Posso dizer de “netstat” se alguém está bisbilhotando meu computador?

Navegue suas respostas
2

Eu tenho muitas perguntas. No entanto, para começar da maneira mais fácil e mais curta. Eu estou tentando descobrir por que quando eu digito cmd prompt netstat -a recebo uma infinidade de endereços IP e links que tenho quase certeza não estão certos ou corretos.

Ou talvez a espionagem do meu hub de rede de computadores / TI. Não tenho absolutamente nada a esconder e não consigo entender por que ele estaria preocupado. Com o nível de treinamento de segurança de rede, um "vazamento" na rede sem fio doméstica não faz sentido.

Então, eu quero descobrir se ele realmente está bisbilhotando. O que devo procurar para ser considerado; prejudicial ? O UDP é necessário?

Abaixo estão alguns: 

TCP    my ip address here:49372    server-205-251-203-249:80  ESTABLISHED
TCP   my ip:49388    star-01-02-lax1:80     ESTABLISHED
 TCP    :49443    r-199-59-148-16:443    TIME_WAIT
 TCP    :49448    209-18-46-66:80        ESTABLISHED
 TCP    :49449    a96-7-48-51:80         ESTABLISHED
 TCP    :49450    65.55.25.44:80         ESTABLISHED
 TCP    :49451    a96-7-48-64:80         ESTABLISHED
 TCP    :49454    65.55.184.15:443       ESTABLISHED
 TCP    :49455    TheTank:445            SYN_SENT
 TCP    :49456    TheTank:445            SYN_SENT
 TCP    :49457    TheTank:445            SYN_SENT
 TCP    :49458    TheTank:139            SYN_SENT
 TCP    :49459    android_f2f09956193035b1:9100  SYN_SENT
 TCP    :49460    dfw06s17-in-f7:443     ESTABLISHED

O engraçado é que ele acabou de comprar um telefone Android na semana passada (antes de termos o iPhone) e de repente eu vejo o ANDROID_F… acima na saída do comando.

    
por WIFI WIFE WONDERS 13.03.2013 / 04:49

3 respostas

6

O problema de como você está usando o netstat é que você está perdendo a informação digerível realmente

tente netstat -ba - isto lhe dará o nome do binário do programa usando a porta e o nome do host e a lhe dará todas as portas sendo usadas. Se você quiser endereços IP, use netstat -ban

Noto que os computadores são pequenas coisas faladas. Eles estão constantemente dizendo uns aos outros "Estou aqui" "Este é o meu endereço IP de volta!" e até conversando com eles mesmos (sério!). A menos que você saiba exatamente o que está procurando, há muito barulho.

    
por 13.03.2013 / 08:41
1

você está vendo tudo o que sua porta de rede vê. há muito mais acontecendo no nível de rede do que você espera.

a presença de "android_" significa simplesmente que o iphone está na rede ou foi conectado com a opção de amarração.

E minha filosofia enquanto estou no computador é agir como se alguém estivesse sempre assistindo. Dessa forma, você não se mete em nenhum problema (ou cobre seus rastros muito bem).

    
por 13.03.2013 / 07:24
0

Primeiro, atualize seu antivírus, inspecione quaisquer isenções de arquivos ou pastas e questione se encontrar algo que esteja isento de ser verificado e execute uma verificação completa. Então você pode restringir as coisas olhando as regras do seu firewall e ver se alguma coisa parece fora do lugar. Com base em se você identificar algo que parece fora de lugar, pesquise para ver se eles são legítimos ou não. Para ficar mais avançado se você não encontrar nada neste ponto, então você pode restringir o que inspecionar como uma captura de pacotes executando um Honeypot local. (É recomendado desabilitar ou até mesmo desinstalar qualquer aplicativo antivírus por causa de como eles pensam e agem.)

link

Em seguida, com base em suas descobertas de tráfego e no Google, o que você está vendo identifica alguma possível atividade suspeita.

Segundo, obtenha wireshark e faça uma captura de pacote e depois o dissipe com base em suas descobertas anteriores de possível atividade suspeita. Se isso for muito complexo, você pode simplesmente começar a criar regras de firewall para bloquear tudo o que encontrou anteriormente de executar um Honeypot e ver se alguma das regras foi magicamente desativada ou excluída por alguém e, em seguida, você saberia o culpado. Abaixo está um bom script que escrevi para exportar suas regras de firewall atuais de maneira fácil de ler e rastrear: 

cd\
mkdir "C:\Windows Firewall Configs"
cd "C:\Windows Firewall Configs"
netsh advfirewall firewall show rule name=all > "C:\Windows Firewall Configs\Firewall Rules Export-%computername%-%date:~4,2%-%date:~7,2%-%date:~-4%.txt"
netsh advfirewall export > "C:\Windows Firewall Configs\Firewall Rules Export-%computername%-%date:~4,2%-%date:~7,2%-%date:~-4%.wfw"

Isso criará 2 arquivos na pasta chamada "Configurações do Firewall do Windows" em sua unidade C. 

Firewall Rules Export-YourComputerName-MM-DD-YYYY.txt
Firewall Rules Export-YourComputerName-MM-DD-YYYY.wfw

Os arquivos txt são legíveis por humanos, enquanto o arquivo wfw é uma exportação / backup real das regras existentes do firewall do Windows. Se você precisar importar um backup anterior, execute: 

netsh advfirewall import "C:\Windows Firewall Configs\Firewall Rules Export-YourComputerName-MM-DD-YYYY.wfw"

Você poderia simplesmente copiar e colar tudo em um arquivo .CMD e usar o agendador de tarefas para agendar um backup diário e, com o tempo, determinar as alterações feitas usando algo livre como WinMerge para comparar dois arquivos e ver o que é diferente e chegar a uma conclusão com base nessa evidência.

    
por 08.04.2015 / 00:05

Tags

determina quando o arquivo não salvo do Bloco de notas foi criado Existe algum motivo sério para não usar símbolos em um endereço de e-mail?