identificando invasores na rede do windows
DESCRIPTION
Aprenda a identificar intrusos em seu PCTRANSCRIPT
Identificando invasores na rede do Windows
Saudações venho trazer mais esse tutorial de como saber se a sua rede está
sendo invadida por intrusos e espiões. Como fazer isso sem o uso de programas específicos? Com as ferramentas do próprio Windows recomendo a partir do Windows XP.
No MS-DOS existe a ferramenta chamada de NETSTAT que exibe o estado da rede atual.
netstat -no
Exibe os IPS que estão com a conexão estabelecida com o seu computador.
Observe que há portas locais que correspondem a determinados números de IP que por sua vez fazem a conexão externa através da porta SSH.
Análise das informações:
52.17.78.135:443 CLOSE_WAIT(Conexão fechada em espera) - Fazendo uma
simples pesquisa descobre-se que esse IP pertence a empresa amazonaws.com neste caso é porque estava acessando o Google pelo
navegador, explicarei isso em uma próxima postagem. 54.171.183.97:443 CLOSE_WAIT(Conexão fechada em espera) -
amazonaws.com AMAZON de novo 216.58.213.131:443 ESTABLISHED (Conexão estabelecida) com o site do Google.com.br 173.194.118.70:443 ESTABLISHED (Conexão estabelecida)
Google novamente 173.194.118.70:443 ESTABLISHED (Conexão
estabelecida) Google novamente 64.233.190.191:443 ESTABLISHED (Conexão estabelecida) Outro IP do
O Google particularmente utiliza alguns IPs para determinados tipos de serviço como a busca do Google, Blogger e Youtube, aparentemente nada de suspeito.
netstat -nvb
Exibe os programas ( .EXE) aos quais os IPS estão estabelecendo conexão, esse comando exige privilégios de Administrador do PC.
Observe que ele exibe os programas principais que estão fazendo uso da
conexão com a internet, um programa suspeito poderia fazer uma conexão
com um IP de um servidor desconhecido.
Continuando o tutorial...como foi visto anteriormente usamos o NETSTAT para
monitorar a rede através do MS-DOS, porém existe uma ferramenta muito mais
fácil que foi adicionada ao Windows a partir do Windows 7, essa ferramenta se
chama Monitor de Recursos.
Com essa ferramenta é possível vistoriar os programas que estão em
execução e utilizando enviando e recebendo dados na nossa rede nesse
momento.
Seu comando é perfmon.exe /res
Para nós o que interessa é a ferramenta de rede do monitor de recursos para ir
nela basta acessar a aba Rede.
Observe que existem Processos com Atividade de Rede, Atividade de
Rede, Conexões TCP e Portas de Escuta onde o mais importante para nós é
sabermos o que está acontecendo na nossa rede, na maioria das vezes o IP do
invasor não estará associado a um programa como por exemplo o Chrome.exe, você pode clicar em Conexões TCP, selecionar toda a lista(CTRL+A) e copiar a lista(CTRL+C) e vistoriar todos os IPs colando a lista em um Bloco de
Notas. Aí você diz como vou saber se o IP que estou com dúvida realmente
pertence a uma empresa séria ou um invasor?
Através do WHOIS
Esses serviços permitem identificar a fonte de IPs, quando fiz o teste na minha máquina fui em:
https://www.whatismyip.com/ip-whois-lookup/
https://who.is/whois-ip/ip-address/
https://geoiptool.com/ Existem muitos outros sites de WHOIS na internet, normalmente ele vai
identificar o dono do IP se for uma "Empresa Séria" terá uma descrição resumida do proprietário, supomos que o cara invada nossa máquina, qual é a
primeira medida a ser tomada? Exatamente bloquear o cara no Firewall.