我有很多问题。但是,首先我想用最简单、最简短的方式开始。我想弄清楚为什么当我输入 cmd 提示符时,netstat -a
我会得到大量的 IP 地址和链接,我几乎可以肯定这些地址和链接是错误的。
或者可能是我的 IT/计算机网络老公在窥探。我绝对没有什么可隐瞒的,也不明白他为什么会担心。以他的网络安全培训水平,我家无线网络中的“漏洞”是毫无道理的。
所以,我想查明他是否确实在偷窥。我应该注意什么?有害? UDP 是必需的吗?
以下列举一些:
TCP my ip address here:49372 server-205-251-203-249:80 ESTABLISHED
TCP my ip:49388 star-01-02-lax1:80 ESTABLISHED
TCP :49443 r-199-59-148-16:443 TIME_WAIT
TCP :49448 209-18-46-66:80 ESTABLISHED
TCP :49449 a96-7-48-51:80 ESTABLISHED
TCP :49450 65.55.25.44:80 ESTABLISHED
TCP :49451 a96-7-48-64:80 ESTABLISHED
TCP :49454 65.55.184.15:443 ESTABLISHED
TCP :49455 TheTank:445 SYN_SENT
TCP :49456 TheTank:445 SYN_SENT
TCP :49457 TheTank:445 SYN_SENT
TCP :49458 TheTank:139 SYN_SENT
TCP :49459 android_f2f09956193035b1:9100 SYN_SENT
TCP :49460 dfw06s17-in-f7:443 ESTABLISHED
有趣的是,他上周刚买了一部 Android 手机(之前我们有 iPhone),突然我ANDROID_F…
在命令输出中看到了上述内容。
答案1
你使用 netstat 的问题是,你错过了真的可消化的信息
尝试netstat -ba
- 这将为您提供使用端口和主机名的程序二进制文件的名称,并将为您提供所有正在使用的端口。如果您想要 IP 地址,请使用netstat -ban
我注意到计算机是爱说话的小东西。它们不断地告诉对方“我在这里”,“这是我的 IP 地址,请退出!”甚至自言自语(真的!)。除非您确切知道自己在寻找什么,否则噪音实在太多了。
答案2
您正在查看网络端口看到的所有内容。网络层面发生的事情比您预期的要多得多。
“android_”的存在仅仅意味着 iPhone 已连接到网络,或者已插入网络共享选项。
而且,我使用电脑时的理念是假装有人一直在看着你。这样你就不会惹上麻烦(或者更好地掩盖你的踪迹)。
答案3
首先更新您的防病毒软件,检查文件或文件夹的任何豁免,并询问您是否发现任何免于扫描的内容,然后运行完整扫描。然后,您可以通过查看防火墙规则来缩小范围,看看是否有任何异常。根据您是否识别出任何异常,然后研究它们是否合法。为了更进一步,如果您此时没有发现任何东西,那么您可以通过运行本地蜜罐来缩小要检查的数据包捕获范围。(建议禁用甚至卸载任何防病毒应用程序,因为它们的思维和行为方式。)
http://lmgtfy.com/?q=windows+honeypot
然后根据您对流量的发现以及谷歌搜索的结果,确定一些可能的可疑活动。
第二次得到wireshark然后进行数据包捕获,然后根据您之前发现的可能可疑活动对其进行分析。如果这太复杂,您可以开始创建防火墙规则来阻止您之前发现的所有内容运行蜜罐,看看是否有任何规则被某人神奇地禁用或删除,然后您就会知道罪魁祸首。下面是我编写的一个很好的脚本,用于以可跟踪且易于阅读的方式导出您当前的防火墙规则:
cd\
mkdir "C:\Windows Firewall Configs"
cd "C:\Windows Firewall Configs"
netsh advfirewall firewall show rule name=all > "C:\Windows Firewall Configs\Firewall Rules Export-%computername%-%date:~4,2%-%date:~7,2%-%date:~-4%.txt"
netsh advfirewall export > "C:\Windows Firewall Configs\Firewall Rules Export-%computername%-%date:~4,2%-%date:~7,2%-%date:~-4%.wfw"
这将在您的 C 盘上名为“Windows 防火墙配置”的文件夹中创建 2 个文件。
Firewall Rules Export-YourComputerName-MM-DD-YYYY.txt
Firewall Rules Export-YourComputerName-MM-DD-YYYY.wfw
txt 文件是人类可读的,而 wfw 文件是现有 Windows 防火墙规则的实际导出/备份。如果您需要导入以前的备份,请运行:
netsh advfirewall import "C:\Windows Firewall Configs\Firewall Rules Export-YourComputerName-MM-DD-YYYY.wfw"
你可以简单地将所有内容复制并粘贴到 .CMD 文件中,然后使用任务计划程序安排每日备份,然后随着时间的推移确定使用免费工具所做的更改,例如合并比较两个文件,查看有何不同,并根据证据得出结论。