Tomato (обидві ми вам показали як встановити ) дозволяють відстежувати та реєструвати пропускну здатність і під’єднані пристрої скільки завгодно довго, і навіть можуть скидати цю інформацію в текстовий файл, який можна переглянути пізніше. Залежно від того, як у вас налаштовано маршрутизатор, він може навіть регулярно надсилати вам цей файл електронною поштою або завантажувати його на зовнішній жорсткий диск або NAS.

У будь-якому випадку використання функції журналювання вашого маршрутизатора, яку часто ігнорують, є чудовим способом побачити, чи, наприклад, після півночі, коли всі пішли спати, ваш ігровий комп’ютер раптово починає працювати та передавати багато вихідних даних, або у вас звичайна п’явка хто любить підключитися до вашого Wi-Fi і почати завантажувати торренти у нестандартні години.

Продовжуйте працювати Wireshark

Ваш останній варіант, і на кшталт ядерного варіанту, це просто дозволити Wireshark знімати протягом годин або днів. Це нечувано, і багато мережевих адміністраторів роблять це, коли вони справді аналізують дивну поведінку мережі. Це чудовий спосіб виявити поганих акторів або балакучих пристроїв. Однак для цього потрібно залишати комп’ютер увімкненим протягом тривалого часу, постійно перехоплювати пакети у вашій мережі, фіксуючи все, що в ній проходить, і ці журнали можуть займати чимало місця. Ви можете скоротити ситуацію, відфільтрувавши захоплення за IP-адресою чи типом трафіку, але якщо ви не впевнені, що шукаєте, у вас буде багато даних для просіювання, коли ви переглядаєте захоплення навіть над кілька годин. Тим не менш, він точно розповість вам все, що вам потрібно знати.

У всіх цих випадках, коли ви зареєструєте достатньо даних, ви зможете дізнатися, хто використовує вашу мережу, коли та чи збігається їхній пристрій із картою мережі, яку ви створили раніше.

Крок п’ятий: заблокуйте мережу

Якщо ви йшли далі, ви визначили пристрої, які повинні мати можливість підключатися до вашої домашньої мережі, ті, які дійсно підключаються, визначили відмінності та, сподіваюся, з’ясували, чи є якісь зловмисники, несподівані пристрої, або п'явки, що висять навколо. Тепер все, що вам потрібно зробити, це впоратися з ними, і, як не дивно, це найпростіше.

П’явки Wi-Fi завантажаться, як тільки ви заблокувати маршрутизатор . Перш ніж робити щось інше, змініть пароль маршрутизатора та вимкніть WPS, якщо він увімкнено. Якщо комусь вдалося ввійти безпосередньо у ваш маршрутизатор, ви не хочете змінювати інші речі лише для того, щоб вони ввійшли та відновили доступ. Переконайтеся, що ви використовуєте хороший, надійний пароль, який важко змінити.

Далі перевірте наявність оновлень мікропрограми. Якщо ваша п’явка скористалася експлойтом або вразливістю у вбудованому програмному забезпеченні вашого маршрутизатора, це не дасть їм потрапити — звичайно, припускаючи, що експлойт було виправлено. Нарешті, переконайтеся, що для вашого бездротового режиму безпеки встановлено WPA2 (оскільки WPA та WEP є дуже легко зламати ) і змініть свій пароль Wi-Fi на інший хороший, довгий пароль, який не можна змінити грубим шляхом. Тоді єдині пристрої, які зможуть повторно підключитися, це ті, яким ви ввели новий пароль.

Це має подбати про тих, хто втрачає ваш Wi-Fi і виконує всі свої завантаження у вашій мережі замість своєї. Це також допоможе з дротовою безпекою. Якщо можете, ви також повинні взяти кілька додаткових заходів безпеки бездротового зв’язку , як-от вимкнути віддалене адміністрування або вимкнути UPnP.

У вас є чим зайнятися поганих акторів на ваших дротових комп’ютерах. Якщо це справді фізичний пристрій, він повинен мати пряме з’єднання з вашим маршрутизатором. Почніть відстежувати кабелі та розмовляйте зі своїми сусідами по кімнаті чи родиною, щоб дізнатися, що відбувається. У гіршому випадку ви завжди можете знову увійти в маршрутизатор і повністю заблокувати цю підозрілу IP-адресу. Власник цієї приставки або тихо підключеного комп’ютера прибіжить досить швидко, коли він перестане працювати.

Однак більше занепокоєння викликають зламані комп’ютери. Наприклад, комп’ютер, який було зламано та приєднано до ботнету для нічного видобутку біткойнів, або комп’ютер, заражений зловмисним програмним забезпеченням, який дзвонить додому та надсилає вашу особисту інформацію хтозна-куди, може бути поганим.

Коли ви звузите пошук до конкретних комп’ютерів, настав час виявити проблему на кожній машині. Якщо ви справді хвилюєтеся, скористайтеся підходом інженера безпеки до вирішення проблеми: коли ваші комп’ютери перебувають у власності, вони вже не заслуговують довіри. Здуйте їх, перевстановіть і відновіть із резервних копій. ( У вас є резервні копії ваших даних, чи не так ?) Просто переконайтеся, що ви стежите за своїм комп’ютером — ви ж не хочете відновлювати із зараженої резервної копії та починати процес заново.

Якщо ви готові засукати рукави, ви можете придбати надійну антивірусну програму та сканер на вимогу для захисту від шкідливих програм ( так, вам знадобляться обидва ) і спробуйте очистити відповідний комп’ютер. Якщо ви побачили трафік для певного типу програми, перевірте, чи це не зловмисне програмне забезпечення чи просто щось, встановлене кимось, що поводиться погано. Продовжуйте сканувати, доки все не виявиться чистим, і продовжуйте перевіряти трафік із цього комп’ютера, щоб переконатися, що все гаразд.

Ми лише торкнулися поверхні, коли справа доходить до моніторингу та безпеки мережі. Існує безліч спеціальних інструментів і методів, які експерти використовують для захисту своїх мереж, але ці кроки підійдуть вам, якщо ви є мережевим адміністратором свого дому та сім’ї.

Викорінення підозрілих пристроїв або п’явок у вашій мережі може бути тривалим процесом, який потребує розшуку та пильності. Тим не менш, ми не намагаємося викликати параною. Швидше за все, ви не знайдете нічого незвичайного, а ці повільні завантаження чи погана швидкість Wi-Fi – це щось зовсім інше. Незважаючи на це, корисно знати, як перевірити мережу та що робити, якщо ви знайдете щось незнайоме. Просто не забувайте використовувати свої сили на благо.

Ця історія була спочатку опублікована в жовтні 2014 року та була оновлена ​​в жовтні 2019 року поточною інформацією та ресурсами. Оновлено 3/3/22 з новими деталями.