在简单的TP-LINK TL-WR340G路由器后面的本地networking中,我有大约15台计算机。 一切工作正常,路由器的工作。
最近我们被告知端口扫描正在从我们的networking内部进行。
如何检测哪台计算机正在进行端口扫描?
我使用的是Win XP,而且我是Linux的读者。 所以简单的分步说明会很棒。
附加信息:
更多信息2010-07-06:
我能够烧回backtrack-linux。 我的笔记本是带有Intel 5100的SL300。在wlan0上运行Wireshark只显示来往/来自我的计算机的stream量和广播。 与其他工具一样。 我用一些airmon-ng脚本把我的卡放在显示器模式上。 之后,我收到了mon0的一些控制包。 我能用Wireshark用WEP密钥解密它,但是我无法将其解释为IP来进一步分析。 我不确定我是否收到全部stream量,或只有我的笔记本有关。
是否有可能嗅探所有的无线networkingstream量,并将其转换为IP进一步分析?
这是一个疯狂的想法,它会涉及一些networking停机时间,但听起来像你的select是有限的,你的便宜的网关,没有办法看到什么是NAT。
将网关的IP地址更改为其他内容,然后禁用DHCP以防止任何机器find新的网关地址。 启动一台运行空灵/ wireshark的机器接pipe网关的旧IP地址 。
这个犯罪的机器应该像圣诞灯一样出现,现在这台机器正在进行数据包嗅探的过程。
你应该检查你的路由器的NAT日志,这样如果有外界的人给你源端口和端口扫描时间,你可以检查你的路由器日志find相应的内部电脑。
如果你的路由器不能保持NAT日志,你可能想购买一个新的,因为看日志是真正的唯一方法,有100%的好结果
您可以使用wireshark来监视传入的networking数据包,并寻找exception行为(ARP“谁有”的请求types – 只有DNS服务器应该做那么多)。
tcpdump也可以做同样的事情:
tcpdump -l -n arp | egrep 'arp who-has' | head -100 | awk '{ print $NF }' |sort | uniq -c | sort -n 想象一下,扫描正在持续进行:
另一方面,如果只在特定时间段进行扫描,则可以安装snort并等待“端口扫描”事件。
除了etherape,我认为所有这些工具都运行在Windows上。 如果你不想安装它们,你可以尝试一下Linux安全liveCD,像回溯 。
在任何情况下,请记住在路由器上执行外部规则到已知使用的端口(例如,80,443等)来限制扫描。
从以前的经验,我曾经有软件防火墙警告我的其他计算机端口扫描。
我也检查了我的filezilla ftp服务器的日志,它给了我扫描我的每台计算机的IP。
你检查过tl-wr340G路由器上的日志吗?
如果有的话,可以在交换机监控端口上插入一个类似Snort的IDS。 我认为有一点谷歌search会给你预先configuration的虚拟机与安装的Snort和基地。