2

У меня много вопросов. Однако начинать проще всего и в кратчайшие сроки. Я пытаюсь выяснить, почему, когда я набираю cmd prompt netstat -a я получаю множество IP-адресов и ссылок, которые, я почти уверен, не являются правильными или правильными.

Или, может быть, мой IT/ компьютерные сети муженек слежки. Мне абсолютно нечего скрывать, и я не могу понять, почему он будет обеспокоен. С его уровнем подготовки по сетевой безопасности "утечка" в моей домашней беспроводной сети не имеет смысла.

Итак, я хочу выяснить, действительно ли он подглядывает. Что я должен искать для рассмотрения; вредно? Нужен ли UDP?

Ниже приведены некоторые из них:

TCP    my ip address here:49372    server-205-251-203-249:80  ESTABLISHED
TCP   my ip:49388    star-01-02-lax1:80     ESTABLISHED
 TCP    :49443    r-199-59-148-16:443    TIME_WAIT
 TCP    :49448    209-18-46-66:80        ESTABLISHED
 TCP    :49449    a96-7-48-51:80         ESTABLISHED
 TCP    :49450    65.55.25.44:80         ESTABLISHED
 TCP    :49451    a96-7-48-64:80         ESTABLISHED
 TCP    :49454    65.55.184.15:443       ESTABLISHED
 TCP    :49455    TheTank:445            SYN_SENT
 TCP    :49456    TheTank:445            SYN_SENT
 TCP    :49457    TheTank:445            SYN_SENT
 TCP    :49458    TheTank:139            SYN_SENT
 TCP    :49459    android_f2f09956193035b1:9100  SYN_SENT
 TCP    :49460    dfw06s17-in-f7:443     ESTABLISHED

Забавно, что он только что купил телефон Android на прошлой неделе (до этого у нас были айфоны), и внезапно я вижу вышеприведенный ANDROID_F… в выводе команды.

3 ответа3

6

Проблема с использованием netstat заключается в том, что вы упускаете действительно усваиваемую информацию

попробуйте netstat -ba - это даст вам имя двоичного файла программы, используя порт и имя хоста, а a даст вам все используемые порты. Если вы хотите IP-адреса, используйте netstat -ban

Отмечу, что компьютеры - это болтливые мелочи. Они постоянно говорят друг другу "Я здесь" "Это мой IP-адрес НАЗАД!и даже разговаривали сами с собой (правда!). Если вы не ЗНАЕТЕ именно то, что ищете, слишком много шума.

1

вы смотрите на все, что видит ваш сетевой порт. на уровне сети происходит гораздо больше, чем вы ожидаете.

Присутствие "android_" просто означает, что iphone находится в сети или подключен с помощью опции привязки.

И моя философия на компьютере - вести себя так, как будто кто-то всегда смотрит. Таким образом, у вас не будет никаких проблем (или вы будете хорошо скрывать свои треки).

0

Сначала обновите антивирус, осмотрите все исключения файлов или папок и спросите, не нашли ли вы что-либо, что не подлежит проверке, а затем запустите полную проверку. Затем вы можете сузить кругозор, просмотрев правила брандмауэра и посмотреть, выглядит ли что-то неуместным. Основываясь на том, что если вы обнаружите что-то, что выглядит неуместно, то проведите исследование, чтобы выяснить, законно ли оно или нет. Если вы не нашли ничего на этом этапе, вы можете сузить круг проверок при захвате пакетов, запустив локальный Honeypot. (Рекомендуется отключить или даже удалить любые антивирусные приложения из-за того, как они думают и действуют.)

http://lmgtfy.com/?q=windows+honeypot

Затем, основываясь на ваших данных о трафике и поиске в Google, все, что вы видите, идентифицирует некоторую возможную подозрительную активность.

Во-вторых, возьмите wireshark и возьмите пакет, а затем проанализируйте его, основываясь на ваших предыдущих выводах о возможной подозрительной активности. Если это слишком сложно, вы можете просто начать создавать правила брандмауэра, чтобы заблокировать все, что вы обнаружили ранее, от запуска Honeypot и посмотреть, не было ли какое-либо волшебное правило кем-то отключено или удалено, и тогда вы узнаете виновника. Ниже приведен хороший сценарий, который я написал для экспорта ваших текущих правил брандмауэра отслеживаемым и легко читаемым способом:

cd\
mkdir "C:\Windows Firewall Configs"
cd "C:\Windows Firewall Configs"
netsh advfirewall firewall show rule name=all > "C:\Windows Firewall Configs\Firewall Rules Export-%computername%-%date:~4,2%-%date:~7,2%-%date:~-4%.txt"
netsh advfirewall export > "C:\Windows Firewall Configs\Firewall Rules Export-%computername%-%date:~4,2%-%date:~7,2%-%date:~-4%.wfw"

Это создаст 2 файла в папке с именем "Конфигурации брандмауэра Windows" на диске C.

Firewall Rules Export-YourComputerName-MM-DD-YYYY.txt
Firewall Rules Export-YourComputerName-MM-DD-YYYY.wfw

TXT-файлы доступны для чтения человеком, в то время как WFW-файл является фактическим экспортом / резервным копированием существующих правил брандмауэра Windows. Если вам нужно импортировать предыдущую резервную копию, запустите:

netsh advfirewall import "C:\Windows Firewall Configs\Firewall Rules Export-YourComputerName-MM-DD-YYYY.wfw"

Вы можете просто скопировать и вставить все в.Файл CMD и использование планировщика задач для планирования ежедневного резервного копирования, а затем с течением времени определяют изменения, которые были сделаны, используя что-то бесплатное, например WinMerge, для сравнения двух файлов и просмотра различий, а также на основе этих данных пришли к выводу.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .