ポートスキャンを実行するコンピューターを検出する
単純なTP-LINKTL-WR340Gルーターの背後にあるローカルネットワーク上に約15台のコンピューターがあります。すべてが正常に機能し、ルーターがその役割を果たします。
最近、ネットワークの内部からポートスキャンが実行されていることが通知されました。
ポートスキャンを実行しているコンピューターを検出するにはどうすればよいですか?
私はWin XPを使用しており、Linuxの知識があります。したがって、簡単なステップバイステップの説明があれば素晴らしいでしょう。
追加情報:
- TL-WR340Gは非常に基本的なルーターです-有用なログは見つかりませんでした。
- ネットワークはワイヤレスです。
追加情報2010-07-06:
私はbacktrack-linuxを焼くことができました。私のノートブックはIntel5100を搭載したSL300です。wlan0でWiresharkを実行すると、コンピューターとの間のトラフィックとブロードキャストのみが表示されます。他のツールと同じです。いくつかのairmon-ngスクリプトを使用して、カードをモニターモードにしました。その後、mon0でいくつかのコントロールパッケージを受け取りました。 Wiresharkを使用してWEPキーで復号化することはできましたが、さらに分析するためにIPとして解釈することはできませんでした。トラフィックがいっぱいだったのか、ノートブックだけが関連したのかわかりません。
すべてのwifiトラフィックをスニッフィングし、さらに分析するためにIPに変換することは可能ですか?
これは少しおかしな考えであり、ネットワークのダウンタイムが発生しますが、オプションは安価なゲートウェイによって制限されており、NATされているものを確認する方法がないようです。
ゲートウェイのIPアドレスを別のアドレスに変更してから、DHCPを無効にして、マシンが新しいゲートウェイアドレスを見つけられないようにします。ゲートウェイの古いIPアドレスを引き継ぐEthereal/wiresharkを実行しているマシンを起動します。
パケットスニッフィングを実行しているマシンが[〜#〜] is [〜#〜]ゲートウェイであるため、問題のマシンはクリスマスライトのように表示されます。
ルーターのNATログを確認して、外部の誰かが送信元ポートとポートスキャンの時刻を教えてくれた場合に、ルーターのログを確認して、対応する内部コンピューターを見つけることができるようにする必要があります。
ルーターがNATログを保持できない場合は、ログを確認することが100%良好な結果を得る唯一の方法であるため、新しいログを購入することをお勧めします。
wireshark を使用して、着信ネットワークパケットを監視し、異常な動作を探すことができます(ARPの「whohas」タイプの要求-dnsサーバーのみがそれらを頻繁に実行する必要があります)。
Tcpdumpでも同じことができます。
tcpdump -l -n arp | egrep 'arp who-has' | head -100 | awk '{ print $NF }' |sort | uniq -c | sort -n
スキャンが継続的に行われていると想像してください。
- ラップトップを接続するか、コンピューターと同じLAN上のステーションを選択します。
- [〜#〜] inav [〜#〜] または etherape または rumint のように、グラフィカルソフトウェアを起動してパケットを監視します
- 多くのポートで接続を行っているホストを監視します
一方、特定の期間にのみスキャンがある場合は、 snort をインストールして、「ポートスキャン」イベントを待つことができます。
Etherapeを除いて、これらのツールはすべてWindows上で実行されると思います。それらのインストールを台無しにしたくない場合は、 backtrack のようなLinuxセキュリティliveCDを試すことができます。
いずれの場合も、スキャンを制限するために、ルーターに既知の使用済みポート(80、443など)への外部ルールを実装することを忘れないでください。
以前の経験から、他のコンピューターがポートスキャンしていることを警告するソフトウェアファイアウォールがありました。
また、スキャンしたすべてのコンピューターからIPを取得したfilezillaftpサーバーのログも確認しました。
Tl-wr340Gルーターのログを確認しましたか?
Snort のようなIDSをスイッチ監視ポートに接続できます(存在する場合)。少しグーグルすると、SnortとBaseがインストールされた事前構成済みの仮想マシンが得られると思います。