Como saber qual computador está tentando acessar um host específico

Question

Como saber qual computador está tentando acessar um host específico

#1 resposta do (1 votos)

0

No meu local de trabalho, costumamos pegar esses captchas irritantes de vez em quando quando tentamos pesquisar algo no Google.

Quando entramos nessa página, a nossa rede está tentando acessar o Google rapidamente e em várias ocasiões. Estamos suspeitando que há um computador que está infectado com algum tipo de vírus ou script que está sendo executado em segundo plano e tenta fazer algo com o Google ou outros hosts.

Eu queria saber qual ferramenta eu posso usar no Linux para descobrir o nó ruim na rede ou como posso começar a depurar esse problema.

networking malware

por VaTo 23.06.2015 / 07:22

1 resposta

Tags networking malware

Instalando uma versão diferente do php para um subdomínio sudo apt-get update não funciona no elementar os freya [closed]

score 1 · Accepted Answer

Eu provavelmente começaria usando o tcpdump para encontrar o culpado.

Se você tem um roteador que executa o linux (muitos deles o fazem), você pode executar o tcpdump diretamente no seu roteador.

Se não, você pode tentar executar o tcpdump (ou wireshark) em um PC que esteja na mesma rede do seu roteador. Isso nem sempre funciona porque os switches Ethernet nem sempre copiam todo o tráfego para todas as portas. Nesse caso, você teria que configurar uma máquina como roteador e colocá-la entre o roteador externo e a rede interna e, em seguida, executar o tcpdump nela.

Ou você pode encontrar um hub Ethernet antigo que não faz comutação. Eu tenho um antigo em meu kit para esse fim!

Uma vez que você tenha um lugar confiável, você pode ver o seu tráfego de rede que sai da sua rede e começar encontrando os endereços IP do google assim:

$ host google.com
google.com has address 74.125.21.100
google.com has address 74.125.21.113
google.com has address 74.125.21.138
google.com has address 74.125.21.139
google.com has address 74.125.21.101
google.com has address 74.125.21.102
google.com has IPv6 address 2607:f8b0:4002:c06::8b
google.com mail is handled by 40 alt3.aspmx.l.google.com.
google.com mail is handled by 20 alt1.aspmx.l.google.com.
google.com mail is handled by 30 alt2.aspmx.l.google.com.
google.com mail is handled by 50 alt4.aspmx.l.google.com.
google.com mail is handled by 10 aspmx.l.google.com.

Esses endereços 74.125.21.X podem ser diferentes do seu ponto de vista na rede. Para descobrir qual tráfego está atingindo esses endereços no tcpdump, use um comando como este:

tcpdump dst host 173.194.219.113 or dst host 173.194.219.139 or dst host 173.194.219.100 or dst host 173.194.219.138 or dst host 173.194.219.102 or dst host 173.194.219.101

Agora, sente-se e observe se consegue identificar um único host, atingindo mais o Google do que o outro.

Você pode querer descarregar a saída do tcpdump em um arquivo e usar alguns scripts para classificá-lo posteriormente. Salve o tcpdump em um tmp como este (substitua ... pela lista arg de cima):

tcpdump ... > /tmp/x

deixe isso funcionar por um tempo e ^ C it. Então use isso para descobrir quem são os maiores usuários do google:

awk '{ print $3 }' /tmp/x | uniq -c | sort -n

A parte complicada de tudo isso é obter uma máquina na qual você pode executar o tcpdump, que pode visualizar todo o tráfego de rede.