Bằng chứng của hacker từ mạng netstat -a [đóng]

-1

Có gì chính xác bạn tìm kiếm trong "netstat-a" Kết quả đó sẽ chỉ ra một người dùng vô danh trên mạng của bạn, xin vui lòng?

Cảm ơn bạn đã trả lời dưới đây. Tôi đã chỉnh sửa câu hỏi ban đầu này (ở trên) trước đó, nhưng dường như trong giao diện sai. Tôi xin lỗi vì điều đó.

Để làm rõ câu hỏi, khi bạn viết, netstat không nhằm mục đích là một công cụ chẩn đoán của hacker: Tôi xin lỗi vì rõ ràng tôi đã để lại cho bạn ấn tượng này. Câu hỏi nhằm hỏi liệu có bất kỳ yếu tố nào trong tập kết quả chạy netstat mà "Siêu người dùng" sẽ giải thích rõ ràng là đáng ngờ hay không, ví dụ (... tôi cho rằng), một địa chỉ IP không phải của riêng bạn hoặc một địa chỉ được biết là bắt nguồn từ một nơi đáng ngờ hoặc một số chuỗi được biết để chỉ ra một vấn đề, v.v.

Nếu câu trả lời là không, thì tốt thôi ...

Cảm ơn bạn một lần nữa vì đã đọc câu hỏi của tôi.

windows  netstat 
Lisa
nguồn
2
Netstat một mình không thể phát hiện các cuộc tấn công. Không có ngữ cảnh, thực sự không có cách nào đáng tin cậy để xác định liệu một kết nối có phải là dấu hiệu của những điều xấu hay không.
Ben N
Tôi đã chỉnh sửa câu hỏi của mình để trả lời chỉnh sửa của bạn, nhưng câu chuyện dài, câu trả lời là có và không ... nó có thể cung cấp một số thông tin, nhưng nó không vẽ toàn bộ bức tranh
txtechhelp

Câu trả lời:

1

Các netstatlệnh được sử dụng để cung cấp thông tin về các kết nối hoạt động và cổng mà máy tính của bạn đang lắng nghe trên (cùng với một số thống kê ethernet). Nó sẽ không cho bạn biết nếu ai đó đã "hack" máy tính của bạn, mặc dù nó có thể cho bạn biết nếu ai đó được kết nối từ xa với máy tính của bạn (giả sử họ không xâm phạm máy tính của bạn để che giấu loại thông tin đó).

netstatcũng sẽ không cho bạn biết nếu có ai khác trong mạng của bạn, nó chỉ có thể cho bạn biết máy tính cục bộ của bạn được kết nối với cái gì. Nếu bạn quan tâm đến ai đó trái phép trên mạng của mình, bạn có thể sử dụng một công cụ như nmaphoặc wiresharkthực hiện một số thăm dò cơ bản để xem liệu có bất kỳ thiết bị nào trên mạng mà bạn không nhận ra. Nếu bạn có mạng WiFi, AP không dây của bạn sẽ có một nhật ký thuộc loại nào đó có thể cho bạn biết nếu một thiết bị có trên mạng không dây mà bạn không nhận ra.

Nếu máy tính của bạn hoạt động bất thường và bạn thực sự nghi ngờ ai đó đã xâm phạm nó, thì tốt nhất là bạn nên ngắt kết nối nó khỏi internet cùng nhau, sao lưu mọi dữ liệu nhạy cảm và thử cài đặt mới.

Để trả lời chỉnh sửa của bạn trực tiếp:

Câu hỏi nhằm hỏi liệu có bất kỳ yếu tố nào trong tập kết quả chạy netstat mà "Siêu người dùng" sẽ giải thích rõ ràng là đáng ngờ hay không, ví dụ (... tôi cho rằng), một địa chỉ IP không phải của riêng bạn hoặc một địa chỉ được biết là bắt nguồn từ một nơi đáng ngờ hoặc một số chuỗi được biết để chỉ ra một vấn đề, v.v.

Một lần nữa, việc sử dụng netstatsẽ chỉ cho bạn thấy máy tính của bạn được kết nối với cái gì; như một ví dụ, đây là kết quả khi tôi chạy netstat -a:

C:\>netstat -a

Active Connections

  Proto  Local Address          Foreign Address        State
  TCP    127.0.0.1:1032         localhost:1033        ESTABLISHED
  TCP    127.0.0.1:1033         localhost:1032        ESTABLISHED
  TCP    127.0.0.1:6118         localhost:6119        ESTABLISHED
  TCP    127.0.0.1:6119         localhost:6118        ESTABLISHED
  TCP    192.168.1.5:1031       fileserver:microsoft-ds  ESTABLISHED
  TCP    192.168.1.5:6316       imap11:imaps           CLOSE_WAIT
  TCP    192.168.1.5:7345       stackoverflow:https    ESTABLISHED
  TCP    192.168.1.5:7356       stackoverflow:https    ESTABLISHED
  UDP    0.0.0.0:1900           *:*

Từ những kết quả này, tôi có thể thấy rằng IP ( 192.168.1.5) của tôi đã kết nối với NAS ( fileserver), máy chủ email ( imap11) và trang web StackOverflow ( stackoverflow:https).

Tôi cũng có thể thấy rằng máy chủ IP cục bộ ( 127.0.0.1) của tôi có một số kết nối được thiết lập và máy của tôi cũng đang nghe trên UDPcổng 1900 ( UDP 0.0.0.0:1900 *:*). Chúng có thể liên quan đến tôi nếu công cụ duy nhất tôi có netstat, nhưng tôi cũng có thể sử dụng Windows Resource Monitor (hoặc TCPView) để xem chương trình nào có kết nối hoạt động. Tôi cũng có thể tắt từng chương trình một và xem những kết nối nào rời khỏi ESTABLISHEDtrạng thái, nhưng điều đó có thể mất một lúc ...

Nhìn vào các kết quả đó, tôi có thể thấy rằng các localhostkết nối là phiên bản Firefox của tôi (mà một số chương trình sử dụng localhostđể liên lạc giữa các quá trình), vì vậy tôi không cần quan tâm đến kết nối đó và UDP thực sự là chương trình phát phương tiện của tôi một giao diện tương tác (để chơi từ xa, v.v.) và UDP không đi ra ngoài (hoặc vào) mạng của tôi và tôi có một tường lửa hoạt động chặn nó, vì vậy tôi cũng không cần phải lo lắng về điều đó.

IFF Tôi tình cờ thấy một kết nối mà tôi không thể tương quan với một kết nối hoạt động đã biết (ví dụ email hoặc internet của tôi), sau đó tôi sẽ phá vỡ các công cụ khác mà tôi đã đề cập để điều tra thêm về kết nối cụ thể đó.

Hãy nhớ rằng netstatsẽ chỉ hiển thị cho bạn hoạt động TCPhoặc UDPkết nối, và trong khi TCP và UDP là các giao thức phổ biến nhất, có một số các giao thức khác tồn tại là con đường tấn công tiềm năng netstatkhông thể hiển thị. Ngoài ra, kẻ tấn công hoặc chương trình độc hại có thể bỏ qua tất cả các giao thức và sử dụng giao thức kết nối tùy chỉnh riêng bằng cách sử dụng ổ cắm RAW (lập trình cấp thấp). Cấp một số phương pháp sẽ yêu cầu một số đặc quyền hành chính nhất định, trong khi những phương pháp khác thì không.

Vì vậy, netstatcó thể cho bạn biết một số thông tin, nhưng nó không vẽ toàn bộ bức tranh và đặc biệt là nó không thể cung cấp đủ thông tin để xác thực rằng có điều gì đó độc hại đang thực sự xảy ra.

Hy vọng rằng có thể giúp đỡ.

trợ giúp
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.