Sådan trykker du på dit netværk og ser alt, der sker på det

  Billede til artiklen med titlen Sådan trykker du på dit netværk og ser alt, der sker på det
Billede: Shutterstock (Shutterstock)

Dit hjemmenetværk - og alt, der er forbundet til det - er som en boks. Bag dit login ligger tonsvis af værdifuld information, fra ukrypterede filer indeholdende personlige data til enheder, der kan kapres og bruges til ethvert formål. I dette indlæg viser vi dig, hvordan du kortlægger dit netværk, tager et kig under dynen for at se, hvem der taler med hvad, og hvordan du afdækker enheder eller processer, der kan suge båndbredde ned (eller er uventede gæster på dit netværk) .


Kort sagt: Du vil være i stand til at genkende tegnene på, at noget på dit netværk er kompromitteret. Vi antager, at du er bekendt med nogle grundlæggende netværk, såsom hvordan du finder din routers liste over enheder, og hvad en MAC-adresse er. Hvis ikke, så gå over til vores Kend dit netværk natskole at børste op først.

Før vi går videre, bør vi dog udsende en advarsel: Brug disse beføjelser for altid, og kør kun disse værktøjer og kommandoer på hardware eller netværk, du ejer eller administrerer. Din venlige it-afdeling i nabolaget vil ikke lide, at du porterer scanning eller sniffer pakker på virksomhedens netværk, og det ville alle folk på din lokale kaffebar heller ikke.

Trin et: Lav et netværkskort

Inden du overhovedet logger på din computer, skal du skrive ned, hvad du tror, ​​du ved om dit netværk. Start med et ark papir, og skriv alle dine tilsluttede enheder ned. Det inkluderer ting som smart-tv'er, smart-højttalere, bærbare computere og computere, tablets og telefoner eller enhver anden enhed, der kan være forbundet til dit netværk. Hvis det hjælper, så tegn et rum-for-værelse-kort over dit hjem. Skriv derefter hver enhed ned, og hvor den bor. Du kan blive overrasket over, præcis hvor mange enheder du har forbundet til internettet på samme tid.

Netværksadministratorer og ingeniører vil genkende dette trin - det er det første trin i at udforske ethvert netværk, du ikke er bekendt med. Lav en opgørelse over enhederne på den, identificer dem, og se om virkeligheden stemmer overens med det, du forventer. Hvis (eller når) det ikke gør det, vil du hurtigt være i stand til at adskille det, du ved, fra det, du ikke ved.


Du kan blive fristet til bare at logge ind på din router og se på dens statusside for at se, hvad der er forbundet, men gør det ikke endnu. Medmindre du kan identificere alt på dit netværk ved dets IP- og MAC-adresse, får du bare en stor liste over ting - en, der inkluderer alle ubudne gæster eller freeloadere. Tag først en fysisk opgørelse, og fortsæt derefter til den digitale.

Trin to: Undersøg dit netværk for at se, hvem der er på det

  Billede til artiklen med titlen Sådan trykker du på dit netværk og ser alt, der sker på det
Skærmbillede: Alan Henry

Når du har et fysisk kort over dit netværk og en liste over alle dine betroede enheder, er det tid til at grave. Log ind på din router og tjek dens liste over tilsluttede enheder. Det giver dig en grundlæggende liste over navne, IP-adresser og MAC-adresser. Husk, at din routers enhedsliste muligvis viser dig alt. Det burde det, men nogle routere viser dig kun de enheder, der bruger routeren til dens IP-adresse. Uanset hvad, hold listen ved siden af ​​- den er god, men vi vil have mere information.


Download og installer Nmap

Dernæst vil vi vende os til vores gamle ven Nmap . For dem, der ikke kender til, er Nmap et tværplatform, open source-netværksscanningsværktøj, der kan finde enheder på dit netværk sammen med et væld af detaljer på disse enheder. Du kan se det operativsystem, de bruger, IP- og MAC-adresser og endda åbne porte og tjenester. Download Nmap her , tjek ud disse installationsvejledninger at sætte det op, og følg disse instruktioner for at finde værter på dit hjemmenetværk.

En mulighed er at installere og køre Nmap fra kommandolinjen (hvis du ønsker en grafisk grænseflade, Zenmap kommer normalt med installationsprogrammet). Scan det IP-område, du bruger til dit hjemmenetværk. Dette afslørede de fleste af de aktive enheder på mit hjemmenetværk, undtagen nogle få, jeg har en vis forbedret sikkerhed på (selvom de også kunne findes med nogle af Nmaps kommandoer, som du kan finde i linket ovenfor).


  Billede til artiklen med titlen Sådan trykker du på dit netværk og ser alt, der sker på det
Skærmbillede: Alan Henry

Sammenlign Nmaps liste med din routers liste

Du bør se de samme ting på begge lister, medmindre noget, du skrev ned tidligere, er slukket nu. Hvis du ser noget på din router, som Nmap ikke viste, så prøv at bruge Nmap direkte mod den IP-adresse.

Se derefter på de oplysninger, Nmap finder om enheden. Hvis det hævder at være et Apple TV, burde det sandsynligvis ikke have tjenester som http kørende, for eksempel. Hvis det ser mærkeligt ud, skal du undersøge det specifikt for mere information.

Nmap er et ekstremt kraftfuldt værktøj, men det er ikke det nemmeste at bruge. Hvis du er lidt skydesky, har du nogle andre muligheder. Vred IP-scanner er et andet værktøj på tværs af platforme, der har en flot og letanvendelig grænseflade, der vil give dig en masse af de samme oplysninger. Trådløs netværksovervågning er et Windows-værktøj der scanner trådløse netværk, du er tilsluttet. Glastråd er en anden fantastisk mulighed, der giver dig besked, når enheder opretter forbindelse til eller afbrydes fra dit netværk.

Trin tre: Snus rundt og se, hvem alle taler med

Nu skulle du have en liste over enheder, du kender og stoler på, og en liste over enheder, som du har fundet forbundet til dit netværk. Med held er du færdig her, og alt stemmer enten overens eller er selvforklarende (f.eks. et tv, der i øjeblikket er slukket).


Men hvis du ser nogen skuespillere, du ikke genkender, tjenester, der kører, der ikke svarer til enheden (Hvorfor kører min Roku postgresql?), eller noget andet føles dårligt, er det tid til at snuse lidt. Pakkesnus, altså.

Når to computere kommunikerer, enten på dit netværk eller på tværs af internettet, sender de bits af information kaldet 'pakker' til hinanden. Tilsammen skaber disse pakker komplekse datastrømme, der udgør de videoer, vi ser, eller de dokumenter, vi downloader. Pakkesnifning er processen med at fange og undersøge disse informationsstykker for at se, hvor de går hen, og hvad de indeholder.

Installer Wireshark

For at gøre dette har vi brug for Wireshark . Det er et netværksovervågningsværktøj på tværs af platforme, som vi plejede at lave en lille pakkesniffing i vores guide til at opsnuse adgangskoder og cookies . I dette tilfælde vil vi bruge det på en lignende måde, men vores mål er ikke at fange noget specifikt, bare for at overvåge, hvilke typer trafik der går rundt på netværket.

For at gøre dette skal du køre Wireshark over wifi i ' promiskuøs tilstand .' Det betyder, at det ikke kun leder efter pakker på vej til eller fra din computer - det er ude for at indsamle alle pakker, det kan se på dit netværk.

Følg disse trin for at blive konfigureret:

  • Download og installer Wireshark
  • Vælg din wifi-adapter.
  • Klik på Capture > Options - og som du kan se i videoen ovenfor (med høflighed af folk over kl Hak5 ), kan du vælge 'Fang alt i promiskuøs tilstand' for den adapter.

Nu kan du begynde at fange pakker. Når du starter optagelsen, får du en masse information. Heldigvis forudser Wireshark dette og gør det nemt at filtrere.

  Billede til artiklen med titlen Sådan trykker du på dit netværk og ser alt, der sker på det
Skærmbillede: Alan Henry

Da vi bare søger at se, hvad de mistænkelige aktører på dit netværk laver, skal du sørge for, at det pågældende system er online. Gå videre og indfang et par minutters trafik. Derefter kan du filtrere den trafik baseret på IP-adressen på den pågældende enhed ved hjælp af Wiresharks indbyggede filtre.

Hvis du gør dette, får du et hurtigt overblik over, hvem den IP-adresse taler til, og hvilke oplysninger de sender frem og tilbage. Du kan højreklikke på en af ​​disse pakker for at inspicere den, følge samtalen mellem begge ender og filtrere hele optagelsen efter IP eller samtale. For mere, tjek Wireshark's detaljerede filtreringsinstruktioner .

Du ved måske ikke, hvad du kigger på (endnu) - men det er her, der kommer lidt lureri ind.

Analyser sketchy aktivitet

Hvis du ser den mistænkelige computer tale til en mærkelig IP-adresse, skal du bruge nsopslag kommando (i kommandoprompten i Windows eller i en terminal i OS X eller Linux) for at få dets værtsnavn. Det kan fortælle dig meget om placeringen eller typen af ​​netværk, din computer opretter forbindelse til. Wireshark fortæller dig også, hvilke porte der bruges, så Google portnummeret og se, hvilke applikationer der bruger det.

Hvis du for eksempel har en computer, der forbinder til et mærkeligt værtsnavn over porte, der ofte bruges til IRC eller filoverførsel, kan du have en ubuden gæst. Selvfølgelig, hvis du opdager, at enheden opretter forbindelse til velrenommerede tjenester over almindeligt brugte porte til ting som e-mail eller HTTP/HTTPS, er du måske lige faldet over en tablet, din værelseskammerat aldrig har fortalt dig, at han ejede, eller en nabo, der stjæler din wifi. Uanset hvad, har du de nødvendige data til at finde ud af det på egen hånd.

Trin fire: Spil det lange spil, og log dine fangster

  Billede til artiklen med titlen Sådan trykker du på dit netværk og ser alt, der sker på det
Skærmbillede: Alan Henry

Selvfølgelig er det ikke alle dårlige skuespillere på dit netværk, der vil være online og smutte, mens du leder efter dem. Indtil dette tidspunkt har vi lært dig, hvordan du tjekker for tilsluttede enheder, scanner dem for at identificere, hvem de virkelig er, og derefter snuser lidt af deres trafik for at sikre, at det hele er over bord. Men hvad gør du, hvis den mistænkelige computer udfører sit snavsede arbejde om natten, når du sover, eller nogen læser din wifi, når du er på arbejde hele dagen og ikke er i nærheden for at tjekke?

Brug netværksovervågningssoftware

Der er et par måder at løse dette på. En mulighed er at bruge et program som f.eks Glastråd , som vi nævnte tidligere. Denne software vil advare dig, når nogen har forbindelse til dit netværk. Når du vågner om morgenen eller kommer hjem fra arbejde, kan du se, hvad der skete, mens du ikke kiggede.

Tjek din routers log

Din næste mulighed er at bruge din routers logningsfunktioner. Begravet dybt i din routers fejlfindings- eller sikkerhedsindstillinger er normalt en fane dedikeret til logning. Hvor meget du kan logge og hvilken slags information varierer efter router, men mulighederne kan omfatte indgående IP, destinationsportnummer, udgående IP eller URL filtreret af enheden på dit netværk, interne IP-adresse og deres MAC-adresse, og hvilke enheder på din netværk har tjekket ind med routeren via DHCP for deres IP-adresse (og, ved proxy, som ikke har.) Det er ret robust, og jo længere du lader logfilerne køre, jo mere information kan du fange.

Brugerdefineret firmware som DD-WRT og Tomato (begge vi har vist dig hvordan man installerer ) giver dig mulighed for at overvåge og logge båndbredde og tilsluttede enheder, så længe du vil, og kan endda dumpe disse oplysninger til en tekstfil, som du kan gennemskue senere. Afhængigt af hvordan du har sat din router op, kan den endda e-maile den fil til dig regelmæssigt eller slippe den på en ekstern harddisk eller NAS.

Uanset hvad, så er det en fantastisk måde at bruge din routers ofte ignorerede logfunktion til at se, om f.eks. efter midnat, og alle er gået i seng, din gaming-pc pludselig begynder at knase og sende en masse udgående data, eller du har en almindelig igle. der kan lide at hoppe på din wifi og begynde at downloade torrents på skæve tidspunkter.

Hold Wireshark kørende

Din sidste mulighed, og den slags nukleare mulighed, er bare at lade Wireshark fange i timevis – eller dage. Det er ikke uhørt, og mange netværksadministratorer gør det, når de virkelig analyserer mærkelig netværksadfærd. Det er en fantastisk måde at finde dårlige skuespillere eller chatty-enheder på. Det kræver dog, at du efterlader en computer tændt i evigheder, konstant snuser pakker på dit netværk, fanger alt, hvad der går på tværs af den, og disse logfiler kan optage en del plads. Du kan trimme tingene ned ved at filtrere optagelser efter IP eller trafiktype, men hvis du ikke er sikker på, hvad du leder efter, har du en masse data at gennemskue, når du ser på en optagelse over selv et par timer. Alligevel vil den helt sikkert fortælle dig alt, hvad du behøver at vide.

I alle disse tilfælde, når du har logget nok data, vil du være i stand til at finde ud af, hvem der bruger dit netværk, hvornår og om deres enhed matcher det netværkskort, du lavede tidligere.

Trin fem: Lås dit netværk ned

Hvis du har fulgt med hertil, har du identificeret de enheder, der skulle være i stand til at oprette forbindelse til dit hjemmenetværk, dem, der rent faktisk forbinder, identificeret forskellene og forhåbentlig fundet ud af, om der er nogle dårlige skuespillere, uventede enheder, eller igler, der hænger rundt. Nu skal du bare håndtere dem, og overraskende nok er det den nemme del.

Wifi igler vil få støvlen, så snart du lås din router . Før du gør noget andet, skal du ændre din routers adgangskode og slå WPS fra, hvis den er tændt. Hvis nogen har formået at logge direkte på din router, ønsker du ikke at ændre andre ting kun for at få dem til at logge ind og genvinde adgang. Sørg for, at du bruger en god, stærk adgangskode, som er svær at bruge.

Derefter skal du tjekke for firmwareopdateringer. Hvis din igle har gjort brug af en udnyttelse eller sårbarhed i din routers firmware, vil dette holde dem ude - forudsat at udnyttelsen er blevet rettet, selvfølgelig. Til sidst skal du sørge for, at din trådløse sikkerhedstilstand er indstillet til WPA2 (fordi WPA og WEP er det meget let at knække ) og skift din wifi-adgangskode til en anden god, lang adgangskode, der ikke kan forceres. Så er de eneste enheder, der skal kunne oprette forbindelse igen, dem, du giver den nye adgangskode til.

Det burde tage sig af enhver, der læser din wifi og udfører al deres download på dit netværk i stedet for deres. Det vil også hjælpe med kablet sikkerhed. Hvis du kan, bør du også tage et par ekstra trådløse sikkerhedstrin , som at slå fjernadministration fra eller deaktivere UPnP.

For dårlige skuespillere på dine kablede computere har du noget at gå på jagt. Hvis det faktisk er en fysisk enhed, skal den have en direkte forbindelse til din router. Begynd at spore kabler og tal med dine værelseskammerater eller familie for at se, hvad der sker. I værste fald kan du altid logge tilbage på din router og blokere den mistænkelige IP-adresse helt. Ejeren af ​​den set-top-boks eller stille tilsluttede computer vil komme kørende ret hurtigt, når den holder op med at fungere.

  Billede til artiklen med titlen Sådan trykker du på dit netværk og ser alt, der sker på det
Skærmbillede: Alan Henry

Den største bekymring her er dog kompromitterede computere. Et skrivebord, der er blevet kapret og sluttet til et botnet til for eksempel Bitcoin-minedrift natten over, eller en maskine inficeret med malware, der ringer hjem og sender dine personlige oplysninger til hvem-ved-hvor, kan være dårligt.

Når du har indsnævret din søgning til bestemte computere, er det tid til at udrydde, hvor problemet ligger på hver maskine. Hvis du er virkelig bekymret, så tag sikkerhedsingeniørens tilgang til problemet: Når først dine maskiner er ejet, er de ikke længere til at stole på. Blæs dem væk, geninstaller og gendan fra dine sikkerhedskopier. ( Du har sikkerhedskopier af dine data, ikke sandt ?) Bare sørg for at holde øje med din pc – du vil ikke gendanne fra en inficeret sikkerhedskopi og starte processen forfra.

Hvis du er villig til at smøge ærmerne op, kan du få fat i et solidt antivirusprogram og en on-demand-scanner ( ja, du skal bruge begge dele ), og prøv at rense den pågældende computer. Hvis du så trafik for en bestemt type applikation, skal du se, om det ikke er malware eller bare noget, som nogen har installeret, der opfører sig dårligt. Fortsæt med at scanne, indtil alt er rent, og fortsæt med at tjekke trafikken fra den computer for at sikre, at alt er okay.

Vi har kun rigtig ridset overfladen her, når det kommer til netværksovervågning og sikkerhed. Der er tonsvis af specifikke værktøjer og metoder, som eksperter bruger til at sikre deres netværk, men disse trin vil fungere for dig, hvis du er netværksadministrator for dit hjem og familie.

At udrydde mistænkelige enheder eller igler på dit netværk kan være en lang proces, som kræver efterforskning og årvågenhed. Alligevel forsøger vi ikke at tromme paranoia op. Odds er, at du ikke finder noget ud over det sædvanlige, og de langsomme downloads eller dårlige wifi-hastigheder er noget helt andet. Alligevel er det godt at vide, hvordan man undersøger et netværk, og hvad man skal gøre, hvis du finder noget ukendt. Bare husk at bruge dine kræfter til det gode.

Denne historie blev oprindeligt offentliggjort i oktober 2014 og blev opdateret i oktober 2019 med aktuelle oplysninger og ressourcer. Opdateret 3/3/22 med nye detaljer.