Kuinka asiaton verkkoliikenne havaitaan

Seuraa 
Viestejä45973
Liittynyt3.9.2015

Miten on asiantuntijat, kuinka havaitaan asiaton verkkoliikenne esim. kotikoneelta ilman Windowsin mukana tulevia ohjelmia (task manager, processess, ...). Siis asiaton verkkoliikenne on sellaista, joita minä en omilla toimillani aiheuta. Minulla ei ole päällä itse käynnistettyä verkkoon kommunikoivaa ohjelmaa eikä selain ole käynnissä.

I
Tähän mennessä yksinkertaisin konsti havaita verkkoliikenne on ollut ADSL-purkin Rx-/Tx-ledi. Se kun kaiketi on rautaan "juotettu" ja näin on pettämätön indikaattori siitä, että verkkoliikennettä tapahtuu. Mutta kuinka suuri datamäärä aiheuttaa ledin väläyksen kun dataa siirtyy sisään taikka ulos purkista. Onkohan niin, että pieninkin datapaketin datamäärä saa aikaan silmin nähden havaittavan välähdyksen ledissä. Vai onko niin, että kun jokin haittaohjelma sopivan pienellä datamäärällä ja riittävän suurella viipellä lähettää dataa verkkoon tai toisin päin, niin tuota datamäärää ei ADSL-purkin ledi indikoikaan ledin välähdyksellä. Esim. bottiverkot.

II
Toisena konstina havaita verkkoliikenne koneella on ollut Wireshark ohjelma. Wireshark ottaa kiinni kaiken verkkoliikenteen ja näyttää sen formilla ja sen voi tallentaa myöhempää analysointia varten (ilmainen ohjelma, ja käsittääkseni hyvä). Mutta ongelmaksi muotoutuu Wiresharkin tietojen esitystapa, eli tulisi tuntea tietoliikenneprotokollat sellaisenaan kuinka ne ammattilaisten keskuudessa esitetään, että tulee tenkkapoo eteen dataa tulkitessa.

Niin nyt on kyse Windows-pohjaisista koneista. Linux-käyttäjillä varmaankin riittää ilmaisia työkaluja yllin kyllin verkkoliikenteensä havaitsemiseen.

Miten on?

Sivut

Kommentit (17)

Vierailija

Netmeter on myös yksi ohjelma jolla näkee paljonko liikennettä on kumpaankin suuntaan. Mutta liikenteen aiheuttajaa sillä ei näe.

Devil
Seuraa 
Viestejä1328
Liittynyt16.3.2005

Ekana tulee mieleen ainakin seuraavat helpohkot menetelmät: Netstat, jolla näkee aktiiviset yhteydet ja protokollat ja portit ja jne. Kehittyneemmät softapalomuurit yleensä näyttävät mitä liikennettä minnekin on, esim Comodo. Process Explorerin (huomattavasti kattavampi, kuin task manager) kautta voi tutkia mitä prosesseja koneella on käynnissä ja sitä kautta päätellä mikä konetta kuormittaa.
Wireshark on myös hyvä, mutta ei soveltune ehkä ihan aloittelijoille.

X

Vierailija

http://technet.microsoft.com/en-us/sysi ... 97437.aspx

Tuo näyttää kaiken minkä voi näyttää ja vähän liiakaakin. Tosin prosessin käyttämää liikenteen nopeutta se ei taida näyttää.

Itse käytän siihen NetLimiteria (pro versio [ostettu ]). Lisäksi minulla on muurina Sygate Perssonal Firewall, joka myös on ihan hyvä karsimaan siitä kuka pääsee nettiin ja kuka ei. Virustorjuntaohjelmistoja en käytä, koska mielestäni ne on täysin turhia.

Vierailija

Tuskinpa ne asiattomat prosessit on nimetty kuvaavasti, esim "I_am_a_bad_virus.exe".

Ennemminkin huomiota herättämättömästi, kuten rundll.exe tai sysdrv.exe. Nämä nyt oli keksittyjä esimerkkejä.

Portit ja ip-osoitteet ei varmaankaan auta mitään, koska jokainen ohjelma päivittää nykyään itsensä portista tcp-80. Ja kohdekone voi olla julkinen vuokrattu palvelin ulkomailla kuten tämä tiede.fi (nebulan mederra), eli Suomen poliisi ei pääse edes tutkimaan.

Itse asiassa triviaalit keinot on aika vähissä.

Vierailija

OK noiden verkkoliikenteen ohjelmien osalta.

Mutta mitenkä on sen ADSL-purkin Tx-Rx-ledin suhteen. Välähtääkö tai tulisiko ADSL-purkin Tx-Rx-ledin välähtää
silmin nähtävästi kun data tulee taikka lähtee koneelta pienimilläkin datamäärillä.

Aikavakiosta kaiketi on kysymys tuon ledin välkkymisen suhteen , että kun dataa virtaa riittävästi linjassa, niin sitten ledikin välähtää riittävän kirkkaasti ja pitkäaikaisesti.

Mutta kaiketi on sitten mahdollista niin, että ledi ei indikoikkaan verkkoliikennettä kun datamäärä on pieni ja lähetys/vastaanottojaksot ovat pitkähköjä.

Vierailija
Devil
Ekana tulee mieleen ainakin seuraavat helpohkot menetelmät: Netstat, jolla näkee aktiiviset yhteydet ja protokollat ja portit ja jne. Kehittyneemmät softapalomuurit yleensä näyttävät mitä liikennettä minnekin on, esim Comodo. Process Explorerin (huomattavasti kattavampi, kuin task manager) kautta voi tutkia mitä prosesseja koneella on käynnissä ja sitä kautta päätellä mikä konetta kuormittaa.
Wireshark on myös hyvä, mutta ei soveltune ehkä ihan aloittelijoille.

Mitään ei näy kun koneella on Rootkit.

Vierailija
Mitään ei näy kun koneella on Rootkit.



Vaikka koneella olisikin rootkit joka osaa sitoa oman liikenteensä koneen käyttäjän aiheuttamaan liikentenseen, niin siitä huolimatta ADSL-purkin ledin tulee indikoida lähtevä taikka tuleva liikenne? Vai kuinka on. Tuleeko ADSL-purkin ledin välähtää riittävän kirkkaasti ja pitkäkestoisesti, että silmällä havaitsee datan liikkuvat suuntaan taikka toiseen.

Tosin onhan niin, että ADSL-purkin valmistaja on viimekädessä vastuussa siitä, että indikoidaanko dataliikennettä esim. ADSL-purkin Rx-Tx-ledillä.

Eikä tästä ole kovinkaan montaa vuotta, kun kaikki tärkeimpien tietoliikenne firmojen laitteiden ledit poistettiin etumaskeista. Näiden ledien välkkymisestä kun kuulemma voitiin lukea datan sisältö.

Vierailija
turnabull
Mitään ei näy kun koneella on Rootkit.



Vaikka koneella olisikin rootkit joka osaa sitoa oman liikenteensä koneen käyttäjän aiheuttamaan liikentenseen, niin siitä huolimatta ADSL-purkin ledin tulee indikoida lähtevä taikka tuleva liikenne? Vai kuinka on. Tuleeko ADSL-purkin ledin välähtää riittävän kirkkaasti ja pitkäkestoisesti, että silmällä havaitsee datan liikkuvat suuntaan taikka toiseen.

Tosin onhan niin, että ADSL-purkin valmistaja on viimekädessä vastuussa siitä, että indikoidaanko dataliikennettä esim. ADSL-purkin Rx-Tx-ledillä.

Eikä tästä ole kovinkaan montaa vuotta, kun kaikki tärkeimpien tietoliikenne firmojen laitteiden ledit poistettiin etumaskeista. Näiden ledien välkkymisestä kun kuulemma voitiin lukea datan sisältö.




Heh heh. Ledit on älyttömän tärkeitä jos on vika.

Mutta pahin on "mother of all viruses" eli UPnP virus, joka menee reitittimeen. USA:n puolustusministeriö löysi näitä kiinalaisia viruksia muistaakseni 5000 kpl. Ne ei vilkuta edes ledejä.

Ajattele että sulla on verkko esim Saksassa. Yksi operaattori käyttää yleensä saman valmistajan kamaa. Sitten aletaan moduloimaan QoS-bittejä, pakettivirheitä tai ajoituksia.

Kaikki vuotaa, eikä sitä voida edes havaita, koska nämä ovat epädeterministisiä ja kohinaan hautautuvia muutoksia, joiden dekoodaaminen vaatii korkeampaa matikkaa.

Vierailija
turnabull
Onkohan niin, että pieninkin datapaketin datamäärä saa aikaan silmin nähden havaittavan välähdyksen ledissä.



Tämä on todennäköisin vaihtoehto. Mielestäni välkkeen funktio on nimenomaan siinä, että se kertoo sen, jos data virtaa. Tarkoitus numero 2 lienee se, että se auttaa vikatilanteissa ongelman ratkaisemisessa.

Vierailija

Näyttääkö ne ledit ping-paketteja ? Tai paketteja missä on tahallaan virheellinen (tai ohjelmoitu) tarkistussumma ?

Vierailija
Lektu-Elli
Näyttääkö ne ledit ping-paketteja ? Tai paketteja missä on tahallaan virheellinen (tai ohjelmoitu) tarkistussumma ?



Esittäkää minulle ensin, että mitä käytännönhyötyä olisi siitä, että se reagoisi vain tietynsuuruiseen liikenteeseen? Miksette katso manuaalista, että mitä siellä sanotaan asiasta?

Vierailija
Shriek
Lektu-Elli
Näyttääkö ne ledit ping-paketteja ? Tai paketteja missä on tahallaan virheellinen (tai ohjelmoitu) tarkistussumma ?



Esittäkää minulle ensin, että mitä käytännönhyötyä olisi siitä, että se reagoisi vain tietynsuuruiseen liikenteeseen? Miksette katso manuaalista, että mitä siellä sanotaan asiasta?



USA:n puolustusministeriö kiinnitti asiaan huomiota, kun huomasi että heidän verkkoaan vakoillaan kytkimien ja reitittimien taholta. En silloin luottaisi manuaaleihinkaan.

Paketin koosta en puhunut, tosin sekin on yksi käyttökelpoinen näkymätön modulaattori.

En ole alan spesialisti, mutta olen ymmärtänyt että tietoliikenne eli yhden bitin siirtäminen on häiriön siirtämistä, oli jo Marconin testien aikaa 110 vuotta sitten. Kyllä me naiset vastaavan osaamme välittää ilman sanoja kaverille katseella, eleillä tai vaikka yskäisemällä "varo tuota miestä". Tässä lienee kyse aivan samasta asiasta. Viestin välittämisestä.

Vierailija

ADSL:n merkkivalot ovat yleensä ihan riittävä indikaattori.

Kokeile vaikka PING -komentoa, niin näet, miten ledisi vilkkuvat.

On ihan normaalia, että pakettia pilpettää edestakaisin eri protokollilla - ja näitten tulkitsemiseen jokin wireshark, tai vastaava antaa lisää selkoa.

Itselleni tämmöinen tuli eteen pari vuotta sitten, kun skype-verkko päätti tehdä koneestani supernoden - verkkoliikennevalo vilkkui iloisesti kuin joulukuusi koneeni ollessa "keskus" muille skypen käyttäjille.

Vierailija
Canccu
ADSL:n merkkivalot ovat yleensä ihan riittävä indikaattori.
Kokeile vaikka PING -komentoa, niin näet, miten ledisi vilkkuvat.



Kyllä purkin ledi välähtää kun pingaan osoitetta. OK. Wireshark myös OK.

Mutta vielä olisi yksi juttu. Asun kerrostalossa ja kuten useilla muillakin kerrostaloasujilla on, että ADSL-purkin jälkeen operaattorille päin ja takaisin mennään kaapelilla huoneiston seinään olevaan liittimeen, josta sitten puhelinpiuhoilla alakerran "kytkimeen(kö?)".

Pointtini on kuitenkin se, että millä tavalla pääsisin "kaappaamaan" dataliikenteen purkista lähtevään (seinään päin) ja purkkiin tulevaan liittimeen (seinästä päin). Eli kun minulla on keino havaita Wiresharkilla koneen päässä ennen ADSL-purkkia havaita tuleva ja lähtevä dataliikenne, mutta miten havaita dataliikenne sisään ja ulos ADSL-purkin seinän puoleisen liittimen päässä. Näin kenties saisi tietoonsa sen, mitä purkki lisää taikka poistaa kun dataliikenne sen läpi virtaa.

Joku Linux-konekko ADSL-purkin seinän puoleiseen päähän?

Sivut

Uusimmat

Suosituimmat