Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Netwerk monitoring tool
17-03-2013, 23:17 door Anoniem, 20 reacties
Hoi,
Ik zit in een studentenhuis en ik zou graag het netwerk willen monitoren omdat ik vermoedt dat een of meerdere laptops besmet zijn met malware en/of botnets.
Nu heb ik getracht met WireShark het 1 en ander te achterhalen maar niets kunnen ontdekken.
Nu vroeg ik me af of er tools zijn die letterlijk kan laten zien welke websites aangeroepen worden.
een Google Search leverde niets op.
BVD
Ik zit in een studentenhuis en ik zou graag het netwerk willen monitoren omdat ik vermoedt dat een of meerdere laptops besmet zijn met malware en/of botnets.
Nu heb ik getracht met WireShark het 1 en ander te achterhalen maar niets kunnen ontdekken.
Nu vroeg ik me af of er tools zijn die letterlijk kan laten zien welke websites aangeroepen worden.
een Google Search leverde niets op.
BVD
Reacties (20)
18-03-2013, 12:30 door
S.lenders
Er is genoeg op de markt maar de vraag is hoe wil je dit doen?
Het beste zou zijn wanneer je een proxy server neer zet en iedereen daarvan gebruik laat maken. Hierdoor kun je veel verkeer monitoren maar ook dit heeft zijn zwakheden.
Je zou ook fysiek op ieder systeem monitoring tools kunnen installeren die je vervolgens via het netwerk kan aanspreken.
Natuurlijk moet iedereen daar wel mee instemmen.
Een andere optie is gebruik maken van je router (althans ik vermoet dat je er een gebruikt). Maar daarbij is je router het probleem. Ik weet niet wat voor apparaat je hebt staan en welke mogelijkheden dit ding heeft. Maken de gebruikers allemaal gebruik van WiFi? of is deels bekabeld? wat voor router heb je staan en wie beheerd de router?
Het beste zou zijn wanneer je een proxy server neer zet en iedereen daarvan gebruik laat maken. Hierdoor kun je veel verkeer monitoren maar ook dit heeft zijn zwakheden.
Je zou ook fysiek op ieder systeem monitoring tools kunnen installeren die je vervolgens via het netwerk kan aanspreken.
Natuurlijk moet iedereen daar wel mee instemmen.
Een andere optie is gebruik maken van je router (althans ik vermoet dat je er een gebruikt). Maar daarbij is je router het probleem. Ik weet niet wat voor apparaat je hebt staan en welke mogelijkheden dit ding heeft. Maken de gebruikers allemaal gebruik van WiFi? of is deels bekabeld? wat voor router heb je staan en wie beheerd de router?
De eerste 2 heb ik al overwogen maar vielen af.
Toegang tot de router heb ik en ik beheer deze ook.
We hebben een Tompson TG712 staan en de verbindingen zijn bekabeld en via Wi-Fi. maar de meeste zijn draadloos.
Toegang tot de router heb ik en ik beheer deze ook.
We hebben een Tompson TG712 staan en de verbindingen zijn bekabeld en via Wi-Fi. maar de meeste zijn draadloos.
Wireshark laat jou niets zien omdat niet al het verkeer door jouw netwerkkaart loopt, maar door jouw router en modem. Alleen jouw eigen internetverkeer zul je daarom terugzien in Wireshark. Proxy is beter idee of een hub tussen de router en en de modem en daar jouw computer dan op aansluiten (Hub laat op iedere poort wel het verkeer van anderen zien, dus ook het verkeer via wifi etc naar jouw router en de modem - het internet). Op die manier zou je het ook kunnen 'sniffen'.
Allemaal leuk een aardig, maar let wel op dat, zonder (schriftelijke) toestemming van de mede studenten in het huis,
je hun netwerkverkeer niet zomaar mag monitoren (privacy recht). Ongeacht of je denkt dat ze besmet zijn of niet,
Dit is niet beledigend bedoeld, maar we gaan je hier natuurlijk niet helpen om je buren zonder toestemming te kunnen bespieden. Overtuig ons maar eens dat je volledige toestemming hebt om het netwerk te mogen monitoren, daarna kan ik je
verder helpen met dit soort software.
Wat is overigens de reden waarom je vermoed dat er malware / botnet activiteit binnen het netwerk plaats vind?
je hun netwerkverkeer niet zomaar mag monitoren (privacy recht). Ongeacht of je denkt dat ze besmet zijn of niet,
Dit is niet beledigend bedoeld, maar we gaan je hier natuurlijk niet helpen om je buren zonder toestemming te kunnen bespieden. Overtuig ons maar eens dat je volledige toestemming hebt om het netwerk te mogen monitoren, daarna kan ik je
verder helpen met dit soort software.
Wat is overigens de reden waarom je vermoed dat er malware / botnet activiteit binnen het netwerk plaats vind?
Waarom vielen de eerste twee af? We moeten natuurlijk wel weten wat de mogelijkheden zijn (en waarom) om je te kunnen helpen. Het gebruiken van een Proxyserver is een zeer goede oplossing.
Met de door jou genoemde router kun je vrij weinig, het is nogal een 'simpel' ding. Duurdere routers kun je uitrusten met netflow/sflow of iets vergelijkbaars om zo netwerk traffic in te kunnen zien.
Met de door jou genoemde router kun je vrij weinig, het is nogal een 'simpel' ding. Duurdere routers kun je uitrusten met netflow/sflow of iets vergelijkbaars om zo netwerk traffic in te kunnen zien.
18-03-2013, 14:50 door
S.lenders
Door Anoniem: wallwatcher 3.3.37
ondersteund geen thomson speedtouch rommel.
Ik denk dat je niet veel opties hebt. Ik zie er nog 1, prop een hub tussen je router en bekabelt verkeer. Maar dan mis je al het wifi verkeer. Tja, denk je dat de andere express lid zijn van een botnet? Zo niet dan zou ik je adviseren om gewoon aan te bellen met het bericht dat er mogelijk iemand op het netwerk een virus heeft en dat jij (als beheerder van de router) de computer of laptop wilt checken. Ga je gang, check of hij door een botnet besmet is.
18-03-2013, 16:01 door
yobi
Misschien een tool als urlsnarf?
18-03-2013, 16:25 door
Whoops
Door Anoniem: Gooi er een klassiek hubje tussen :p
Zo gek waren die hubjes nog niet :)Of een token-ring :)
Wat ingewikkeld allemaal....Hoeveel gebruikers kent het netwerk? Waarom niet gewoon de verdachte systemen scannen op malware of botnets?
men zou in het algemeen niet moeten willen werken met een router die geen syslog (port 514) geeft.
de specs van die thomson zijn bij nader zoeken zodanig beroerd, dat tussenschakelen van een simpele tweede router geen probleem moet zijn.
ruim tweedehands verkrijgbaar met syslog voor een paar euri...gateway en dns overal goed instellen, wallwatcher instellen op generic, klaar
de specs van die thomson zijn bij nader zoeken zodanig beroerd, dat tussenschakelen van een simpele tweede router geen probleem moet zijn.
ruim tweedehands verkrijgbaar met syslog voor een paar euri...gateway en dns overal goed instellen, wallwatcher instellen op generic, klaar
beetje vreemd verhaal.. je wilt zien op welke websites je medestudenten.. oh eh de laptops van je medestudenten bezoeken.
Malware/botnets.. wat dacht je van een virusscanner, Hitman Pro..die halen alles er wel uit.. Er zijn ook tooltjes waarmee je de laptop laat booten met een USB stick en vervolgens scant deze op Root-kits e.d.
Dat zgn sniffen wat je daar doet riekt naar privacy schending.. al is je het nog wel niet gelukt...maar wat je daar doet ( poogt te doen) is wel strafbaar tenzij elke gebruiker in jullie "huis" toestemming geeft.. maar dan zijn de virusscanners en Hitman pro de oplossingen..
Malware/botnets.. wat dacht je van een virusscanner, Hitman Pro..die halen alles er wel uit.. Er zijn ook tooltjes waarmee je de laptop laat booten met een USB stick en vervolgens scant deze op Root-kits e.d.
Dat zgn sniffen wat je daar doet riekt naar privacy schending.. al is je het nog wel niet gelukt...maar wat je daar doet ( poogt te doen) is wel strafbaar tenzij elke gebruiker in jullie "huis" toestemming geeft.. maar dan zijn de virusscanners en Hitman pro de oplossingen..
Ik wilde beginnen te zeggen dat ik het zeer vervelend vind om te horen dat er laptops bij jou in het netwerk besmet zijn met malware.
Maar als ik jou was zou ik gewoon even een anti-virus/anti-rootkit scan op die laptops uit voeren.
Kasperski bied een aantal goede gratis tools hiervoor aan , oa de "Kaspersky Virus Removal Tool" http://www.kaspersky.com/free-virus-removal-tool en de "TDSSKiller" tool support.kaspersky.com/downloads/utils/tdsskiller.zip , beide en meer zijn te vinden op deze pagina http://www.kaspersky.com/downloads/free-antivirus-tools .
Als dat niet werkt kan je bijvoorbeeld Malwarebytes of Hitman Pro proberen , een van de (gratis) rescue disks of voor
de wat meer gevorderde gebruiker tools als Kernel Detective , Rku , Rootrepeal , Gmer , Radix , Tuluka en Icesword.
Ik vind het toch een beetje vreemd dat je totaal niet geintereseerd lijkt in oplossingen die fysieke toegang tot die besmette laptops nodig hebben zoals dhr. S.lenders om 12:30 voorstelde , om maar te zwijgen over de onduidelijkheid hoe je tot de conclusie ben gekomen dat die laptops besmet zijn.
Ook is het vreemd dat je blijkbaar genoeg kennis en/of ervaring heb om de diagnose te stellen dat die laptops (waarschijnlijk) besmet zijn , maar niet weet hoe dat opgelost moet worden.
Tevens heb ik het vermoeden dat het zeer lastig voor je word om onderscheid te maken tussen normaal internet verkeer
en het verkeer dat bij de malware hoort.
Dat kan voor ervaren personen al lastig genoeg zijn , laat staan voor jou.
Dit alles brengt mij tot de conclusie dat we hier te doen hebben met een wannabe hacker die het internet verkeer van
zijn huisgenoten wil afluisteren zonder dat die ergens van af weten , te lui en/of dom is om zelf even google ter hand te nemen , en ons voor zijn karretje probeert te spannen.
Indien ik er naast zit hoor ik dat graag van je , bijvoorkeur inlusief een goede uitleg over :
1: waarom vermoed je dat die laptops besmet zijn
2: waarom ben je totaal niet geintereseerd in oplossingen die fysieke toegang nodig hebben
3: waarom denk je dat je het malware probleem kan oplossen dmv het meekijken met hun internetverkeer
Indien je deze vragen naar tevredenheid kan beantwoorden ben ik bereid mijn mening bij te stellen.
Hoogachtend A.Noniem :)
Maar als ik jou was zou ik gewoon even een anti-virus/anti-rootkit scan op die laptops uit voeren.
Kasperski bied een aantal goede gratis tools hiervoor aan , oa de "Kaspersky Virus Removal Tool" http://www.kaspersky.com/free-virus-removal-tool en de "TDSSKiller" tool support.kaspersky.com/downloads/utils/tdsskiller.zip , beide en meer zijn te vinden op deze pagina http://www.kaspersky.com/downloads/free-antivirus-tools .
Als dat niet werkt kan je bijvoorbeeld Malwarebytes of Hitman Pro proberen , een van de (gratis) rescue disks of voor
de wat meer gevorderde gebruiker tools als Kernel Detective , Rku , Rootrepeal , Gmer , Radix , Tuluka en Icesword.
Ik vind het toch een beetje vreemd dat je totaal niet geintereseerd lijkt in oplossingen die fysieke toegang tot die besmette laptops nodig hebben zoals dhr. S.lenders om 12:30 voorstelde , om maar te zwijgen over de onduidelijkheid hoe je tot de conclusie ben gekomen dat die laptops besmet zijn.
Ook is het vreemd dat je blijkbaar genoeg kennis en/of ervaring heb om de diagnose te stellen dat die laptops (waarschijnlijk) besmet zijn , maar niet weet hoe dat opgelost moet worden.
Tevens heb ik het vermoeden dat het zeer lastig voor je word om onderscheid te maken tussen normaal internet verkeer
en het verkeer dat bij de malware hoort.
Dat kan voor ervaren personen al lastig genoeg zijn , laat staan voor jou.
Dit alles brengt mij tot de conclusie dat we hier te doen hebben met een wannabe hacker die het internet verkeer van
zijn huisgenoten wil afluisteren zonder dat die ergens van af weten , te lui en/of dom is om zelf even google ter hand te nemen , en ons voor zijn karretje probeert te spannen.
Indien ik er naast zit hoor ik dat graag van je , bijvoorkeur inlusief een goede uitleg over :
1: waarom vermoed je dat die laptops besmet zijn
2: waarom ben je totaal niet geintereseerd in oplossingen die fysieke toegang nodig hebben
3: waarom denk je dat je het malware probleem kan oplossen dmv het meekijken met hun internetverkeer
Indien je deze vragen naar tevredenheid kan beantwoorden ben ik bereid mijn mening bij te stellen.
Hoogachtend A.Noniem :)
19-03-2013, 01:05 door
Erik van Straten
VOORAF: zoals anderen ook al aangaven: vraag toestemming aan ALLE huisgenoten en hang bij voorkeur in de gemeenschappelijke woonkamer en/of op de haldeur een briefje op dat afluisteren plaatsvindt, zodat bezoekers er ook van op de hoogte zijn. Er komt gegarandeerd vertrouwelijke niet-versleutelde data voorbij! Afluisteren met toestemming is al tricky, zonder is echt not done (en strafbaar vermoed ik).
Wellicht kun je een tijdje je modem ruilen met iemand die een Fritz!Box heeft? (bijv. een 7340, XS4All geeft die in bruikleen bij ADSL abonnementen).
Op een Fritz!Box kun je, heel handig, elke gewenste poort (ook WAN en WiFi, desgewenst meerdere tegelijkertijd) afluisteren. Dat kan door in http://192.168.178.1/html/capture.html de gewenste poort te selecteren en op "download" te klikken. Dan zal de Friz!Box live naar dat bestand, in pcap (WireShark) format, streamen. Zie http://ask.wireshark.org/questions/8541/how-can-i-capture-traffic-with-a-fritz-box.
In mijn Fritz!Box 7340 (die ik niet ga uitlenen;) zie ik (na inloggen) het volgende onder http://192.168.178.1/html/capture.html:
Wellicht kun je een tijdje je modem ruilen met iemand die een Fritz!Box heeft? (bijv. een 7340, XS4All geeft die in bruikleen bij ADSL abonnementen).
Op een Fritz!Box kun je, heel handig, elke gewenste poort (ook WAN en WiFi, desgewenst meerdere tegelijkertijd) afluisteren. Dat kan door in http://192.168.178.1/html/capture.html de gewenste poort te selecteren en op "download" te klikken. Dan zal de Friz!Box live naar dat bestand, in pcap (WireShark) format, streamen. Zie http://ask.wireshark.org/questions/8541/how-can-i-capture-traffic-with-a-fritz-box.
In mijn Fritz!Box 7340 (die ik niet ga uitlenen;) zie ik (na inloggen) het volgende onder http://192.168.178.1/html/capture.html:
For the purpose of diagnostics, FRITZ!Box can record all data packets in Wireshark format
when the FRITZ!Box is configured as a router. Multiple traces can be started at the same
time. They assist AVM Support in a precise analysis of complex problems with the Internet
connection. Keep in mind that traces may contain your confidential passwords.
Start the packet trace by clicking the corresponding "Start" button and save the file to
the hard disk. End the trace by clicking "Stop" or the "Stop All Traces" button.
Important: If you want to end the trace, do not interrupt the saving of the file on the
hard drive in the browser. Click the corresponding "Stop" button instead!
Click the "Refresh" button if the buttons to stop the trace are not displayed.
Internet
1. Internet connection [ Start ] [ Stop ]
Interface 0 ('internet') [ Start ] [ Stop ]
Routing interface [ Start ] [ Stop ]
Network Interfaces
Limitation of length per packet [ 1600 ] Bytes
eth1 [ Start ] [ Stop ]
eth0 [ Start ] [ Stop ]
lan [ Start ] [ Stop ]
wifi0 [ Start ] [ Stop ]
ath0 [ Start ] [ Stop ]
WLAN
AP (2.4 GHz, ath0) - Interface 1 [ Start ] [ Stop ]
AP (2.4 GHz, ath0) - Interface 0 [ Start ] [ Stop ]
HW (2.4 GHz, wifi0) - Interface 0 [ Start ] [ Stop ]
USB
usb2 [ Start ] [ Stop ]
usb1 [ Start ] [ Stop ]
DTrace
Additional parameters [ ] [ Start ] [ Stop ]
If you do not select any parameters, dtrace will be started with the following parameters:
-D -s -m -i256 -dect -dlc -c1 -c2 -c3 -c4 -c5 -nt3 -d2 -d3
If you select additional parameters, the following parameters are always set:
-D -s -m -i256
[ Stop All ] [ Refresh]
Alternatief is een Gb managed switchje met RMON poort kopen: iedereen die toestaat gemonitord te worden sluit daarop aan. Evt. hang je daar dan nog weer een extra accespoint aan. Zie bijv. https://tweakers.net/pricewatch/160499/cisco-slm2008.html en http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps9994/ps9996/data_sheet_c78-500596.html.when the FRITZ!Box is configured as a router. Multiple traces can be started at the same
time. They assist AVM Support in a precise analysis of complex problems with the Internet
connection. Keep in mind that traces may contain your confidential passwords.
Start the packet trace by clicking the corresponding "Start" button and save the file to
the hard disk. End the trace by clicking "Stop" or the "Stop All Traces" button.
Important: If you want to end the trace, do not interrupt the saving of the file on the
hard drive in the browser. Click the corresponding "Stop" button instead!
Click the "Refresh" button if the buttons to stop the trace are not displayed.
Internet
1. Internet connection [ Start ] [ Stop ]
Interface 0 ('internet') [ Start ] [ Stop ]
Routing interface [ Start ] [ Stop ]
Network Interfaces
Limitation of length per packet [ 1600 ] Bytes
eth1 [ Start ] [ Stop ]
eth0 [ Start ] [ Stop ]
lan [ Start ] [ Stop ]
wifi0 [ Start ] [ Stop ]
ath0 [ Start ] [ Stop ]
WLAN
AP (2.4 GHz, ath0) - Interface 1 [ Start ] [ Stop ]
AP (2.4 GHz, ath0) - Interface 0 [ Start ] [ Stop ]
HW (2.4 GHz, wifi0) - Interface 0 [ Start ] [ Stop ]
USB
usb2 [ Start ] [ Stop ]
usb1 [ Start ] [ Stop ]
DTrace
Additional parameters [ ] [ Start ] [ Stop ]
If you do not select any parameters, dtrace will be started with the following parameters:
-D -s -m -i256 -dect -dlc -c1 -c2 -c3 -c4 -c5 -nt3 -d2 -d3
If you select additional parameters, the following parameters are always set:
-D -s -m -i256
[ Stop All ] [ Refresh]
of een pc inrichten met bv wingate (zat software beschikbaar ook met av), en in je dhcp scoop ip van de router vervangen door die van de pc. Of ip van router wijzigen en het huidige ip overnemen op je pc, dan heb je ook alles vaste clients.
En daarna alles weer terug zetten :)
gr
En daarna alles weer terug zetten :)
gr
wat ik mij eigenlijk afvraag is waarom zou je dat willen?
en besef je wel de risico's die je neemt omtrent privicy van de mede studenten, wat als ze gaan klagen?
je kan denk ik het beste eens vragen of je omtrent dit probleem eens op hun pc mag kijken.
voor de oplossing is een oude switch kopen met RMON.
aangezien het overgrote deel vermoedelijk gebruik maakt van wifi gaat dat niet werken, iddem voor de hub.
wat je kan doen is een hub of managed switch tussen de router en nieuwe/2e hands accespoint plaatsen.
dan pak je tenminste het wifi verhaal ook mee.
en besef je wel de risico's die je neemt omtrent privicy van de mede studenten, wat als ze gaan klagen?
je kan denk ik het beste eens vragen of je omtrent dit probleem eens op hun pc mag kijken.
voor de oplossing is een oude switch kopen met RMON.
aangezien het overgrote deel vermoedelijk gebruik maakt van wifi gaat dat niet werken, iddem voor de hub.
wat je kan doen is een hub of managed switch tussen de router en nieuwe/2e hands accespoint plaatsen.
dan pak je tenminste het wifi verhaal ook mee.
Leuk om te zien dat mensen eerst over privacy beginnen te praten, en vervolgens alsnog hem/haar proberen te helpen
zijn buurtjes te bespioneren :-)
Opvallend genoeg reageert de topic starter, die heel toevallig anoniem post, ook niet meer.
zijn buurtjes te bespioneren :-)
Opvallend genoeg reageert de topic starter, die heel toevallig anoniem post, ook niet meer.
19-03-2013, 15:38 door
AcidBurn
Als het zo is dat je dit onrechtmatig aan het doen bent zou ik maar eens goed gaan nadenken of je je realiseert hoe gevaarlijk dit is. Let wel - dit soort trucjes zijn kinderlijk eenvoudig te achterhalen en dus te herleiden naar jou.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
