Detectar computador que faz varredura de porta

2

Eu tenho cerca de 15 computadores em uma rede local por trás do simples roteador TP-LINK TL-WR340G. Tudo funciona bem e o roteador faz o seu trabalho.

Recentemente, fomos informados de que a varredura de portas está sendo realizada dentro de nossa rede.

Como posso detectar qual computador está fazendo a varredura de portas?

Estou usando o Win XP e sou Linux. Instruções simples e passo a passo seriam ótimas.

Informações adicionais:

  1. TL-WR340G é um roteador muito básico - eu não encontrei nenhum log útil.
  2. A rede é sem fio.

Informação adicional 2010-07-06:

Consegui gravar o backtrack-linux. Meu notebook é o SL300 com Intel 5100. A execução do Wireshark no wlan0 mostra apenas o tráfego de / para o meu computador e as transmissões. O mesmo com outras ferramentas. Eu coloquei meu cartão no modo monitor com algum script airmon-ng. Eu recebi alguns pacotes de controle no mon0 depois disso. Consegui decifrá-lo com chave WEP com o Wireshark, mas não consegui interpretá-lo como IP para análise posterior. Não tenho certeza se recebi tráfego total ou apenas meu caderno de anotações.

É possível farejar todo o tráfego de Wi-Fi e convertê-lo em IP para análise posterior?

    
por agsamek 06.07.2010 / 13:18

6 respostas

3

Esta é uma ideia meio louca e envolveria algum tempo de inatividade da rede, mas parece que suas opções são limitadas pelo seu gateway barato, sem nenhuma maneira de ver o que está sendo NAT.

Altere o endereço IP do seu gateway para outra coisa e, em seguida, desative o DHCP para impedir que as máquinas encontrem novo endereço de gateway. Inicialize uma máquina executando ethereal / wireshark assumindo o endereço IP antigo do seu gateway.

A máquina ofensora deve aparecer como luzes de natal, agora que a máquina que está fazendo o pacote farejando IS o gateway!

    
por 06.07.2010 / 18:12
2

Você deve verificar o log NAT do seu roteador para que, se alguém do mundo externo lhe fornecer portas de origem e hora da verificação da porta, você possa verificar os logs do roteador para encontrar o computador interno correspondente. Se o seu roteador não puder manter o log NAT, você provavelmente desejará comprar um novo, pois olhar os logs é realmente a única maneira de ter um resultado 100% bom

    
por 06.07.2010 / 13:27
2

Você pode usar wireshark para monitorar pacotes de rede de entrada e procurar comportamento anormal (ARP "quem tem" apenas solicitações servidores de DNS devem fazer muito isso.

A mesma coisa pode ser feita com o tcpdump:

tcpdump -l -n arp | egrep 'arp who-has' | head -100 | awk '{ print $NF }' |sort | uniq -c | sort -n
    
por 06.07.2010 / 13:46
2

Imagine que a digitalização está ocorrendo de forma contínua:

  • Conecte um laptop ou selecione uma estação na mesma LAN em que os computadores estão.
  • Inicie um software gráfico para assistir pacotes, como INAV ou etherape ou rumint
  • Cuidado com o host fazendo conexões em muitos portes

Por outro lado, se houver apenas varredura em determinados períodos, você poderá instalar o snort e aguardar o evento 'varredura de portas' .

Exceto pelo etherape, acho que todas essas ferramentas são executadas no Windows. Se você não quiser mexer em instalá-los, tente um liveCD de segurança do Linux como backtrack .

Em qualquer caso, lembre-se de implementar regras externas no roteador para portas usadas conhecidas (por exemplo, 80, 443, etc.) para limitar as verificações.

    
por 06.07.2010 / 13:57
0

A partir de experiências anteriores, eu costumava ter firewalls de software que avisavam que outros computadores estavam usando o portscanning.

Eu também verifiquei o log do meu servidor ftp filezilla que me deu o IP de todos os computadores que me examinaram.

Você verificou os logs no roteador tl-wr340G?

    
por 06.07.2010 / 13:25
0

Você pode conectar um IDS como Snort em sua porta de monitoramento do switch, se houver. Acho que um pouco de googling vai te dar máquinas virtuais pré-configuradas com Snort e Base instaladas.

    
por 06.07.2010 / 18:55