ProgrammerWorld.NET

Comment tracer un intrus ?

Parfois, il n'est pas juste assez pour savoir simplement qu'il y a un Trojan ou un virus à bord. Parfois vous devez savoir exactement pourquoi ce dossier est à bord, comment il y est arrivé - mais d'une manière plus importante, qui le mettent là.

En énumérant l'attaquant de la même manière qu'ils ont énuméré la victime, vous pourrez voir l'image plus grande et établir contre ce qu'êtes vous vers le haut. Mais comment pouvez-vous faire ceci ? Lu sur…

Les raccordements font le monde tourner

L'informatique, en tout cas. Chaque seule heure vous ouvrez un site Web, envoyez un email ou téléchargez vos pages Web dans le Cyberspace, vous vous reliez à une autre machine afin d'obtenir le travail réalisé. Ceci, naturellement, présente un problème majeur, parce que cet acte simple est ce qui permet aux utilisateurs malveillants de viser une machine en premier lieu.

Comment ces personnes trouvent-elles leur victime ?

Bien, tout d'abord, ils doivent mettre la main sur l'IP address de la victime. Votre adresse d'IP (Internet Protocol) indique votre point d'entrée à l'Internet et peut être employée de plusieurs manières pour causer à vos activités en ligne beaucoup, beaucoup de problèmes. Il ne peut pas vous indiquer de nom, mais il peut être uniquement identifiable et il représente votre identification numérique tandis que vous êtes en ligne (spécialement ainsi si vous êtes sur un IP/DSL fixes etc.).

Avec un IP address, un intrus peut découvrir toutes les sortes de choses étranges et merveilleuses au sujet de leur victime (aussi bien que causer toutes sortes de l'autre ennui, les plus grands deux étant Portnukes/Trojan et le DOS redouté ((le déni de service)) attaque). Certains intrus aiment rassembler des IP address comme des insignes, et comme pour retourner à de vieilles cibles, les salissant autour de temps à autre. Il est incroyablement facile obtenir un IP address - jusque récemment, beaucoup d'applications en temps réel de causerie (telles que MSN) étaient des goldmines d'information. Votre IP address est contenu en tant qu'élément du code d'en-tête sur tous les email que vous envoyez et les pages Web que vous visitez peuvent stocker toutes sortes d'informations sur vous. Un tour commun est pour que l'intrus entre dans un Chatroom, colle son adresse de site Web supposée partout, et quand les visites confiantes de victime, tout au sujet de votre ordinateur du du système d'exploitation à la résolution d'écran peuvent être notées… et, naturellement, l'IP address de la plus haute importance. En outre, un balayage gauche à l'ensemble du réseau simple indiquera les machines cibles vulnérables, et un guerre-appeleur balayera des milliers de lignes pour les modems exposés que l'intrus peut exploiter.

Ainsi maintenant que vous savez certains des dangers de base, vous demandez-vous probablement comment ces personnes se relient à la machine d'une victime ?

Ports virtuels et physiques

Tout que vous recevez au-dessus de l'Internet vient en raison d'autres machines se reliant aux ports de votre ordinateur. Vous avez deux types ; L'examen médical sont les trous dans le dos de votre machine, mais l'important est virtuel. Ceux-ci permettent le transfert des données entre votre ordinateur et le monde extérieur, certains avec des fonctions attribuées, certains en dehors, mais sachant ces le travail est la première étape à découvrir qui vous attaque ; vous simplement DEVEZ avoir une connaissance de base de ceci, ou vous n'obtiendrez pas beaucoup plus loin.

Ce qui le moyen des expressions TCP/UDP réellement

Le TCP/IP représente le Transmission Control Protocol et l'Internet Protocol, un paquet de TCP/IP est un bloc de données qui sont comprimées, puis un en-tête est mis là-dessus et il est envoyé à un autre ordinateur (l'UDP représente l'User Datagram Protocol). C'est comment TOUS LES transferts d'Internet se produisent, en envoyant des paquets. L'en-tête dans un paquet contient l'IP address de la personne qui te l'a à l'origine envoyé. Maintenant, votre ordinateur vient avec un excellent (et libérez) outil qui te permet de voir tout ce qui est relié (ou essaye de se relier) à vous, bien que considériez qu'il n'offre aucune protection de blocage ; il t'indique simplement que ce qui continue, et cet outil est NETSTAT.

Netstat : Votre première ligne de la défense

Netstat est une méthode très rapide et fiable de voir exactement qui ou ce qui est relié (ou se reliant) à votre ordinateur. Ouvrez DOS (début/programmes/message de sollicitation de MS-DOS sur la plupart des systèmes), et dans le message de sollicitation de MSDOS, type :

(veillez-vous pour inclure l'espace entre le "t " et le "a ").
Si vous êtes relié à l'Internet quand vous faites ceci, vous devriez voir quelque chose comme :

Maintenant, "Proto (colonne) " signifie simplement ce qu'un peu la transmission de données a lieu (TCP ou UDP), "l'adresse locale " est votre ordinateur (et le nombre à côté de lui t'indique que quel port vous êtes relié dessus), "adresse étrangère " est la machine qui est reliée à vous (et quel port elles emploient), et finalement le "état " est simplement si un raccordement est établi réellement, ou si la machine en question attend une transmission, ou chronométrant dehors etc.

Maintenant, vous devez savoir toutes les diverses commandes de Netstat, dactylographiez ainsi :

Vous obtiendrez n'importe quoi de pareil :
Statistiques de protocole d'affichages et connexions réseau courantes de TCP/IP.

Par défaut, des statistiques sont montrées pour le TCP, l'UDP et l'IP ; - l'option de p peut être employée pour spécifier un sous-ensemble du défaut.
Ayez un jeu autour avec les diverses options, mais l'utilisation la plus importante de ces méthodes est quand vous les combinez. La meilleure commande d'employer est

parce que ceci énumérera tous les raccordements en forme numérique, qui le facilite beaucoup pour tracer les utilisateurs malveillants….Les hostname peuvent être un peu embrouillants si vous ne savez pas ce que vous faites (bien qu'elles sont facilement compréhensibles, car nous verrons plus tard). En outre, en faisant ceci, vous pouvez également découvrir ce qu'est votre propre IP address, qui est toujours utile.

En outre,

te dira quels ports sont ouverts et quels programmes se relient à l'Internet.

Types de port

Il serait impossible de découvrir qui vous attaquait si les ordinateurs pourraient juste accéder à n'importe quel vieux port pour remplir une fonction importante ; comment pourriez-vous dire un transfert de courrier à partir d'une attaque Trojan ? Bien, de bonnes nouvelles, parce que vos raccordements réguliers et normaux sont assignés à de bas, utilisés généralement ports, et généralement plus le nombre utilisé est haut, plus vous devriez être soupçonneux. Voici les trois types principaux de port :

Ports bien connus : ceux-ci courus de 0 à 1023, et sont liés aux services communs qui fonctionnent à eux (par exemple, des courses de courrier sur le canal 25 tcp/UDP, qui est smtp (Simple Mail Transfer Protocol) ainsi si vous trouvez un de ces ports ouvert (et vous habituellement), il est habituellement en raison d'une fonction essentielle.

Ports enregistrés : ceux-ci courus sur 1024 à 49151. Bien que non lié à un service particulier, ceux-ci sont normalement employés par des utilités de gestion de réseau comme le logiciel de ftp, client d'email et ainsi de suite, et elles font ceci en s'ouvrant sur un port aléatoire dans cette marge avant la communication avec le serveur à distance, ainsi ne paniquent pas (soyez juste circonspect, peut-être) si vous voyez quelconque d'entre cet ouvert, parce qu'elles se ferment habituellement automatiquement quand le système qui fonctionne sur elles se termine (par exemple, introduisez dedans un nom commun de site Web en votre navigateur avec le netstat ouvert, et l'observez comme il ouvrent un port au hasard pour agir en tant qu'amortisseur pour les serveurs à distance). Les services comme MSN Messenger et les ICQ fonctionnent habituellement sur ces ports.

Ports dynamiques/privés s'étendant de 49152 à 65535 : ces choses sont rarement employés excepté avec certains programmes, et même puis pas très souvent. C'est en effet la gamme habituelle du Trojan, ainsi si vous trouvez quelconque d'entre cet ouvert, soit très soupçonneuse. Ainsi, juste à la récapitulation :
Ports bien connus 0 1023 utilisés généralement, peu de danger.
Les ports enregistrés 1024 49151 pas en tant que terrain communal, fassent attention juste.
Ports dynamiques/privés 49152 65535 soient extrêmement soupçonneux.

La chasse est allumée :

Maintenant, il est essentiel que vous sachiez ce que vous recherchez, et la manière la plus commune que quelqu'un attaquera votre machine est avec un Trojan. C'est un programme qui t'est envoyé dans un email, ou essaye de se lier à un de vos ports, et une fois activé, il peut donner à l'utilisateur vos mots de passe, accès à votre unité de disque dur… ils peuvent même faire votre plateau CD sauter ouvert et fermer. À la fin de ce document, vous trouverez une liste des Trojan les plus utilisés généralement et les ports qu'ils opèrent. Pour maintenant, jetons à des autres le coup d'oeil à cet premier exemple de Netstat….

Raccordements actifs :

État étranger Proto d'adresse d'adresse locale

Maintenant, immédiatement, ceci devrait te sembler plus de raisonnable. Votre ordinateur est relié sur deux ports, 80 et 27374. Le port 80 est employé pour les transmissions de HTTP/WWW (IE à toutes fins pratiques, son comment vous vous reliez au filet, bien que naturellement il soit beaucoup plus compliqué que celui). Le port 27374, cependant, est distinctement soupçonneux ; tout d'abord, il est dans la gamme gauche enregistrée, et bien que d'autres services (comme MSN) emploient ces derniers, laissez-nous suppose que vous n'avez rien fonctionner comme les messagers instantanés, les pages Web etc.….vous êtes simplement relié au filet par la procuration. Ainsi, maintenant ce raccordement est regardant bien plus ennuyeux, et quand vous vous rendez compte que 27374 est un port commun pour Netbus (un Trojan potentiellement destructif), vous pouvez voir que quelque chose est impropice ici. Ainsi, ce que vous feriez est :

1) courez Netstat, et l'employez :

puis

Ainsi vous avez des hostname ET des IP address.

Tracerouting :

Avoir l'IP de l'attaquant est tout bon, mais que pouvez-vous faire avec lui ? La réponse est, beaucoup plus ! Il n'est pas assez pour avoir l'adresse, vous doit également savoir d'où les raccordements de l'attaquant viennent. Vous pouvez avoir utilisé les outils tracerouting automatisés avant, mais faites-vous jknow comment ils fonctionnent ?

Retournez au MSDOS et dactylographiez :
here* d'IP address/hostname de *type de tracert
Maintenant, ce qui se produit est, le Traceroute te montrera tous les ordinateurs entre vous et la machine cible, y compris les colmatages, les murs à l'épreuve du feu etc. Le plus souvent, l'adresse de hostname a énuméré avant que la finale appartienne à ISP Company d'Hacker's. Il l'une ou l'autre parole qui l'ISP est quelque part dedans là, ou bien vous courez une deuxième trace sur la nouvelle adresse d'IP/hostname pour voir qui ISP Company en question est. Si le hostname qui vous revenez ne semble pas réellement mentionner un endroit géographique réel dans son texte, vous pouvez penser que tout est perdu. Mais crainte pas ! Supposez que vous obtenez un hostname comme
http://www.haha.com

Bien, cela ne nous indique rien, droit ? Mal….écrivez simplement le hostname en votre navigateur, et bien que beaucoup de fois vous ne récupériez rien, parfois lui résoudra à une ISP, et là de vous peut facilement trouver dehors son endroit et dans quels secteurs ils actionnent. Ceci te donne au moins un endroit géographique ferme pour effectuer vos investigations dedans.

Si vous n'avez TOUJOURS rien, comme un dernier recours que vous POURRIEZ essayer se relier au port 13 de l'ISP de votre cible par le telnet, qui t'indiquera combien d'heures en avant ou derrière cette ISP est de GMT, de ce fait te donnant une trace géographique basée sur le temps mentionné (bien que considériez, l'ISP peut faire quelque chose stupide comme ne pas faire régler leurs horloges correctement, te donnant une trace fallacieuse. De même, une tactique commune des intrus est d'avoir délibérément l'horloge de leur ordinateur réglée à un mauvais moment totalement, afin de vous jeter outre du parfum). En outre, à moins que vous sachiez ce que vous faites, je ne conseillerais pas utilisant telnet (ce qui est en dehors des paramètres de ce cours d'instruction).

Question renversée de DNS :

C'est probablement la plupart de façon efficace de courir une trace sur quelqu'un. Si jamais vous êtes dans un chatroom et vous voyez quelqu'un dire qu'ils "ont entaillé dans un satellite satellisant la terre, et prennent des photos de votre maison en ce moment ", ignorez-les parce que c'est juste mauvais non-sens de film. CETTE méthode est la manière d'aller, en ce qui concerne découvrir quel pays (même peut-être quels état/ville etc.) quelqu'un réside, bien qu'il soit réellement presque impossible de trouver un endroit géographique EXACT sans réellement diviser en siège social de votre ISP et couler avec le coffre-fort.

Pour courir une question de rDNS, retournez simplement au MS-DOS et dactylographiez

et retour de coup. Tous les raccordements actifs résoudront aux hostname plutôt qu'un format numérique.

DNS :

Le DNS représente le domain name server. Ce sont des machines reliées à l'Internet dont le travail il est de maintenir les IP address et les Domain Name d'autres machines. Une fois invités, ils prennent le Domain Name d'ASCII et le convertissent en IP address numérique approprié. Une recherche de DNS traduit un hostname en IP address….ce qui est pourquoi nous pouvons écrire "www.Hotmail.com " et obtenir le site Web pour monter, au lieu de devoir réellement se rappeler l'IP address de Hotmail et entrer dans cela à la place. Bien, le DNS renversé, naturellement, traduit l'IP address en hostname (IE - dans les lettres et les mots au lieu des nombres, parce que parfois l'intrus emploiera de diverses méthodes pour arrêter Netstat de prendre un hostname correct).

Ainsi, par exemple,

298.12.87.32 n'est pas un hostname.
mail6.bol.net.au EST un hostname.

Quoi qu'il en soit, voyez la section à l'extrémité ? (Au) signifie les vies de cible en Australie. La plupart des (sinon tous les) hostname finissent dans un code de pays spécifique, de ce fait se rétrécissant en bas de votre recherche encore autre. Si vous savez l'email address de votre cible (IE ils t'ont bêtement envoyé un courrier de haine, mais étaient assez idiots d'employer un email address valide) mais rien d'autre, alors vous pouvez employer les codes de pays pour déduire où ils sont d'aussi bien. Vous pouvez également déduire l'IP address de l'expéditeur en regardant l'en-tête d'email (une ligne de code "cachée " qui contient l'information sur l'expéditeur)… sur Hotmail par exemple, aller aux préférences, et choisir du "plein l'option évidente en-tête". Alternativement, vous pouvez courir une trace de "doigt " sur l'email address, à :

www.samspade.org

Le plus, quelques ISPs incluent leur nom dans votre email address avec eux trop (IE Wanadoo, Supanet etc.), et votre intrus peut employer un compte de courrier électronique qui est fourni par un site Web accueillant la compagnie, signifiant que ceci aurait probablement le nom d'hôte de site Web dans l'email address (IE Webspawners). Ainsi, vous pourriez employer l'information glanée pour chasser peut-être même vers le bas leur site Web (alors vous pourriez courir un contrôle de site Web comme mentionné précédemment) ou pour rapporter l'abus du compte de courrier électronique de ce fournisseur de site Web (et ainsi, le site Web qu'il est assorti à) à
abuse@companynamegoeshere.com

Si votre intrus s'avère justement résider aux Etats-Unis, allez :

www.usps.gov/ncsc/lookups/abbr_state.txt

pour une liste complète d'abbreviatons d'état d'USA.

Liste de ports utilisés généralement par Trojans :

Veuillez noter que ce n'est pas une liste complète par aucun moyen, mais il te donnera une idée de quoi regarder dehors pour dans Netstat. Rendez-vous compte que certains des ports inférieurs peuvent bien diriger des services valides.

UDP: 1349 Back Ofrice DLL
31337 BackOfrice 1.20
31338 DeepBO
54321 BackOfrice 2000
TCP: 21 Blade Runner, Doly Trojan, Fore, Invisible FTP, WebEx, WinCrash
23 Tiny Telnet Server
25 Antigen, Email Password Sender, Haebu Coceda, Shtrilitz Stealth, Terminator, WinPC, WinSpy, Kuang2 0.17A-0.30
31 Hackers Paradise
80 Executor
456 Hackers Paradise
555 Ini-Killer, Phase Zero, Stealth Spy
666 Satanz Backdoor
1001 Silencer, WebEx
1011 Doly Trojan
1170 Psyber Stream Server, Voice
1234 Ultors Trojan
1243 SubSeven 1.0 - 1.8
1245 VooDoo Doll
1492 FTP99CMP
1600 Shivka-Burka
1807 SpySender
1981 Shockrave
1999 BackDoor 1.00-1.03
2001 Trojan Cow
2023 Ripper
2115 Bugs
2140 Deep Throat, The Invasor
2801 Phineas Phucker
3024 WinCrash
3129 Masters Paradise
3150 Deep Throat, The Invasor
3700 Portal of Doom
4092 WinCrash
4567 File Nail 1
4590 ICQTrojan
5000 Bubbel
5000 Sockets de Troie
5001 Sockets de Troie
5321 Firehotcker
5400 Blade Runner 0.80 Alpha
5401 Blade Runner 0.80 Alpha
5402 Blade Runner 0.80 Alpha
5400 Blade Runner
5401 Blade Runner
5402 Blade Runner
5569 Robo-Hack
5742 WinCrash
6670 DeepThroat
6771 DeepThroat
6969 GateCrasher, Priority
7000 Remote Grab
7300 NetMonitor
7301 NetMonitor
7306 NetMonitor
7307 NetMonitor
7308 NetMonitor
7789 ICKiller
8787 BackOfrice 2000
9872 Portal of Doom
9873 Portal of Doom
9874 Portal of Doom
9875 Portal of Doom
9989 iNi-Killer
10067 Portal of Doom
10167 Portal of Doom
10607 Coma 1.0.9
11000 Senna Spy
11223 Progenic trojan
12223 Hack´99 KeyLogger
12345 GabanBus, NetBus
12346 GabanBus, NetBus
12361 Whack-a-mole
12362 Whack-a-mole
16969 Priority
20001 Millennium
20034 NetBus 2.0, Beta-NetBus 2.01
21544 GirlFriend 1.0, Beta-1.35
22222 Prosiak
23456 Evil FTP, Ugly FTP
26274 Delta
30100 NetSphere 1.27a
30101 NetSphere 1.27a
30102 NetSphere 1.27a
31337 Back Orifice
31338 Back Orifice, DeepBO
31339 NetSpy DK
31666 BOWhack
33333 Prosiak
34324 BigGluck, TN
40412 The Spy
40421 Masters Paradise
40422 Masters Paradise
40423 Masters Paradise
40426 Masters Paradise
47262 Delta
50505 Sockets de Troie
50766 Fore
53001 Remote Windows Shutdown
54321 SchoolBus .69-1.11
61466 Telecommando
65000 Devil