Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Uitgaand verkeer controlleren

01-09-2010, 13:25 door H.King, 16 reacties
beste lezers,

Welk programma kan ik het best gebruiken om alle uitgaand verkeer te bekijken. iemand suggestie's ? Ik wil op die manier kijken of mijn computer mogelijk ook besmet is met een bot/trojan.
Reacties (16)
01-09-2010, 13:45 door SirDice
Als je echt wilt zien wat er over de "lijn" gaat is wireshark zeker een aanrader.

http://www.wireshark.org/
01-09-2010, 14:22 door Loserenzo
gedetaileerder als met wireshark ga je het haast niet zien.
Wil je iets minder de bitjes bekijken is : http://lastbit.com/trafmeter/ misschien iets voor je.
01-09-2010, 15:00 door Mysterio
http://www.spiceworks.com is ook grappig spul, maar ik heb er zelf niet zo'n ervaring mee.

Gaat het trouwens maar om één computer?
01-09-2010, 15:08 door cpt_m_
Door Mysterio: http://www.spiceworks.com is ook grappig spul, maar ik heb er zelf niet zo'n ervaring mee.
Gaat het trouwens maar om één computer?

Kleine correctie, Spiceworks is zoals op de website staat beschreven een:
Complete network management software, helpdesk, PC inventory tools & IT reporting solution designed to manage everything IT in small & medium businesses.

En is zeker niet bedoeld om het uitgaande verkeer te monitoren.

En zoals SirDice aangeeft is WireShark een aanrader.
01-09-2010, 15:27 door Preddie
Zoals SirDice als zegt, wireshark is de beste oplossing.
01-09-2010, 16:12 door Anoniem
Tcpview uit 'sysinternals' is ook wel grappig om te bekijken.
01-09-2010, 16:51 door H.King
Hartstikke bedankt voor alle reacties. Ik heb inderdaad Wireshark geinstalleerd en zal nu het netwerk verkeer eens grondig bestuderen.
01-09-2010, 20:38 door Anoniem
Met WireShark moet je wel uit de voeten kunnen.
Wat niet belet dat het een goed programma is.
02-09-2010, 07:43 door Anoniem
Als je het zelfde soort programma wilt als wireshark maar dan net iets overrzichtelijker.
Download dan Colasoft Capsa http://www.colasoft.com/
02-09-2010, 11:55 door yaffle
Ntop: http://www.ntop.org/news.php

Hub tussen netwerk en router, ntop pc eraan en je heb een overzichtelijk en zeer uitgebreid beeld. Gratiz....

Yaffle
02-09-2010, 12:24 door Anoniem
Netwitness Investigator vind ik zelf altijd wel prettig. Doet in principe hetzelfde als Wireshark, alleen wordt de info voor je gesorteerd en is het wat overzichtelijker.. Zeker wanneer je nog niet zoveel ervaring hebt met Wireshark of dergelijke proggies. De sterke punten van het pakket ga je merken bij bergen data.

http://download.netwitness.com/download.php?src=DIRECT
02-09-2010, 13:43 door Anoniem
http://www.snort.org/

bl33p
02-09-2010, 23:18 door Bitwiper
WireShark is natuurlijk mooi, maar is, zoals anderen ook al schreven, voor beginners nogal overweldigend en start niet snel op.

Een aardig gratis en lichtgewicht (zip-download minder dan 70KB!) tooltje is SmartSniff van Nir Sofer, zie http://www.nirsoft.net/utils/smsniff.html. Zonder low-level driver is het wel erg afhankelijk van welke Windows versie je gebruikt, welke soorten pakketten je te zien krijgt. Echter als je ook WireShark geinstalleerd hebt, dan heb je ook de WinPCap netwerk driver op je systeem, en daar kan SmartSniff prima mee overweg (ook als je het als non-admin draait). Als je geen Wireshark hebt/wilt kun je ook zelf de WinPCap driver, of, naar keuze, de Microsoft netmon driver downloaden.

Als je dan ook nog even vanaf http://software77.net/geo-ip/ de IPV4 CSV database downloadt en in de installatiemap neerzet, dan heb je meteen een idee met welk land je PC verbindingen opzet (dat bestand is dan met ruim 7MB wel meteen het grootste bestand in de map waarin je de 3 SmartSniff bestandjes hebt gezet).

Nog veel lichter, en werkt op de meeste PC's (*) -zonder installatie en ook als non-admin- is cmd.exe opstarten en dan draaien:
netstat -ano
Als dat niet alleen "luisterende" poorten maar een redelijk aantal actieve verbindingen oplevert (anders dan met 127.0.0.1) op een moment dat je niet bewust internet verbindingen hebt openstaan, ga die PC dan maar eens grondig op malware onderzoeken...

(*) middels policies kan het starten van cmd.exe zijn geblokkeerd. Soms kun je dan wel een snelkoppeling op je bureaublad aanmaken naar CMD (en deze CMD noemen), en werkt CMD toch (watch you back for the bofh ;)

N.b. die "o" (uit -ano) zorgt ervoor dat je ook Process ID's (PID's) te zien krijgt die je in TaskManager (taakbeheer) kunt opzoeken (nadat je daarin de bijbehorende kolom hebt aangezet). In cmd zie je met het commando tasklist ongeveer hetzelfde als in taakbeheer met de default kolommen, echter met PID's, en met tasklist /svc zie je welke subprocessen er onder de verschillende svchost.exe instanties draaien.

Zeker als je een NL Windows gebruikt: maak meteen in de instellingen van die snelkoppeling dat CMD window breder (bijv 120 karakters), zodat de idioot bij Microsoft die meende "LISTENING" te moeten vertalen in het -veel te lange- "BEZIG MET LUISTEREN" geen puinhoop van je scherm maakt (die ergernis wilde ik even kwijt).

Laatste punt: het met bovengenoemde tools (Wireshark, Colasoft Capsa, NetWitness, SmartSniff en netstat) niet zien van netwerkverbindingen op een PC, is geen bewijs dat deze niet gecompromitteerd is. Met name rootkits kunnen buiten genoemde programma's om werken (een gecompromitteerde PC is niet jouw PC). Een hub (maar die zijn nauwelijks nog te krijgen) of een switch met een mirror/monitor poort en een vertrouwde PC om mee te sniffen (of een linux bak met twee netwerkkaarten die je als transparante bridge in je netwerkverbinding opneemt) kunnen in zo'n situatie uitsluitsel bieden.
03-09-2010, 02:25 door Anoniem
Toch doe je er verstandig aan om je sniffer op je gateway te installeren. Als je computer besmet is met een rootkit is het mogelijk dat het netwerkverkeer van de trojan verborgen wordt gehouden voor je OS en dus ook niet zichtbaar is met Wireshark. Dan weet je in ieder geval zeker dat je het verkeer ook ziet. -Er van uitgaande dat je gateway niet besmet is...-
03-09-2010, 13:02 door Anoniem
Het verbaast me dat niemand Check Point's ZoneAlarm Free Firewall adviseert.
Deze gratis versie waarschuwt je al welke executable over welke poort naar buiten wilt communiceren.
De firewall maakt daarbij gebruik van de SmartDefense Advisor, uit een online database met bekende programma’s raadpleegt.
Nadeel is wel dat het een Windows PC moet zijn waarop je de controle wilt uitvoeren.

A. Chan
03-09-2010, 13:40 door Anoniem
Voor OS X is er Little Snitch http://www.obdev.at/products/littlesnitch/index.html dat werk super.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.