Хто пінгує мій комп’ютер Захист від хакерів

РОБОТА З КОМП'ЮТЕРОМ СТАЛА ЛЕГШЕ

Хто пінгує мій комп'ютер?

У статті розглядається питання про те, як дізнатися чи були спроби чи конкретно хто пінгує мій комп'ютер щодо ймовірного злому? Як дізнатися, чи ведеться зараз робота проти вас, і де сховався ворог? Нарочито обійдемося без мастодонту WireShark – благо завдання виявилося цілком без нього реалізовано.

Вітаю вас на сторінках блогу, і сьогодні ми станемо на бік сумлінних користувачів, чиї незаконні дії в мережі обмежуються лише поодиноким скачуванням незаконного контенту. І тих, хто і не підозрює про те, що, можливо, прямо зараз вони наражаються на загрозу. Ви впевнені у своєму антивірусі? Не все так просто.

Лабораторія досвіду "хто пінгує мій комп'ютер?"

  • Калі Лінукс Rolling - господарська ОС (IP - 192.168.0.100)
  • Windows 7 (не нижче) – гостьова ОС з VirtualBox (її IP – 192.168.0.101)

Подальші дії розбиваємо на етапи:

Введення чи що за пінг такий? Хто знає - абзаци повз.

З чого починається зламування системи? Велика частина атак хакерів походить від фахівців з тестування на проникнення в систему. А найпершим із етапів тестування є саме виявлення віддалених і потенційно вразливих систем. А як хакер дізнається, що ви зараз перебуваєте у мережі? Якщо трояна в системі немає, і зловмисникові ніщо про врожай не повідомляє (це зовсім інший тип атак), він проводить часто навіть сліпе мережеве тестування на "живучість" систем, що знаходяться у локальній чи глобальній мережі. Цей процес називається пінгуванням. Просте пінгування з боку зловмисника застосовується нечасто, проте, гадаю, саме пентестери-початківці оцінять зазначені способи захисту: вони дозволять побачити не тількипрості пінги.

ДОВІДКА

Пінг - вона ж ping - вона жPacket InterNet Groper- стародавня мережева утиліта, розроблена з початковою метою визначення наявності помилок у мережному з'єднанні між комп'ютерами. У тому чи іншому вигляді є практично у всіх операційних системах, а також входить до складу спеціальних мережевих утиліт, таких наприклад, як Nmap. У геймерів набула загального значення про чистоту з'єднання з ігровим сервером. Звідси і дієсловопінгувати – перевіряти віддалену систему на присутність у мережі.

Схем, у яких пінг бере участь у тому чи іншому етапі, для перевірки віддаленого комп'ютера “на міцність” – чимало. Однак кожен із нас повинен мати можливість захищатись. Сліпа довіра антивірусним пакетам – не для нас. Краще переконатися у безпеці (хоч у деякій її частині) особисто.

Хто пінгує мій комп'ютер? Що є у Windows?

Користувальницькі операційні системи цього сімейства небагаті на вбудовані утиліти самозахисту. Вони мають дуже гарний ремонтний інструментарій. Але і з вбудованих мережевих утиліт можна дещо вивудити. Однак для повноти картини нам таки знадобиться ще одна невелика від Microsoft утиліта: Microsoft Message Analyzer. Таким чином, ми використовуємо:

  • консольну утиліту netsh
  • завантажену і встановлену за розрозрядністю вашої Windows версію Message Analyzer (вона, у свою чергу, вимагатиме присутності обов'язкового Microsoft Framework 4.5 – але без цієї начебто ніякої програми і не встановиш)
  • Параметри папок у Панелі інструментів повинні бути налаштовані на відображення Прихованих папок та файлів

Поки налаштовуємо жертовну Windows, відразу пінгуємо її з Калі:

ютер

А ввідкритої від імені адміну консолі команд Windows тим часом забиваємо:

У цьому виді ви отримаєте довідку українською:

захист
Додаткові функції нас поки що не цікавлять. По кожній з команд можна отримати додаткову довідку, з якої ми дізнаємося, що потрібна нам команда на захоплення пакетів виглядає просто:

ОДНАК. Відразу одна порада. Утиліта зараз почне вистачати все поспіль, що, звичайно, не завадить подальшому аналізу. Але сам файл, який ми вивчатимемо, розростеться досі (а ліміт, як ви пам'ятаєте, 250 Мб). Тому відразу пропоную вказати netsh стежити за конкретним з'єднанням. Його легко побачити прямо зараз, набравши команду:

захист

У мене два адаптери, але активований лише другий за списком. Його GUID я і вкажу в консолі:

Вікно консолі cmd повідомить про початок процедури захоплення, розповість, що максимальний розмір файлу не перевищуватиме чверті гігабайта і вкаже шлях, куди інформація буде стікатися за замовчуванням. Змінювати нічого не будемо. А процес пішов. Через деякий час зупинимо перехоплення командою:

і звернемося до записаного шляхом, зазначеним у консолі. Шлях із провідника Windows доведеться прокласти через приховані папки, так що попередньо змусіть Windows відображати їх через Параметри папок на панелі керування. Ось і вміст папки:

пінгує

Тепер запустимо Message Analyzer і відкриємо файл NetTrace.etl за його допомогою:

комп

Чекаємо на обробку. Дивимося та шукаємо сліди луна-запитів (це протокол ICMP традиційної команди ping):

комп

захист

Хто пінгує мій комп'ютер: дивимося з Лінукс

Чим Лінукс хороша - майже всі необхідні утиліти встановлювати не потрібно: все вже є. Як і згадана tcpdump. Вона єсистемний сніффер та аналізатор мережевих пакетів. І команда перевірки пінгу у вашому терміналі виглядатиме так:

де замістьeth1 вам потрібно підставити значення свого мережного інтерфейсу (у мене вказаний). Його легко вичепити з команди ifconfig терміналу. Проводимо черговий досвід. Тепер пінгуємо навпаки: з Windows пінгуємо Калі Лінукс:

пінгує

У терміналі Калі наводимо нашу команду і в режимі он-лайн перехоплюємо відлуння ICMP:

комп

Додамо символ переходу> , і дані про луна-запити в терміналі не відображатимуться, а запишуться прямо вказаний вами файл. Наприклад:

Насамкінець подивимося, що вийшло:

захист

Ось і пінг-проби у наш бік. У мене поки що все. Успіхів.