Какие инструменты доступны, которые позволяют мне отслеживать, если кто-то использует анализатор портов на моем компьютере и / или отображать любые возможные попытки взлома? Я использую OneCare, но информация о брандмауэре довольно ограничена (AFAICT). Есть ли инструменты для загрузки, которые могли бы отслеживать любую подозрительную входящую активность?
Спасибо
Почти все маршрутизаторы имеют встроенный межсетевой экран, и, возможно, у вас он есть, поэтому почти все входящие сетевые атаки будут заблокированы, прежде чем ваш компьютер увидит их ... Таким образом, вы должны посмотреть в конфигурации маршрутизатора параметры и журналы ...
Если фактического маршрутизатора / настройки недостаточно, с микропрограммой dd-wrt вы можете получить почти все профессиональные функции маршрутизатора (например, расширенное ведение журнала) на домашнем маршрутизаторе (если он совместим и имеет достаточную мощность процессора и памяти). (OpenWRT и Tomato также являются популярной альтернативой, но имеют менее совместимое устройство и / или менее удобны для пользователя)
(Программное обеспечение на стороне сервера: встроенная служба SNMP для Windows Server - список серверов syslog для Windows в этом вопросе о сбое сервера - встроенный syslogd для Linux - или альтернативный демон: rsyslog / syslog-ng (в этом есть порт Windows, в пакетах Cygwin ))
Тем не менее, если ваша сеть частично / полностью открыта или ваш компьютер подключен напрямую, и для отслеживания исходящих подозрительных действий:
Comodo Internet Security - это хороший бесплатный брандмауэр, который позволяет регистрировать любые подходящие правила. (Online Free Armor & PC Tools Firewall Plus тоже получил хорошие отзывы, но я ими не пользуюсь и не знаю, как они могут регистрироваться)
(Он также содержит очень хорошую HIPS (основанную на хосте систему предотвращения вторжений), но если вы хотите выделенный продукт: Threatfire и Winpatrol имеют хорошую репутацию.)
Как было предложено qwertyKid, вы можете сделать шаг вперед с проверкой пакетов, и Wireshark , безусловно, является самым мощным инструментом для этого.
(Также неплохо использовать концентратор / интеллектуальный коммутатор для ретрансляции пакетов, чтобы проверить, что поступает в вашу сеть, но будьте осторожны, ретранслируйте пакеты только на нечувствительный и хорошо защищенный компьютер ...)
И поскольку люди являются самой слабой частью компьютерной безопасности, будьте осторожны в том, что вы делаете ...
Вы можете настроить wireshark на своем компьютере, который сможет сказать вам, какие пакеты приходят и уходят из вашей системы.
если вы хотите сделать это для всей сети, вам нужно будет использовать концентратор или интеллектуальный коммутатор, который позволяет физически подключаться к порту, к которому вы подключаетесь, а не только к заранее заданным (по MAC-адресу) адресатам к нему. ,
Решение, которое вы ищете, обычно известно как "Системы обнаружения вторжений" или IDS. Есть тонны и тонны этих инструментов там. Спросите на serverfault.com рекомендации IDS (или ищите, может быть, кто-то уже есть)
Если вы просто пытаетесь собрать статистику по таким вещам, вы можете запустить что-то вроде tinyhoneypot. Это будет контролировать любые порты в вашей системе, которые на самом деле не используются. Так что это будет выглядеть снаружи, как будто у вас открыты тонны вещей. Это просто приманка с низким уровнем взаимодействия. Если вы действительно верите в подобные вещи, я нахожу книгу "Виртуальные приманки" великолепной.
