有哪些工具可以让我监控是否有人在我的计算机上使用端口嗅探器和/或显示任何可能的黑客攻击?我正在使用 OneCare,但防火墙信息非常有限(据我所知)。是否有任何可下载的工具可以监控任何可疑的传入活动?
谢谢
答案1
这取决于您的网络设置:
几乎所有路由器都集成了防火墙,您可能也有一个,因此几乎所有传入的网络攻击都会在您的计算机看到它们之前被阻止......因此您必须在路由器配置中查找参数和日志......
为了监控网络设备,基本上有两种协议:系统日志和简单网络管理协议
如果你的实际路由器/设置不够,使用dd-wrt固件你可以获得几乎所有的专业路由器功能(所以,高级日志记录)在家用路由器上(如果兼容的并具有足够的 CPU 能力和内存)。(OpenWRT和番茄也是流行的替代品,但兼容设备较少和/或用户友好性较差)
- 这里有一些用于 syslog 和 snmp 的 Windows 客户端/日志分析工具:
- 守壁者
- SNMP 陷阱监视程序
- SNMP日志
- 链接记录器(50 美元)
- Kiwi 日志查看器(60欧元)
- 还有一些更通用的日志分析工具:
(服务器端软件:内置 Windows Server SNMP 服务- 此 Windows 系统日志服务器列表serverfault 问题- Linux 内置 syslogd - 或替代守护进程:rsyslog/系统日志工具(这个有一个 Windows 端口,赛格威包裹)
主机监控
尽管如此,如果您的网络部分/完全开放或您的计算机直接连接,并监控传出的可疑活动:
Comodo 互联网安全是一款优秀的免费防火墙,它允许记录任何匹配的规则。(在线免费装甲&PC Tools 防火墙也收到了很好的评价,但我不使用它们,也不知道它们的记录能力)
(它还包含一个非常好的臀部(基于主机的入侵防御系统)但如果您想要专用的产品:威胁之火和温帕特罗享有良好的声誉。
更多网络检查
正如 qwertyKid 所建议的,你可以更进一步检查数据包,然后Wireshark无疑是实现这一目标的最强大工具。
(使用集线器/智能交换机来中继数据包以检查网络中传入的内容也是一个好主意,但要小心,只将数据包中继到不敏感且受到良好保护的计算机...)
- 当前端口:显示所有当前打开的 TCP/IP 和 UDP 端口列表以及使用这些端口的进程
- 智能嗅探:捕获通过网络适配器的 TCP/IP 数据包,并将捕获的数据视为客户端和服务器之间的对话序列。
- 网络信息网允许您轻松找到有关 IP 地址的所有可用信息:IP 地址的所有者、国家/州名称、IP 地址范围、联系信息(地址、电话、传真和电子邮件)等。
- WhoisThisDomain使您轻松获取有关注册域名的信息。
更普遍的安全
如果您的计算机受到威胁,网络监控和检查可能完全无用,因此第一步要做的是确保其安全:- 安装一个好的防病毒软件:Microsoft 安全必备和Avira都是不错的选择,而且免费。
- 偶尔使用更专业的反rootkit:Rootkit揭露者或者格默尔
- 偶尔使用替代的按需防病毒扫描程序:卡巴斯基病毒清除工具,Malwarebytes 的 AntiMalware或众多基于网络的
由于人类是计算机安全中最薄弱的部分,所以要小心谨慎……
答案2
您可以在计算机上设置 wireshark,它将能够告诉您哪些数据包正在进出您的系统。
如果您想对整个网络执行此操作,您将需要使用集线器或智能交换机,允许您物理连接的端口将所有数据包中继到它,而不仅仅是预定义的(通过 mac 地址)目的地。
答案3
您正在寻找的解决方案通常称为“入侵检测系统”或 IDS。市面上有大量此类工具。在 serverfault.com 上询问 IDS 建议(或搜索,也许有人已经提供过)
答案4
如果您只是想收集这类事情的统计数据,您可以运行 tinyhoneypot 之类的程序。它将监视系统上任何实际上未使用的端口。因此,在外部看来,您打开了大量的东西。这只是一个简单的低交互蜜罐。如果您真的对这类事情感兴趣,我发现《虚拟蜜罐》这本书很棒。