ホーム ネットワークとそれに接続されているすべてのものは保管庫のようなものです。ログインの背後には、個人データを含む暗号化されていないファイルから、ハイジャックされてあらゆる目的に使用される可能性のあるデバイスに至るまで、大量の貴重な情報が隠されています。この投稿では、ネットワークを計画し、内部を覗いて誰と何と話しているのかを確認する方法、および帯域幅を消費している可能性のあるデバイスやプロセス (またはネットワーク上の予期せぬゲスト) を発見する方法を説明します。 。
つまり、ネットワーク上の何かが侵害されている兆候を認識できるようになります。ルーターのデバイスのリストを見つける方法や MAC アドレスとは何かなど、ネットワークの基本については理解していることを前提としています。そうでない場合は、こちらにアクセスしてくださいKnow Your Network 夜間学校まずはブラッシュアップすること。
ただし、先に進む前に、次の警告を発する必要があります。これらの機能は有効に使用し、これらのツールとコマンドは、自分が所有または管理するハードウェアまたはネットワーク上でのみ実行してください。友好的な近所の IT 部門は、あなたが企業ネットワーク上でポート スキャンやパケットのスニッフィングを行うことを好まないでしょうし、地元のコーヒー ショップの従業員全員も同様です。
ステップ 1: ネットワーク マップを作成する
コンピュータにログオンする前に、ネットワークについて知っていると思うことを書き留めてください。まず、1 枚の紙に、接続されているすべてのデバイスを書き留めます。これには、スマート テレビ、スマート スピーカー、ラップトップとコンピュータ、タブレットと電話、またはネットワークに接続されている可能性のあるその他のデバイスなどが含まれます。役立つ場合は、家の部屋ごとの地図を描いてください。次に、すべてのデバイスとその場所を書き留めます。同時にインターネットに接続しているデバイスの数に驚かれるかもしれません。
ネットワーク管理者やエンジニアはこのステップを認識しているでしょう。これは、慣れていないネットワークを探索する最初のステップです。デバイスのインベントリを実行してそれらを特定し、現実が期待したものと一致するかどうかを確認します。そうでない場合(またはそうでないとき)、知っていることと知らないことをすぐに区別できるようになります。
ルーターにログインしてステータス ページを見て、何が接続されているかを確認したくなるかもしれませんが、まだそれはやめてください。 IP アドレスと MAC アドレスでネットワーク上のすべてを識別できない限り、侵入者やフリーローダーを含む膨大なリストが得られるだけです。まず物理的な棚卸を行ってから、デジタル棚卸に進みます。
ステップ 2: ネットワークを調査して、誰が接続しているかを確認する
クレジット: アラン・ヘンリー
ネットワークの物理マップと信頼できるすべてのデバイスのリストを取得したら、いよいよ調査に移ります。ルーターにログインし、接続されているデバイスのリストを確認します。これにより、名前、IP アドレス、MAC アドレスの基本的なリストが得られます。ルーターのデバイスリストにはすべてが表示される場合とそうでない場合があることに注意してください。表示されるはずですが、一部のルーターでは、そのルーターを IP アドレスとして使用するデバイスのみが表示されます。いずれにせよ、そのリストは横に置いておいてください。それは良いことですが、もっと詳しい情報が必要です。
Nmapをダウンロードしてインストールします
次に、私たちの古い友人Nマップ。馴染みのない人のために説明すると、Nmap はクロスプラットフォームのオープンソース ネットワーク スキャン ツールで、ネットワーク上のデバイスを検索し、それらのデバイスに関する大量の詳細情報を取得できます。使用しているオペレーティング システム、IP アドレスと MAC アドレス、さらに開いているポートとサービスを確認できます。Nmapのダウンロードはこちらから、 チェックアウトこれらのインストールガイドそれを設定するには、そしてこれらの指示に従ってくださいホーム ネットワーク上のホストを検出します。
1 つのオプションは、コマンド ラインから Nmap をインストールして実行することです (グラフィカル インターフェイスが必要な場合は、ゼンマップ通常はインストーラーに付属しています)。ホーム ネットワークに使用している IP 範囲をスキャンします。これにより、セキュリティを強化したいくつかのデバイスを除いて、ホーム ネットワーク上のアクティブなデバイスのほとんどが検出されました (ただし、それらは、上記のリンクにある Nmap のコマンドの一部を使用しても検出可能でした)。
クレジット: アラン・ヘンリー
Nmap のリストとルーターのリストを比較します。
以前に書き留めたものの電源がオフになっていない限り、両方のリストに同じものが表示されるはずです。ルーター上で Nmap が表示されなかったものが見つかった場合は、その IP アドレスに対して Nmap を直接使用してみてください。
次に、Nmap がデバイスに関して見つけた情報を確認します。 Apple TV であると主張しているのであれば、たとえば http などのサービスを実行すべきではないでしょう。奇妙に見える場合は、具体的に調べて詳細を調べてください。
Nmap は非常に強力なツールですが、使用するのが最も簡単というわけではありません。銃に少し抵抗がある場合は、他の選択肢があります。怒っているIPスキャナーこれもクロスプラットフォーム ユーティリティであり、見栄えが良く使いやすいインターフェイスを備えており、同じ情報を多数提供します。ワイヤレスネットワークウォッチャーはWindows ユーティリティ接続しているワイヤレス ネットワークをスキャンします。グラスワイヤーこれは、デバイスがネットワークに接続または切断されたときに通知するもう 1 つの優れたオプションです。
ステップ 3: 周囲の匂いを嗅いで、みんなが誰と話しているのかを確認する
ここまでで、既知で信頼できるデバイスのリストと、ネットワークに接続されていることが判明したデバイスのリストを取得しているはずです。運が良ければ、ここで作業は完了し、すべてが一致するか、自明のことになります (たとえば、現在オフになっているテレビなど)。
ただし、認識できないアクターが存在する場合、デバイスに対応しないサービスが実行されている場合 (なぜ、Roku は postgresql を実行しているのですか?)、またはその他の違和感がある場合は、少し調べてみましょう。つまり、パケットスニッフィングです。
2 台のコンピュータがネットワーク上またはインターネット上で通信するとき、「パケット」と呼ばれる情報のビットを相互に送信します。これらのパケットを組み合わせると、私たちが視聴するビデオやダウンロードするドキュメントを構成する複雑なデータ ストリームが作成されます。パケット スニッフィングは、これらの情報を取得して検査し、その情報がどこに送信され、そこに何が含まれているかを確認するプロセスです。
Wireshark をインストールする
これを行うには、次のものが必要ですワイヤーシャーク。これはクロスプラットフォームのネットワーク監視ツールで、ちょっとしたパケット スニッフィングに使用していました。パスワードと Cookie を傍受するためのガイド。この場合も同様の方法で使用しますが、目的は特定のものをキャプチャすることではなく、ネットワーク上をどのような種類のトラフィックが流れているかを監視することだけです。
これを行うには、Wifi 経由で Wireshark を実行する必要があります。無差別モード」つまり、コンピュータに送受信されるパケットを検索するだけではなく、ネットワーク上で確認できるあらゆるパケットを収集することになります。
次の手順に従ってセットアップを行ってください。
Wireshark をダウンロードしてインストールします
Wi-Fi アダプターを選択します。
[Capture] > [Options] をクリックします。そして、上のビデオでわかるように (次のサイトの人々の厚意により)ハク5)、そのアダプターに対して「無作為モードですべてをキャプチャ」を選択できます。
これで、パケットのキャプチャを開始できるようになりました。キャプチャを開始すると、多くの情報が得られます。幸いなことに、Wireshark はこれを予測しており、フィルタリングを簡単にします。
クレジット: アラン・ヘンリー
私たちはネットワーク上の不審な攻撃者が何をしているかを調べているだけなので、問題のシステムがオンラインであることを確認してください。先に進み、数分間のトラフィックをキャプチャしてください。その後、Wireshark の組み込みフィルタを使用して、そのデバイスの IP アドレスに基づいてトラフィックをフィルタリングできます。
これにより、その IP アドレスが誰と通信しているのか、どのような情報が送受信されているのかがすぐにわかります。これらのパケットのいずれかを右クリックして検査し、両端間の会話を追跡し、キャプチャ全体を IP または会話でフィルタリングできます。詳細については、Wireshark を参照してください。フィルタリングの詳細な手順。
あなたは自分が何を見ているのかまだ分からないかもしれませんが、ここで少しの探偵が必要になります。
大まかなアクティビティを分析する
不審なコンピュータが奇妙な IP アドレスで通信しているのを見つけた場合は、nslookupコマンド (Windows のコマンド プロンプト、または OS X または Linux のターミナル) でホスト名を取得します。これにより、コンピュータが接続しているネットワークの場所や種類について多くのことがわかります。 Wireshark では使用されているポートも表示されるため、Google でポート番号を調べて、どのアプリケーションがそのポートを使用しているかを確認してください。
たとえば、IRC やファイル転送によく使用されるポートを介して奇妙なホスト名に接続しているコンピュータがある場合、侵入者がいる可能性があります。もちろん、デバイスが電子メールや HTTP/HTTPS などの一般的に使用されるポートを介して評判の良いサービスに接続していることがわかった場合は、ルームメイトが所有していることを教えていないタブレットに遭遇したか、隣の誰かがあなたの Wi-Fi を盗んだ可能性があります。いずれにせよ、自分で解決するために必要なデータが得られます。
ステップ 4: 長時間のゲームをプレイし、キャプチャを記録する
クレジット: アラン・ヘンリー
もちろん、ネットワーク上のすべての悪意のある攻撃者がオンラインに存在し、攻撃者を探している間に侵入するわけではありません。ここまでで、接続されているデバイスを確認し、それらをスキャンして実際のデバイスを特定し、トラフィックを少し嗅いですべてが正常であることを確認する方法を学びました。しかし、疑わしいコンピューターが夜間に寝ているときに汚い仕事をしていたり、一日中仕事をしていてチェックする人がいないときに誰かが Wi-Fi を侵害していた場合はどうすればよいでしょうか?
ネットワーク監視ソフトウェアを使用する
これに対処するにはいくつかの方法があります。 1 つのオプションは、次のようなプログラムを使用することです。グラスワイヤー、前述しました。このソフトウェアは、誰かがネットワークに接続すると警告を発します。朝起きたとき、または仕事から帰宅したときに、見ていない間に何が起こったかを確認できます。
ルーターのログを確認してください
次のオプションは、ルーターのログ機能を使用することです。通常、ルーターのトラブルシューティングまたはセキュリティ オプションの奥深くに、ログ記録専用のタブが埋め込まれています。ログに記録できる量と情報の種類はルーターによって異なりますが、オプションには、受信 IP、宛先ポート番号、ネットワーク上のデバイスによってフィルターされた送信 IP または URL、内部 IP アドレスとその MAC アドレス、およびルーター上のどのデバイスが含まれる場合があります。ネットワークは、IP アドレスを DHCP 経由でルーターにチェックインしています (そして、チェックインしていないプロキシによって)。これは非常に堅牢であり、ログを実行し続ける時間が長ければ長いほど、より多くの情報を取得できるようになります。
DD-WRT や Tomato などのカスタム ファームウェア (両方とも私たちはあなたに見せましたインストール方法) 帯域幅と接続されたデバイスを必要なだけ監視してログに記録することができ、その情報をテキスト ファイルにダンプして後で確認することもできます。ルーターの設定によっては、そのファイルを定期的に電子メールで送信したり、外付けハード ドライブや NAS にドロップしたりすることもできます。
いずれにせよ、ルーターの無視されがちなログ機能を使用することは、たとえば真夜中で全員が寝静まった後、ゲーム用 PC が突然高速処理を開始して大量の送信データを送信し始めたかどうか、または通常のヒルに感染していないかどうかを確認する優れた方法です。変な時間に Wi-Fi に接続してトレントのダウンロードを開始するのが好きな人。
Wireshark を実行し続ける
最後のオプション、つまり核オプションのようなものは、Wireshark に数時間、または数日間キャプチャを許可することです。これは前例のないことではなく、多くのネットワーク管理者が奇妙なネットワークの動作を実際に分析するときにこれを実行します。これは、悪意のある行為者やチャットするデバイスを特定する優れた方法です。ただし、コンピュータを長時間起動したままにし、ネットワーク上のパケットを常に傍受し、ネットワークを通過するすべてのものをキャプチャする必要があり、それらのログがかなりのスペースを占有する可能性があります。 IP またはトラフィックのタイプでキャプチャをフィルタリングすることで、内容を絞り込むことができますが、何を探しているのかわからない場合は、キャプチャを確認するときに大量のデータを選別する必要があります。数時間。それでも、知っておくべきことはすべて確実に教えてくれます。
これらのすべてのケースにおいて、十分なデータが記録されていれば、誰がいつネットワークを使用しているのか、またそのデバイスが以前に作成したネットワーク マップと一致するかどうかを知ることができます。
ステップ 5: ネットワークをロックダウンする
ここまで読んだ方は、ホーム ネットワークに接続できるはずのデバイス、実際に接続するデバイスを特定し、違いを特定し、悪意のある者や予期しないデバイスが存在するかどうかを把握できたと思います。ヒルがうろうろしていたり。あとはそれらに対処するだけですが、驚くべきことに、それは簡単です。
Wifiヒルはあなたがすぐにブートを取得しますルーターをロックダウンする。他の作業を行う前に、ルーターのパスワードを変更し、WPS がオンになっている場合はオフにします。誰かがルーターに直接ログインできた場合、その人がログインして再びアクセスできるようにするためだけに他の変更を加えたくありません。ブルートフォース攻撃が困難な、適切で強力なパスワードを使用してください。
次に、ファームウェアのアップデートを確認します。リーチがルーターのファームウェアのエクスプロイトや脆弱性を悪用した場合、これによりリーチが阻止されます。もちろん、そのエクスプロイトにパッチが適用されていることが前提です。最後に、ワイヤレス セキュリティ モードが WPA2 に設定されていることを確認します (WPA と WEP はとても割れやすい) そして、Wi-Fi パスワードをブルートフォースできない別の適切な長いパスワードに変更します。その場合、再接続できるデバイスは、新しいパスワードを指定したデバイスだけになります。
これで、あなたの Wi-Fi に侵入し、自分のネットワークではなくあなたのネットワーク上ですべてのダウンロードを行う人に対処できるはずです。有線のセキュリティにも役立ちます。可能であれば、あなたも摂取する必要がありますいくつかの追加のワイヤレス セキュリティ手順、リモート管理をオフにしたり、UPnP を無効にしたりするなど。
有線コンピューターに侵入する悪意のある人物を追跡する必要があります。それが実際に物理デバイスである場合は、ルーターに直接接続されている必要があります。ケーブルを追跡し、ルームメイトや家族と話し合って、何が起こっているのかを確認してください。最悪の場合、いつでもルーターに再度ログオンして、疑わしい IP アドレスを完全にブロックできます。セットトップ ボックスや静かに接続されているコンピューターの所有者は、動作が停止してもすぐに起動します。
クレジット: アラン・ヘンリー
ただし、ここでのより大きな懸念は、コンピュータが侵害されることです。たとえば、デスクトップがハイジャックされ、夜間のビットコイン マイニングのためにボットネットに参加したり、自宅に電話をかけ、個人情報をどこにあるかわからない相手に送信するマルウェアに感染したマシンは、悪影響を及ぼす可能性があります。
検索対象を特定のコンピューターに絞り込んだら、各コンピューターのどこに問題があるかを突き止めます。本当に心配な場合は、セキュリティ エンジニアのアプローチで問題に対処してください。マシンが所有されると、そのマシンはもはや信頼できなくなります。それらを吹き飛ばし、再インストールし、バックアップから復元します。 (データのバックアップはありますよね?) 必ず PC を監視してください。感染したバックアップから復元して、プロセスを最初からやり直す必要はありません。
腕まくりする気があるなら、強力なウイルス対策ユーティリティとマルウェア対策オンデマンド スキャナーを手に入れることができます (はい、両方必要です)、問題のコンピュータをクリーンアップしてみてください。特定の種類のアプリケーションのトラフィックを確認した場合は、それがマルウェアではないのか、それとも単に誰かがインストールしたもので動作が悪いのかを確認してください。すべてがクリーンになるまでスキャンを続け、そのコンピュータからのトラフィックをチェックしてすべてが正常であることを確認します。
ネットワークの監視とセキュリティに関しては、ここではほんの表面をなぞっただけです。専門家がネットワークを保護するために使用する具体的なツールや方法はたくさんありますが、あなたが自宅や家族のネットワーク管理者であれば、次の手順が役に立ちます。
ネットワーク上の不審なデバイスやヒルを根絶するには時間がかかり、探索と警戒が必要になります。とはいえ、私たちはパラノイアを煽ろうとしているわけではありません。おそらく、異常なことは何も見つかりません。ダウンロードの遅さや Wi-Fi の速度の遅さはまったくの別問題です。それでも、ネットワークを調査する方法と、不審な点が見つかった場合の対処方法を知っておくのは良いことです。自分の力を善のために使うことを忘れないでください。
この記事はもともと 2014 年 10 月に公開され、最新の情報とリソースを使用して 2019 年 10 月に更新されました。新しい詳細を追加して 3/3/22 に更新されました。
