我在本地网络上有大约 15 台计算机,它们位于简单的 TP-LINK TL-WR340G 路由器后面。一切运行正常,路由器可以正常工作。
最近我们获悉,我们的网络内部正在进行端口扫描。
我如何检测哪台计算机正在进行端口扫描?
我使用的是 Win XP,但熟悉 Linux。因此,简单的分步说明就更好了。
附加信息:
- TL-WR340G 是一款非常基本的路由器——我没有找到任何有用的日志。
- 网络是无线的。
附加信息 2010-07-06:
我能够刻录 backtrack-linux。我的笔记本是 SL300,配备 Intel 5100。在 wlan0 上运行 Wireshark 仅显示往返于我的计算机和广播的流量。其他工具也是如此。我使用一些 airmon-ng 脚本将我的卡置于监控模式。之后我在 mon0 上收到了一些控制包。我能够使用 Wireshark 用 WEP 密钥解密它,但我无法将其解释为 IP 以进行进一步分析。我不确定我是否收到了全部流量或仅与我的笔记本相关的流量。
是否可以嗅探所有 wifi 流量并将其转换为 IP 以进行进一步分析?
答案1
这是一个有点疯狂的想法,它会涉及一些网络停机时间,但听起来你的选择受到廉价网关的限制,无法看到正在进行 NAT 的内容。
将网关的 IP 地址更改为其他地址,然后禁用 DHCP,以防止任何机器找到新的网关地址。启动一台运行 ethereal/wireshark 的机器接管旧 IP 地址您的网关。
有问题的机器应该像圣诞灯一样出现,因为现在正在嗅探数据包的机器是閣門!
答案2
您应该检查路由器的 NAT 日志,这样如果外界有人向您提供源端口和端口扫描时间,您可以检查路由器日志以找到相应的内部计算机。
如果您的路由器无法保存 NAT 日志,您可能需要购买一个新的,因为查看日志确实是获得 100% 良好结果的唯一方法
答案3
你可以使用wireshark监视传入的网络数据包,并寻找异常行为(ARP“谁有”类型的请求 - 只有 DNS 服务器应该经常做这些事情)。
使用 tcpdump 可以做同样的事情:
tcpdump -l -n arp | egrep 'arp who-has' | head -100 | awk '{ print $NF }' |sort | uniq -c | sort -n
答案4
根据以前的经验,我曾经使用软件防火墙来警告我其他计算机正在进行端口扫描。
我还检查了我的 filezilla ftp 服务器的日志,该日志为我提供了每台扫描我的计算机的 IP。
您检查过 tl-wr340G 路由器上的日志吗?