Kako vidjeti tko je spojen na računalo

Posted by on srp. 16, 2013 in Mreža, Mrežna sigurnost

Postoje različite komande kao što je netstat i alati za kontrolu podataka kao što je Wireshark ali testirajući alat koji se zove Network Miner (služi u forenzičke svrhe kod mnogih) koji je mnogo jednostavniji za korištenje od Wireshark alata mislim da može sasvim dobro obaviti posao u kontroli mrežnog prometa unutra i vanka.

Zbog toga što kod mnogih korisnika računala postoji samo antivirus a kod rijetkih i firewall, pregled sistema ponekad preko raznih IP adresa i portova je potreban čak i kada imate firewall uključen. Mnogi Cyber napadači koriste metode brisanja log datoteka tako da ih se ne može otkriti. Upravo Network Miner u nekoj korporaciji ili vašem domu može biti vrlo koristan. Za koristiti ovaj program nije potrebno veliko znanje pa ako i ne znate što kojem portu pripada uvijek možete pitati Google tipa “137 port”.

Da bude demonstracija još bolja stavio sam nekoliko screen shotova i objasniti ću neke od pojmova portova i ip adresa.

 

Nakon što sam izabrao svoju wireless karticu i da mi prikaže sav promet koji ide kroz nju pritisnuo sam start i pokrenulo je snifanje prometa.

Pod hosts su sve ip adrese gdje je računalo bilo spojeno i gdje je sve slalo promet od pokretanja starta.

Kao što vidimo multicast i broadcast ćemo ignorirati jer služe za pronalaženje adresa u mreži.

Zbog toga što imam drugo računalo na istoj mreži i aktivan mi je file i printer sharing i točno vidimo komunikaciju između 2 računala preko 137 porta no ovoj mašini gdje snifamo promet.

Ako slučajno vidite neku ip adresu koja vam je sumnjiva možete vidjeti na whois.net kome adresa pripada. Google npr. koristi port 443 gdje šalje svoju komunikaciju preko mreže na svoj server pa ako ste spojeni na neki od njegovih servisa kao što je Gmail onda će vam biti i prikazan port 443. Port 443 je enkripcijski port koji sakrvia sve podatke koji prolaze kroz njega tako da nije moguće vidjeti koji promet se prenosi.

 

Na drugoj slici je “Sessions” odnosno što je u tom trenutku spojeno na računalo pa kao što vidimo iz prethodnog gore navedenog članka radi se o SMB prometu između 2 računala koji ćemo zanemariti iako bi po preporuci mnogih trebalo isključiti taj servis zbog raznih propusta koji su se prije znali događati.

Na slici broj 3 je moje pokretanje Mozzile Firefox i trenutnih spajanja pod “sessions” pa možemo vidjeti npr. Google.hr i ostale sajtove koje koristim kao pluginove.

 

 

 

 

 

Leave a Reply

Vaša adresa e-pošte neće biti objavljena. Nužna polja su označena s *