Innehållsförteckning:
- Du kan använda ett av följande program för nätverksanalys:
- Du kan använda ett nätverks- eller värdbaserat verktyg för att avgöra om någon kör en obehörig nätverksanalysator på ditt nätverk:
Video: Hacking svenska - 6 - Hacka nätverk 2024
En nätverksanalysator är ett verktyg som låter dig titta på ett nätverk och förhindra hack genom att analysera data går över ledningen för nätverksoptimering, säkerhet och / eller felsökningsändamål. En nätverksanalysator är praktisk för sniffing paket på ledningen. Det fungerar genom att placera nätverkskortet i promiscuous-läge, som gör att kortet kan se all trafik på nätverket.
Nätverksanalysatorn utför följande funktioner:
-
Fångar all nätverkstrafik
-
Interpreterar eller avkodar vad som finns i ett läsbart format
-
Visar innehållet i kronologisk ordning > Vid bedömning av säkerhet och svar på säkerhetshändelser kan en nätverksanalysator hjälpa dig
- Utveckla en baslinje för nätverksaktivitet och prestanda, som protokoll i bruk, användartrender och MAC-adresser, innan en säkerhetshändelse inträffar.
-
När ditt nätverk beter sig felaktigt kan en nätverksanalysator hjälpa dig
Spåra och isolera skadlig nätverksanvändning
-
Upptäck skadliga trojanska hästapplikationer
-
Övervaka och spåra DoS-attacker
-
Nätverksanalysprogram
Du kan använda ett av följande program för nätverksanalys:
WildPackets OmniPeek
-
Det gör allt du behöver och mer och är mycket enkelt att använda. OmniPeek är tillgängligt för Windows operativsystem. TamoSoft's CommView
-
är ett billigt, Windows-baserat alternativ. Cain & Abel
-
är ett gratis multifunktionellt lösenordåterställningsverktyg för att utföra ARP-förgiftning, fånga paket, spricka lösenord och mer. Wireshark
-
, tidigare känd som eterisk, är ett fritt alternativ. Det är inte lika användarvänligt som de flesta kommersiella produkterna, men det är väldigt kraftfullt om du är villig att lära dig ins och outs. Wireshark är tillgängligt för både Windows och OS X. eftercap
-
är ett annat kraftfullt verktyg för att utföra nätverksanalys och mycket mer på Windows, Linux och andra operativsystem. Här är några försök att använda en nätverksanalysator:
För att fånga all trafik måste du ansluta analysatorn till något av följande:
-
Ett nav på nätverket
-
En bildskärm / spegel / spegel port på en switch
-
En omkopplare som du har utfört ARP-förgiftningsattack på
-
Om du vill se trafik som liknar vad en nätverksbaserad IPS ser ska du ansluta nätverksanalysatorn till en nav eller växla bildskärm port på utsidan av brandväggen. På så sätt kan din testning visa
-
-
Vad som kommer in i ditt nätverk
-
före brandfiltret eliminerar skräpstrafiken. Vad lämnar ditt nätverk
-
efter trafiken passerar genom brandväggen. Det kan vara en överväldigande mängd information, men du kan leta efter dessa problem först:
-
Odd trafik,
-
som: En ovanlig mängd ICMP-paket
-
Överdrivna mängder multicast eller sändningstrafik
-
Protokoll som inte är tillåtna enligt policy eller inte bör existera med din nuvarande nätverkskonfiguration
-
Användningsvanor,
-
-
som kan hjälpa till att peka på skadligt beteende hos en skurklig insider eller ett system som har äventyras, till exempel: Websurfning och sociala medier
-
E-post
-
Direktmeddelanden och annan P2P-programvara
-
Tvivelaktig användning,
-
-
som: Många förlorade eller överdimensionerade paket som indikerar hackning verktyg eller skadlig kod är närvarande
-
Förbrukning av hög bandbredd som kan peka på en webb- eller FTP-server som inte hör till
-
Verifieringsprober och systemprofilering från portskannrar och sårbarhetsbedömningsverktyg,
-
-
som en betydande mängd inkommande trafik från okända värdar - särskilt över hamnar som inte används mycket, s uch som FTP eller telnet. Hacking pågår,
-
som ton av inkommande UDP- eller ICMP-echo-förfrågningar, SYN-översvämningar eller överdriven sändningar. Icke-standardiserade värdnamn på ditt nätverk.
-
Om ditt system heter Computer1, Computer2 och så vidare, bör en dator med namnet GEEKz4evUR höja en röd flagga. Dolda servrar
-
som kan äta nätverksbandbredd, serverar olaglig programvara eller åtkomst till våra nätverkshanterare. Anfall på specifika applikationer
-
som visar sådana kommandon som / bin / rm, / bin / ls, echo och cmd. exe samt SQL-frågor och JavaScript-injektion. Om din nätverksanalysator tillåter det, konfigurerar du det för att använda en första in, först ut buffert.
-
Om din nätverksanalysator tillåter det, spela in hela trafiken i en inspelningsfil och spara den på hårddisken.
-
Detta är det ideala scenariot - speciellt om du har en stor hårddisk, till exempel 500 GB eller mer. När nätverkstrafik inte ser rätt ut i en nätverksanalysator är det förmodligen inte.
-
Det är bättre att vara säker än förlåt. Du kan kontrollera om
topptalarna är på nätverket. Om någon gör något ondskanigt i nätverket, till exempel att vara värd för en FTP-server eller att köra Internet-fildelningsprogram, är det ofta det enda sättet att få reda på det med hjälp av en nätverksanalysator. En nätverksanalysator är också ett bra verktyg för att upptäcka system som är smittade med skadlig kod, som virus eller trojansk häst. Att titta på din nätverksstatistik, som byte per sekund, nätverksutnyttjande och inkommande / utgående paketräkningar, är också ett bra sätt att avgöra om någonting fiskigt är på gång.
TamoSoft - skaparen av CommView - har en annan produkt som heter NetResident som kan spåra användningen av välkända protokoll, som HTTP, e-post, FTP och VoIP. Du kan använda NetResident för att övervaka webbsessioner och spela dem tillbaka.
NetResident har också förmågan att utföra ARP-förgiftning, vilket gör att NetResident kan se allt på det lokala nätverkssegmentet.
Detektion av nätverksanalysator
Du kan använda ett nätverks- eller värdbaserat verktyg för att avgöra om någon kör en obehörig nätverksanalysator på ditt nätverk:
Sniffdet
-
för UNIX-baserade system PromiscDetect
-
för Windows Vissa IPS-enheter kan också upptäcka om en nätverksanalysator körs i ditt nätverk. Med dessa verktyg kan du övervaka nätverket för Ethernet-kort som körs i promiskuöst läge. Du laddar bara programmen på din dator och programmen varnar dig om de ser promiskuösa beteenden på nätverket (Sniffdet) eller lokalt system (PromiscDetect).